Grandes nombres de la seguridad en Internet han criticado duramente la nueva legislación de la Unión Europea por poner en peligro la encriptación de apps de mensajería como WhatsApp, según se ha hecho eco The Verge.
El 24 de marzo, los órganos de gobierno de la UE anunciaron que habían llegado a un acuerdo sobre la legislación más radical contra las grandes empresas tecnológicas en Europa, conocida como Ley de Mercados Digitales (o DMA). Considerada una ley ambiciosa con implicaciones de gran alcance, la medida más llamativa del proyecto de ley exigiría que todas las grandes empresas tecnológicas (definidas como las que tienen una capitalización de mercado de más de 75.000 millones de euros y una base de usuarios de más de 45 millones de personas en la UE) creasen productos que sean interoperables con plataformas más pequeñas.
En el caso de las aplicaciones de mensajería, eso significaría permitir que servicios cifrados de extremo a extremo como WhatsApp se mezclen con protocolos menos seguros como los SMS, lo que los expertos en seguridad temen que socave los logros alcanzados con tanto esfuerzo en el campo del cifrado de mensajes.
El cifrado de extremo a extremo podría peligrar
El principal objetivo de la DMA es crear un grupo de grandes empresas tecnológicas denominadas «gatekeepers» (guardianes), definidas por el tamaño de su audiencia o ingresos y, por extensión, el poder estructural que pueden ejercer frente a competidores más pequeños.
Con la nueva normativa, la UE espera «abrir» algunos de los servicios prestados por estas empresas para que las más pequeñas puedan competir. Esto podría significar que se permita a los usuarios instalar aplicaciones de terceros fuera de la App Store, que se permita a los vendedores externos ocupar un lugar más alto en las búsquedas de Amazon o que se exija a las aplicaciones de mensajería que envíen textos a través de múltiples protocolos.
Pero esto podría suponer un verdadero problema para los servicios que prometen un cifrado de extremo a extremo: el consenso entre los criptógrafos es que será difícil, si no imposible, mantener el cifrado entre aplicaciones, con implicaciones potencialmente enormes para los usuarios.
Signal es lo suficientemente pequeña como para no verse afectada por las disposiciones de la DMA, pero WhatsApp, que utiliza el protocolo de Signal y es propiedad de Meta, sí lo estaría. El resultado podría ser que parte, si no toda, la encriptación de extremo a extremo de la mensajería de WhatsApp se debilitaría o se eliminaría, quitando a mil millones de usuarios la protección de la mensajería privada.
Una problemática difícil de resolver
Dada la necesidad de una aplicación precisa de las normas criptográficas, los expertos dicen que no hay una solución sencilla que pueda conciliar la seguridad y la interoperabilidad de los servicios de mensajería cifrados. Es decir, no habría forma de fusionar distintas formas de cifrado en aplicaciones con características de diseño diferentes, afirma Steven Bellovin, aclamado investigador de seguridad en Internet y profesor de informática en la Universidad de Columbia.
«Intentar conciliar dos arquitecturas criptográficas diferentes es sencillamente imposible; una u otra parte tendrá que hacer cambios importantes», dijo Bellovin. «Un diseño que funcione solo cuando ambas partes estén online será muy diferente a uno que funcione con mensajes almacenados. ¿Cómo hacer que esos dos sistemas interoperen?».
Hacer compatibles diferentes servicios de mensajería podría llevar a un enfoque de diseño de «mínimo común denominador», dice Bellovin, en el que las características únicas que hicieron que ciertas aplicaciones fueran valiosas para los usuarios se eliminarían hasta que se alcanzara un nivel de compatibilidad compartido. Por ejemplo, si una aplicación admitiera la comunicación multipartita encriptada y otra no, el mantenimiento de las comunicaciones entre ellas podría requerir la supresión de la encriptación.
