El acuerdo entre el Parlamento Europeo y el Consejo de la UE sobre la futura regulación que sentará las bases técnicas de la identidad digital europea (eIDAS 2) es una de las grandes noticias tecnológicas europeas del otoño. Pero viene precedida de turbulencias.
Miembros de la comunidad de ciberseguridad han publicado una carta abierta que ya suma más de 500 firmas de investigadores en contra del texto tal y como está redactado. A la crítica también se han sumado asociaciones y entidades de privacidad y derechos civiles, como la Electronic Frontier Foundation o el Centre for Democracy and Technology.
La inquietud de los investigadores y las asociaciones proviene de la filtración del Artículo 45 de la futura norma, que se ha elaborado sin recopilar las opiniones de una parte representativa de la comunidad de seguridad informática. A falta de conocer el texto final, los firmantes recelan del diseño de la seguridad en eIDAS 2, las posibles fallas en la privacidad y la capacidad de cibervigilancia con que dotaría a los Estados de la UE.
"Estamos extremadamente preocupados porque, como se propone en la actual versión, la legislación no resultará en unas garantías tecnológicas adecuadas para los ciudadanos y las empresas, como se pretende. En realidad, muy probablemente resultará en menor seguridad para todos", reza la carta, en alusión a una versión filtrada del texto negociado. Para contextualizar esta aseveración hay que tener en cuenta las implicaciones de eIDAS 2.
Hacia una identidad digital
La futura normativa quiere proporcionar a cada ciudadano europeo una identidad digital interoperable, tanto para acceder a servicios públicos como para interactuar con plataformas del sector privado. La herramienta para almacenar esta identidad será un wallet con un alto nivel de cifrado, donde se podrán guardar datos y credenciales como información de pago, el permiso de conducir, títulos académicos, el historial médico y hasta el pasaporte. La idea es que todo este contenido tenga validez legal y operativa en cualquier Estado de la UE.
Se trata de un proyecto de enorme ambición tecnológica y que concierne a 450 millones de personas.
Pero el impacto de la norma puede ir más allá. En la carta firmada por los investigadores se advierte de que el texto actual del Artículo 45 podría tener "severas consecuencias para la privacidad de los ciudadanos europeos, la seguridad del comercio europeo y para Internet en su conjunto". Juan Tapiador, catedrático del Departamento de Informática de la Universidad Carlos III y uno de los firmantes del documento de protesta, destaca que el problema está en cómo la legislación se propone abordar la emisión de certificados digitales, un elemento clave para la seguridad en Internet.
Al recelo expresado en esta carta se han sumado otras organizaciones, como la Fundación Mozilla o la Fundación Linux, que han publicado su propio documento de protesta aparte. En él también hablan de consecuencias graves para los usuarios, "La redacción del Artículo 45 levanta serias preocupaciones sobre el futuro de la seguridad web y expondría a los individuos a la cibervigilancia debilitando los estándares de seguridad”, manifiesta un portavoz de la Fundación Mozilla, desarrolladora del navegador Firefox, un tipo de software que necesita certificados digitales seguros para ofrecer garantías a sus usuarios.
El sistema de certificación de Internet, en riesgo
Para habilitar los servicios que la UE quiere proporcionar a los usuarios con eIDAS 2 se necesitan autoridades de certificación. Estas garantizarán a los navegadores, como Chrome, Safari o Firefox, que los servicios son seguros. "Esto en Internet siempre ha sido complicado", señala Tapiador. "Siempre ha sido algo muy difícil de gestionar. Porque si una autoridad de certificación se equivoca y emite un certificado a quien no debería tenemos un problema".
Estas autoridades de certificación tienen como misión emitir certificados digitales (SSL o Secure Sockets Layer, es decir, HTTPS), que verifican la autenticidad de una página web, su dominio y validan la identidad de a quién pertenece. Son entidades en las que los navegadores confían y cada uno tiene su propio listado con el que trabaja.
