Stop #ChatControl, la monitorización automatizada de conversaciones

https://twitter.com/X_net_/status/1717484193507119241

Esta campaña ha comenzando en mayo 2023 y se ha ido actualizando según avanzábamos.

#ChatControl: Legislación que ataca secreto de comunicaciones en #UE

❌ Excusa: Prevenir abuso sexual a infancia
👉 Realidad: No contiene medidas para prevenirlos. Impone vigilancia masiva

Patrocinada por PP, se aprobaría durante presidencia🇪🇸UE

Recogida de apoyos⬇️
(1/4) pic.twitter.com/EaSbhvXAlN

— Xnet (@X_net@mastodon.social) (@X_net_) May 23, 2023

Contenido

– Qué es Chat Control

– Cómo y qué intereses lo defienden

– Por qué debemos rechazar Chat Control

– Tecnología imposible, invasiva y que no resuelve el problema del abuso infantil

– Establece la vigilancia masiva. Anula la inviolabilidad de las comunicaciones

– Debilita la tutela judicial efectiva (demasiado extensos los ámbitos no sujetos a mandato judicial, como el registro de espacios privados)

– Tecnología invasiva que es en sí una brecha de seguridad

– Ataca los sistemas distribuidos y las startups y PyMEs tecnológicas en favor de los monopolios

– Falsos positivos que pueden acusar a cualquiera inundarán los investigadores

– Argumentos contra la verificación de edad en internet

– Lo contrario de una solución

– Qué es Chat Control

Chat Control es el nombre con el que popularmente se conoce al “Reglamento por el que se establecen normas para prevenir y combatir el abuso sexual de menores” (“Regulation to Prevent and Combat Child Sexual Abuse”, Child Sexual Abuse Regulation o CSAR)(1).

Una legislación que acabaría con el secreto de las comunicaciones en la Unión Europea. Se plantea aprobar durante la presidencia española de la UE y a través de un responsable del PP español.
Contrariamente a lo que su título indica, no hay ni una línea en esta legislación sobre cómo prevenir y combatir el abuso sexual a menores.

Establece la vigilancia masiva y anula la inviolabilidad de las comunicaciones.

Propone una tecnología que es en sí una brecha de seguridad. Plantea tecnología imposible (tecnología encriptada y a la vez inspeccionable (¡!!)), invasiva y que no resuelve el problema del abuso infantil.

Debilita la tutela judicial efectiva con extensos ámbitos no sujetos a mandato judicial, por ejemplo, el registro de espacios privados.  Falsos positivos que pueden acusar a cualquiera inundarán los investigadores.

Ataca los sistemas distribuidos y las startups y PyMEs tecnológicas en favor de los monopolios.

Es lo contrario de una solución.

La propuesta ha sido pormenorizada y duramente criticada por prensa especializada, activistas, empresas del sector como Mullvad(12), Tutanota(13) o la asociación de empresas tecnológicas alemanas Bitkom(14) y organizaciones de la sociedad civil, así como por la práctica totalidad de las asociaciones(2) y grupos europeos de defensa de los derechos digitales(3)(4)(5)(6)(7) además de por el Centro Europeo para la Democracia y la Tecnología(8). Por más de 300 científicos(11) como Ross Anderson(9), catedrático de Ingeniería de Seguridad del Departamento de Informática y Tecnología de la Universidad de Cambridge o Matthew D. Green(10) del Instituto de Seguridad de la Información Johns Hopkins, el Servicio Científico del Parlamento Europeo(15), la Autoridad Europea de Protección de Datos(16), el eurodiputado del Grupo de los Verdes y activista Patrick Breyer(17), el Comité de Asuntos Digitales del Parlamento Alemán(18)(19)(20) o comité de la Unión Europea del Parlamento Austriaco(21)(22) (país donde el parlamento ha votado una resolución vinculante sobre la postura del gobierno austriaco que no aceptará la normativa si no se ajusta a los derechos fundamentales). Suiza ha rechazado una legislación similar en referéndum.

Principalmente por:
– Violar derechos fundamentales como el secreto de las comunicaciones o la privacidad.

– Ser técnicamente inviable.

– Ser contraproducente en la lucha contra el abuso infantil por el número de falsos.

– Por truncar la viabilidad de PyMEs tecnológicas de todo tipo y fomentar el monocultivo monopolístico digital de corporaciones tecnológicas muchas veces ni siquiera europeas.

Es una Regulación (no una directiva). Significa que es un texto que no hace falta transponer en cada país, sino que se aplica directamente en los países miembros de la Unión Europea.
El 6 de julio de 2021, el Parlamento Europeo aprobó una excepción a ciertas disposiciones del Reglamento sobre privacidad y comunicaciones electrónicas (ePrivacy). Estas excepciones establecen que los proveedores de servicios de comunicaciones electrónicas sólo pueden procesar datos con el consentimiento del usuario o por motivos específicos, como la seguridad o la facturación.
La encargada del proyecto es la socialdemócrata sueca Ylva Johansson, Comisionada europea de Interior (Home Affairs) desde 2019.
El responsable es el español Javier Zarzalejos (PP), director de área y de la revista en la FAES y secretario de presidencia en las dos legislatura de Aznar.(23)(24)

– Cómo y qué intereses lo defienden

En mayo 2023, se filtró que el gobierno de España (Marlaska) apoyará las posturas más extremas y conservadoras.

