El acuerdo entre el Parlamento Europeo y el Consejo de la UE eIDAS 2 ) es una de las grandes noticias tecnológicas europeas del otoño. Pero viene precedida de turbulencias.
Miembros de la comunidad de ciberseguridad han publicado una carta abierta Electronic Frontier Foundation Centre for Democracy and Technology
La inquietud de los investigadores y las asociaciones proviene de la filtración del Artículo 45 de la futura norma, que se ha elaborado sin recopilar las opiniones de una parte representativa de la comunidad de seguridad informática. A falta de conocer el texto final, los firmantes recelan del diseño de la seguridad en eIDAS 2, las posibles fallas en la privacidad y la capacidad de cibervigilancia con que dotaría a los Estados de la UE.
"Estamos extremadamente preocupados porque, como se propone en la actual versión, la legislación no resultará en unas garantías tecnológicas adecuadas para los ciudadanos y las empresas, como se pretende. En realidad, muy probablemente resultará en menor seguridad para todos", reza la carta, en alusión a una versión filtrada del texto negociado. Para contextualizar esta aseveración hay que tener en cuenta las implicaciones de eIDAS 2.
Hacia una identidad digital La futura normativa quiere proporcionar a cada ciudadano europeo una identidad digital interoperable , tanto para acceder a servicios públicos como para interactuar con plataformas del sector privado. La herramienta para almacenar esta identidad será un wallet con un alto nivel de cifrado, donde se podrán guardar datos y credenciales como información de pago, el permiso de conducir, títulos académicos, el historial médico y hasta el pasaporte. La idea es que todo este contenido tenga validez legal y operativa en cualquier Estado de la UE.
Se trata de un proyecto de enorme ambición tecnológica y que concierne a 450 millones de personas.
Pero el impacto de la norma puede ir más allá. En la carta firmada por los investigadores se advierte de que el texto actual del Artículo 45 podría tener "severas consecuencias para la privacidad de los ciudadanos europeos, la seguridad del comercio europeo y para Internet en su conjunto". Juan Tapiador , catedrático del Departamento de Informática de la Universidad Carlos III y uno de los firmantes del documento de protesta, destaca que el problema está en cómo la legislación se propone abordar la emisión de certificados digitales, un elemento clave para la seguridad en Internet.
Al recelo expresado en esta carta se han sumado otras organizaciones, como la Fundación Mozilla o la Fundación Linux, que han publicado su propio documento de protesta
El sistema de certificación de Internet, en riesgo Para habilitar los servicios que la UE quiere proporcionar a los usuarios con eIDAS 2 se necesitan autoridades de certificación. Estas garantizarán a los navegadores, como Chrome, Safari o Firefox, que los servicios son seguros. "Esto en Internet siempre ha sido complicado", señala Tapiador. "Siempre ha sido algo muy difícil de gestionar. Porque si una autoridad de certificación se equivoca y emite un certificado a quien no debería tenemos un problema".
Estas autoridades de certificación tienen como misión emitir certificados digitales (SSL o Secure Sockets Layer , es decir, HTTPS), que verifican la autenticidad de una página web, su dominio y validan la identidad de a quién pertenece. Son entidades en las que los navegadores confían y cada uno tiene su propio listado con el que trabaja.
Existe una plataforma llamada CA/Borwser Forum
Las consecuencias de que una autoridad de certificación sea vulnerada pueden ser graves. Debido a ello, un actor malicioso pudo interceptar todo el tráfico de los usuarios de Google en Irán brecha de seguridad en varias de estas entidades
Sin embargo, con eIDAS 2 estaría previsto que los países puedan obligar a los navegadores a aceptar autoridades de certificación, según la carta de protesta. Y esto ocurriría sin que estas entidades pasaran los procedimientos de control establecidos por la industria. "Los juristas nos comunicaron que el Artículo 45 y 45.A estaba redactado con un lenguaje que obligaba por ley a los navegadores a incluir las autoridades de certificación que designen los Estados. Es una forma de meter a una autoridad de certificación dentro del navegador por ley", sostiene Tapiador.
El texto no especifica si estas autoridades de certificación impuestas por los Estados miembro servirían solo para servicios públicos o para todas las comunicaciones en Internet. Lo cual sería aún más grave, según los investigadores, porque pondría en jaque la seguridad de todo Internet.
Además, según la carta, el Artículo 45 estipularía que los mecanismos de seguridad a los que estas autoridades de certificación se verán obligadas a responder serán los que dictamine el Instituto Europeo de Normas de Telecomunicaciones (ETSI ). De esta forma, se haría referencia a mecanismos desconocidos, pues aún no se han definido, e impediría a los navegadores establecer estándares de seguridad más altos, si consideran que es necesario.
Otro de los motivos de queja de la comunidad de ciberseguridad es la inhabilitación de las autoridades designadas por los Estados. "Hasta ahora, si una autoridad de certificación acumula una serie de faltas, un navegador la elimina de su lista", explica Tapiador, haciendo hincapié en la importancia de llevar a rajatabla la seguridad. El texto dejaría fuera de este proceso a las autoridades designadas por los organismos públicos.