Existe una plataforma llamada CA/Borwser Forum donde a lo largo de los años se han pulido acuerdos entre diferentes actores de la industria digital. Esto ha servido para establecer mecanismos de control, como auditorías externas o controles de seguridad, para cualquier entidad que quiera ser autoridad de certificación. "Todos estos procedimientos han creado un ecosistema de confianza, porque se controla cómo se hace. Y aun así no es nada fácil", apunta Tapiador.
Las consecuencias de que una autoridad de certificación sea vulnerada pueden ser graves. Debido a ello, un actor malicioso pudo interceptar todo el tráfico de los usuarios de Google en Irán, y la brecha de seguridad en varias de estas entidades, como Comodo, Diginotar o Globalsign, condujo a ciberataques masivos a CitiGroup, el FMI, el contratista estadounidense Lockheed Martin o la PlayStation Network, que derivó en una sonada filtración de datos de casi 70 millones de usuarios.
Sin embargo, con eIDAS 2 estaría previsto que los países puedan obligar a los navegadores a aceptar autoridades de certificación, según la carta de protesta. Y esto ocurriría sin que estas entidades pasaran los procedimientos de control establecidos por la industria. "Los juristas nos comunicaron que el Artículo 45 y 45.A estaba redactado con un lenguaje que obligaba por ley a los navegadores a incluir las autoridades de certificación que designen los Estados. Es una forma de meter a una autoridad de certificación dentro del navegador por ley", sostiene Tapiador.
El texto no especifica si estas autoridades de certificación impuestas por los Estados miembro servirían solo para servicios públicos o para todas las comunicaciones en Internet. Lo cual sería aún más grave, según los investigadores, porque pondría en jaque la seguridad de todo Internet.
Además, según la carta, el Artículo 45 estipularía que los mecanismos de seguridad a los que estas autoridades de certificación se verán obligadas a responder serán los que dictamine el Instituto Europeo de Normas de Telecomunicaciones (ETSI). De esta forma, se haría referencia a mecanismos desconocidos, pues aún no se han definido, e impediría a los navegadores establecer estándares de seguridad más altos, si consideran que es necesario.
Otro de los motivos de queja de la comunidad de ciberseguridad es la inhabilitación de las autoridades designadas por los Estados. "Hasta ahora, si una autoridad de certificación acumula una serie de faltas, un navegador la elimina de su lista", explica Tapiador, haciendo hincapié en la importancia de llevar a rajatabla la seguridad. El texto dejaría fuera de este proceso a las autoridades designadas por los organismos públicos.
Un marco de cibervigilancia para los Estados
A la preocupación de que una autoridad de certificación estatal no cumpla con los estándares de seguridad necesarios se une otro problema. "La propuesta actual expande radicalmente la capacidad de los gobiernos de vigilar a sus propios ciudadanos y residentes dentro de la UE, al proporcionarles los medios técnicos para interceptar el tráfico web cifrado (...)Un Estado podría interceptar el tráfico web, no solo de sus propios ciudadanos sino de todos los ciudadanos de la UE", destaca la carta.
Tapiador cree que esto se haría también a través de las autoridades de certificación designadas por los países:
Se deja abierta la puerta a que cualquier Estado miembro pueda introducir una autoridad de certificación que pueda emitir certificados con capacidad de interceptar comunicaciones, tanto porque se haga intencionalmente o porque sean hackeadas y se utilicen para eso. Cualquier cosa que hagas desde el navegador sería susceptible de ser suplantada si alguien compromete una autoridad de certificación raíz. Por eso, hay que estar seguros de que las autoridades de certificación que vayan a designar son al menos tan competentes como el resto que tenemos en Internet.
La Unión Europea no es un territorio libre de la cibervigilancia estatal. En 2021 se filtró una base de datos del spyware Pegasus que contenía más de 300 teléfonos de ciudadanos húngaros, lo que sugiere que Hungría haber utilizado el programa para espiar a objetivos seleccionados entre su población (algo que no se ha demostrado). Polonia también ha levantado sospechas, al descubrirse que se había usado Pegasus para hackear el móvil de un político de la oposición.
