Ley de la UE que obliga a apps de mensajería a interconectarse comprometería el cifrado y la privacidad
La semana pasada, los órganos rectores de la Unión Europea (UE) lograron el primer acuerdo para la emisión de la Ley de Mercados Digitales (DMA, por sus siglas en inglés), el cual, entre otras medidas de competencia y protección al consumidor, obligaría a las plataformas de mensajería más grandes a ofrecer interoperabilidad con las aplicaciones más pequeñas.
Principalmente, la directiva se dirige a aplicaciones o plataformas de mayor tamaño, ya sea que cumplan con una capitalización superior a los 75 mil millones de euros o una base de más de 45 millones de usuarios en la UE. La ley busca que las aplicaciones más pequeñas puedan competir frente a las grandes plataformas.
Esto significa que las plataformas de mensajería como WhatsApp o iMessage tendrían que permitir la recepción y envío de mensajes con otras aplicaciones de comunicaciones que podrían contar con protocolos de seguridad incompatibles o vulnerables. Una persona podrá enviar un mensaje mediante una determinada aplicación y recibirla en cualquier otra.
La noticia fue bien recibida por organizaciones y compañías que consideran que esta nueva ley permitirá incrementar la competencia y dar una oportunidad a las alternativas de plataformas más pequeñas.
Amandine Le Pape, cofundadora de la aplicación de mensajería Element, dijo a la cadena de noticias Euractiv que “los usuarios no tienen opción. Las compañías más pequeñas no pueden competir porque necesitan construir su propia base de usuarios desde cero“.
La Comisión Europea ha acusado a las grandes plataformas de utilizar su poder de mercado para impulsar el uso de sus propias aplicaciones en detrimento de otras alternativas competidoras, ya sea dándoles privilegio de búsqueda en las tiendas de aplicaciones que ellos mismos administran o, incluso, comprando a los jugadores más pequeños cuando se convierten en una amenaza.
Sin embargo, de acuerdo con los expertos en seguridad, esta nueva directiva plantearía un reto técnico difícil y probablemente imposible de superar: sería complicado garantizar el cifrado de mensajes que viajan de una aplicación a otra, considerando que cada una trabaja con protocolos, estándares y procesos distintos para el cifrado y la identificación de mensajes y usuarios.
También lee: Parlamento Europeo aprueba Ley de Servicios Digitales: cómo impactará a las Big Tech
WhatsApp ofrece por defecto un cifrado de extremo a extremo; Telegram también ofrece la opción, pero no opera por defecto en los mensajes; mientras que Snapchat sólo garantiza el cifrado para fotos y video, pero no los mensajes escritos.
“Lo que veremos aquí, por supuesto, es un canje, una política que es buena para la competición pero mala para la privacidad y mala para el producto. Nunca puedes tener las tres”, tuiteó el analista Benedict Evans.
Según expertos consultados por The Verge, no hay una solución simple que pueda conciliar la seguridad y la interoperabilidad de los servicios de mensajería cifrada.
“Tratar de conciliar dos arquitecturas criptográficas diferentes simplemente no se puede hacer; un lado u otro tendrá que hacer cambios importantes”, señala Steven Bellovin, investigador de seguridad de Internet y profesor de Ciencias de la Computación en la Universidad de Columbia.
El experto también explica que hacer compatibles diferentes servicios de mensajería puede conducir a un enfoque de mínimo común denominador para el diseño; es decir, que ciertas características únicas de cada aplicación se eliminan hasta que se alcanza un nivel compartido de compatibilidad. Por ejemplo, si una aplicación admite la comunicación multipartidista cifrada y otra no, mantener las comunicaciones entre ellas normalmente requeriría que se eliminara el cifrado.
Por su parte, la DMA sugiere otro enfoque ―igualmente insatisfactorio para los defensores de la privacidad―en el que los mensajes enviados entre dos plataformas con esquemas de cifrado incompatibles se descifran y vuelven a cifrar cuando se pasan entre ellas, rompiendo la cadena de cifrado “de extremo a extremo” y creando un punto de vulnerabilidad para la interceptación por parte de un mal actor.
Alec Muffett, un experto en seguridad de Internet y exingeniero de Facebook que recientemente ayudó a Twitter a lanzar un servicio Tor cifrado, dijo a The Verge que sería un error pensar que Apple, Google, Facebook y otras empresas tecnológicas estaban fabricando productos idénticos e intercambiables que podrían combinarse fácilmente.
Actualmente, cada servicio de mensajería asume la responsabilidad de su propia seguridad, y Muffett y otros especialistas argumentan que, al exigir interoperabilidad, los usuarios de un servicio están expuestos a vulnerabilidades que pueden haber sido introducidas por otro. Al final, la seguridad general sólo es tan fuerte como el eslabón más débil.
Otro punto de preocupación planteado por los expertos en seguridad es el problema de mantener una “base de nombres” coherente. Un principio básico del cifrado es que los mensajes se codifican de una manera única de una identidad criptográfica conocida, con el fin de que los mensajes lleguen al destino indicado y puedan ser identificados por el sistema y los usuarios.
“No hay forma de permitir el cifrado de extremo a extremo sin confiar en todos los proveedores para que se encarguen de la gestión de identidades (…). Si el objetivo es que todos los sistemas de mensajería traten a los usuarios de los demás exactamente igual, entonces esto es una pesadilla de privacidad y seguridad“, dijo Alex Stamos, director del Observatorio de Internet de Stanford y exdirector de seguridad de Facebook.
Sin embargo, también existen otros expertos que consideran que se puede lograr un estándar de comunicaciones seguras y de código abierto, que impulse los beneficios de la competencia y promueva ecosistemas abiertos, mientras mantiene la seguridad de los servicios.
“En el pasado, los guardianes descartaban el esfuerzo de [interoperabilidad] por considerar que no vale la pena. Después de todo, el curso de acción predeterminado es construir un jardín amurallado y, después de haber construido uno, la tentación es tratar de atrapar al mayor número posible de usuarios”, dijo Hodgson.“Desde una perspectiva técnica, no es particularmente complejo”, señaló a la AFP el especialista en regulación de Internet, Ian Brown.