Un marco de cibervigilancia para los Estados A la preocupación de que una autoridad de certificación estatal no cumpla con los estándares de seguridad necesarios se une otro problema. "La propuesta actual expande radicalmente la capacidad de los gobiernos de vigilar a sus propios ciudadanos y residentes dentro de la UE, al proporcionarles los medios técnicos para interceptar el tráfico web cifrado (...)Un Estado podría interceptar el tráfico web, no solo de sus propios ciudadanos sino de todos los ciudadanos de la UE", destaca la carta.
Tapiador cree que esto se haría también a través de las autoridades de certificación designadas por los países:
Se deja abierta la puerta a que cualquier Estado miembro pueda introducir una autoridad de certificación que pueda emitir certificados con capacidad de interceptar comunicaciones, tanto porque se haga intencionalmente o porque sean hackeadas y se utilicen para eso. Cualquier cosa que hagas desde el navegador sería susceptible de ser suplantada si alguien compromete una autoridad de certificación raíz. Por eso, hay que estar seguros de que las autoridades de certificación que vayan a designar son al menos tan competentes como el resto que tenemos en Internet. La Unión Europea no es un territorio libre de la cibervigilancia estatal. En 2021 se filtró una base de datos del spyware Pegasus que contenía más de 300 teléfonos de ciudadanos húngaros espiar a objetivos seleccionados entre su población (algo que no se ha demostrado). Polonia también ha levantado sospechas, al descubrirse que se había usado Pegasus para hackear el móvil de un político de la oposición
Desde la Fundación Mozilla tienen la esperanza de que haya cambios en el texto del Artículo 45 respecto a las autoridades de certificación. Según explica un portavoz:
Entendemos que los negociadores de la UE han tratado de abordar estas preocupaciones con modificaciones en el último minuto. La nota de prensa contenía lenguaje prometedor Eso sí, también añade que no se podrá evaluar el impacto de cualquier posible cambio hasta que el texto se haga público.
¿Un regalo para las Big Tech? Además de la queja sobre la seguridad, la carta también critica el lugar en el que quedaría la privacidad con eIDAS 2. Existe una parte ambigua en el texto respecto a los wallets que servirán como almacén de los datos de los usuarios. Hay que tener en cuenta que esta identidad digital de los ciudadanos tendrá una enorme cantidad de información personal centralizada en un contenedor. Pero las transacciones y las operaciones que se hagan deberían estar compartimentadas , algo a lo que la legislación no obligaría en su actual redacción.
"Si yo hago una operación con mi wallet para demostrar que soy mayor de edad, porque voy a comprar un producto que requiere probar mi mayoría de edad, y a continuación hago otra operación que tiene que ver con el ámbito de la educación o de la sanidad, lo lógico sería que esas transacciones no se puedan vincular entre sí. Para que no sepan que el que ha comprado este producto es ingeniero y además tiene un problema cardiovascular", indica Tapiador.
Los investigadores subrayan que si no se garantiza por ley que los wallets deben tener estas propiedades algunos que no podrían garantizar esta privacidad. Pese a ello, serán compatibles con la ley.
"Llevamos casi dos décadas intentando comprender el perfilado de usuario que nos hacen para actividades de marketing y ahora tendremos en un monedero nuestro historial médico, académico, nuestro dinero…", enumera Tapiador. "Así que es muy importante que la regulación que gobierna qué propiedades de seguridad y de privacidad tienen esos monederos apunte a lo más alto posible". El objetivo: que no haya vínculo entre transacciones ni operaciones, que sea así por diseño en los wallets y que sea obligatorio.
A la espera del texto definitivo A pesar del acuerdo alcanzado entre el Parlamento Europeo y el Consejo de la UE, aún falta la aprobación formal de cada uno de estos órganos para que la legislación entre en vigor. Un proceso que suele ser una formalidad pero que llevará algunos meses. El camino de eIDAS 2 ha sido largo. La nueva regulación complementará al Reglamento eIDAS, de 2014, y se ha cocinado a fuego lento.
En junio de 2021 la Comisión lanzó su propuesta de la norma el enfoque general un texto provisional
Como opinan desde la Fundación Mozilla, esta versión final podría haberse ajustado para encajar algunas de las demandas aireadas estos días. Pero esto no se sabrá hasta que no se publique el texto acordado. De igual manera, la organización muestra una voluntad clara: "Seguiremos participando con todos los actores relevantes, incluyendo la comunidad de seguridad, los expertos en ciberseguridad y la academia a lo largo de todo el proceso, prestando particular atención a la implementación práctica de los principios acordados, para asegurar que eIDAS no habilita la cibervigilancia y la interceptación del tráfico web, y para garantizar el acceso seguro de los ciudadanos de la UE a Internet".
En Xataka | La identidad digital (eIDAS) que prepara Europa abre las puertas a una videovigilancia masiva sin precedentes
Imagen | Unsplash
Fuente: https://www.xataka.com/seguridad/ue-tiene-lista-su-identidad-digital-para-todos-europeos-preocupa-mucho-a-expertos-ciberseguridad
Interesante informacion.
ResponderEliminarHola, el último enlace conduce a otra nota sobre menores devueltos a Marruecos.
ResponderEliminar