Desde la Fundación Mozilla tienen la esperanza de que haya cambios en el texto del Artículo 45 respecto a las autoridades de certificación. Según explica un portavoz:
Entendemos que los negociadores de la UE han tratado de abordar estas preocupaciones con modificaciones en el último minuto. La nota de prensa que siguió al anuncio del acuerdo contenía lenguaje prometedor y sugería que los requerimientos para los QWACS (Qualified Website Authentication Certificate, que es como llaman a los certificados digitales emitidos por autoridades de certificación designadas por Estados miembro) no afectarán a las políticas de seguridad de los navegadores
Eso sí, también añade que no se podrá evaluar el impacto de cualquier posible cambio hasta que el texto se haga público.
¿Un regalo para las Big Tech?
Además de la queja sobre la seguridad, la carta también critica el lugar en el que quedaría la privacidad con eIDAS 2. Existe una parte ambigua en el texto respecto a los wallets que servirán como almacén de los datos de los usuarios. Hay que tener en cuenta que esta identidad digital de los ciudadanos tendrá una enorme cantidad de información personal centralizada en un contenedor. Pero las transacciones y las operaciones que se hagan deberían estar compartimentadas, algo a lo que la legislación no obligaría en su actual redacción.
"Si yo hago una operación con mi wallet para demostrar que soy mayor de edad, porque voy a comprar un producto que requiere probar mi mayoría de edad, y a continuación hago otra operación que tiene que ver con el ámbito de la educación o de la sanidad, lo lógico sería que esas transacciones no se puedan vincular entre sí. Para que no sepan que el que ha comprado este producto es ingeniero y además tiene un problema cardiovascular", indica Tapiador.
Los investigadores subrayan que si no se garantiza por ley que los wallets deben tener estas propiedades algunos que no podrían garantizar esta privacidad. Pese a ello, serán compatibles con la ley.
"Llevamos casi dos décadas intentando comprender el perfilado de usuario que nos hacen para actividades de marketing y ahora tendremos en un monedero nuestro historial médico, académico, nuestro dinero…", enumera Tapiador. "Así que es muy importante que la regulación que gobierna qué propiedades de seguridad y de privacidad tienen esos monederos apunte a lo más alto posible". El objetivo: que no haya vínculo entre transacciones ni operaciones, que sea así por diseño en los wallets y que sea obligatorio.
A la espera del texto definitivo
A pesar del acuerdo alcanzado entre el Parlamento Europeo y el Consejo de la UE, aún falta la aprobación formal de cada uno de estos órganos para que la legislación entre en vigor. Un proceso que suele ser una formalidad pero que llevará algunos meses. El camino de eIDAS 2 ha sido largo. La nueva regulación complementará al Reglamento eIDAS, de 2014, y se ha cocinado a fuego lento.
En junio de 2021 la Comisión lanzó su propuesta de la norma y, tras un acuerdo sobre el enfoque general en noviembre de 2022 entre el Parlamento y el Consejo, ambos trabajaron en un texto provisional siete meses después. El texto filtrado ahora sería el definitivo. Eso sí, es un documento que aún no ha visto la luz y que podría sufrir cambios antes de su publicación final (de ahí que muchas de las preocupaciones de la carta y de los investigadores sean condicionales).
Como opinan desde la Fundación Mozilla, esta versión final podría haberse ajustado para encajar algunas de las demandas aireadas estos días. Pero esto no se sabrá hasta que no se publique el texto acordado. De igual manera, la organización muestra una voluntad clara: "Seguiremos participando con todos los actores relevantes, incluyendo la comunidad de seguridad, los expertos en ciberseguridad y la academia a lo largo de todo el proceso, prestando particular atención a la implementación práctica de los principios acordados, para asegurar que eIDAS no habilita la cibervigilancia y la interceptación del tráfico web, y para garantizar el acceso seguro de los ciudadanos de la UE a Internet".
Imagen | Unsplash
Ver 8 comentarios