Apple y WhatsApp condenan la propuesta del GCHQ para realizar escuchas en chats cifrados

Una propuesta del GCHQ (Government Communications Headquarters) de Reino Unido que permitiría la realización de escuchas en servicios de chat encriptados ha sido condenada como una seria amenaza para la seguridad digital y para los derechos humanos. En una carta firmada por más de 50 compañías, organizaciones civiles y expertos en seguridad (incluyendo a Apple, WhatsApp, Liberty y Privacy International) se pide a GCHQ que abandone al que han llamado Protocolo fantasma y se centre en la protección del derecho a la privacidad, en la ciberseguridad y en la transparencia.

La propuesta en cuestión fue realizada por los oficiales de inteligencia Ian Levy (director del centro nacional de ciberseguridad de Reino Unido) y Crispin Robinson (director de cryptoanalistas en el GCHQ) durante el pasado mes de noviembre. La pareja propuso una técnica que evitaría romper el cifrado, en vez de solicitar a los servicios de mensajería compartir los mensajes con un tercero a la vez que llega a su destinatario. Levy y Robison alegaron que la propuesta no era más intrusiva que los virtual crocodile clips que se usan actualmente en las escuchas telefónicas en comunicaciones no cifradas. En la carta, la respuesta fue rotunda y se alegó que para lograr el resultado que buscaban los oficiales era necesario realizar cambios en los sistemas que podrían minar la seguridad y la confianza de los usuarios en el servicio.

Figura 1: Sede del GCHQ

“En primer lugar, requeriría que los proveedores de servicios inyecten una nueva clave pública en los chats como respuesta a una petición del gobierno. Esto convertiría una conversación de dos-vías en una charla grupal donde el gobierno es el tercer participante, o agregar un participante gubernamental secreto a un chat de grupo existente. En segundo lugar, para asegurar que el gobierno se sume a la conversación en secreto, la propuesta de GCHQ requeriría la ayuda de aplicaciones de mensajería, proveedores de servicios y sistemas operativos para engañar a los usuarios al suprimir las notificaciones que aparecen habitualmente cuando un nuevo integrante se une a un chat.” 

Mientras que la propuesta de GCHQ evita solicitar la creación de backdoors en la encriptación, los expertos han argumentado que el daño generado al violar la confianza en la seguridad de los usuarios es comparable al de introducir defectos de seguridad que también puedan ser explotados por ciberdelincuentes. Al darse de alta en un servicio, los usuarios confían en proveedores acreditados para realizar funciones de autenticación y verificar que los participantes de una conversación son los indicados. Por el momento GCHQ ha decidido mantener su propuesta y ha comunicado públicamente que están abiertos a debatir sobre este tema con la idea de llegar a un posible acuerdo en el futuro.