Extracto de la posición de España en el Consejo Europeo que presidirá a partir de junio. Documento filtrado publicado por The Wired:(…) Idealmente, en nuestra opinión, sería deseable prevenir legislativamente que los proveedores de servicios con sede en la UE implementen cifrado de extremo a extremo (…).

(…) Estamos de acuerdo en incluir las comunicaciones de audio en el ámbito de la propuesta de CSA. Creemos que, como propuso la delegación húngara, la propuesta debería eliminar las referencias concretas a los diferentes tipos de materiales (imágenes, textos, videos o audios) y ser más general para abordar cualquier tipo de material (…).

(…) la detección automática de contenido en las comunicaciones interpersonales es clave (…)

Una investigación sobre #CSAR que se publicó en toda Europa(Le Monde, Die Zeit, etc.)(24b) demuestra que las empresas tecnológicas buscan un férreo control monopolístico de las comunicaciones y riegan de recursos lobbies ultra conservadores para influenciar la UE con #ChatControl. La investigación revela que estos lobbies en teoría «pro infancia» -cuyos documentos internos filtrados hablan de como usar a las víctimas para «dividir y conquistar» eurodiputados y opinión publica- tienen en realidad fuertes intereses comerciales y políticos: ECLAG, la red de grupos de presión y organizaciones de la sociedad civil, muchas ultra conservadoras y ultra tecnófobas que hacen campaña contra el abuso sexual infantil y empresas que se presentan como ONG y que luego actúan como compañías tecnológicas, han tenido influencia en la propuesta legislativa de Johansson.
la principal es Thorn, fundada en 2012 por las estrellas de cine Demi Moore y Ashton Kutcher y especializada en desarrollar herramientas de inteligencia artificial para detectar imágenes de abusos sexuales contra menores en Internet.
Seis meses antes de dimitir por su apoyo a Danny Masterson (un compañero de reparto condenado por…violación), Kutcher se dirigió en marzo de 2022 a los legisladores en Bruselas para tranquilizarlos sobre los posibles abusos de la tecnología y sus deficiencias.
Tras la entrada en vigor del DSA, las empresas que producen sistemas de escaneo han comprendido el potencial que tiene trabajar para eximir de las responsabilidades que les impone el DSA a las Big Tech a tiempo que se les ayuda a mantener su monopolio con tecnología imposible y carísima.
La Comisión facilitó en repetidas ocasiones el acceso de Thorn a lugares clave para la toma de decisiones, además de participar en evento y ruedas de prensas juntos.
La Defensora del Pueblo Europeo está investigando la negativa de la Comisión a permitir el acceso a estos y a muchos otros documentos internos relacionados con la propuesta de Johansson ya que en el registro de transparencia de la UE Thorn prácticamente no aparece.

Por último, ya advertíamos sobre como últimamente cada día hay más noticias relacionadas con infancia y pornografía, destinadas a preparar el terreno de la opinión pública para la inminente votación #ChatControl #CSAR.

Ahora se ha descubierto que la comisionada utilizó técnicas ilegales de microtargeting basadas en las opiniones políticas y religiosas de miliones de personas para hacerles llegar información a favor de esta regulación. La comisaria Johansson respondió que esto es «práctica normal estándar», cuando es éxplicitamente considerada illegal en base al nuevo DSA.

En todo esto, nuestro gobierno está haciendo un papel bochornoso.
Pretende aprobar #Chatcontrol #CSAR durante la presidencia española y tiene la postura más dura contra la privacidad.
Por eso el papel de la sociedad civil en todo el estado es clave para pararla.

⚠️Filtración⚠️
Hoy nos llega la posición de la Presidencia Española #EU:
mantiene #ChatControl en contra de la opinión de los servicios legales y de más de 300 especialistas.

GRAVÍSIMO: implantación de un #Pegasus legal permanente contra la población

Se reúnen el 26/7
¡Difunde! https://t.co/vSrIOu4D16

— Xnet (@X_net@mastodon.social) (@X_net_) July 19, 2023

– Por qué debemos rechazar Chat Control

De qué NO habla el reglamento CSAR

En su propio título el reglamento dice establecer normas para prevenir y combatir los abusos sexuales a menores.

Pues bien, no hay ni una sola palabra sobre nada de esto en las 140 páginas de la regulación. De hecho no hay ni una sola palabra sobre nada que no sea Internet. El abuso sexual infantil aparece solo en el titulo, epígrafes o formulismos legales. La regulación va solo sobre el material de abuso sexual de menores y ni siquiera sobre su producción sino solo sobre su difusión, intercambio y almacenamiento. No es una ley contra el abuso sexual de menores que perjudica a internet. Es solo una ley contra internet, que olvida el abuso sexual a menores salvo para justificar propagandísticamente ataques contra un Internet democrático.
La brutal influencia de lobbies conservadores, tecnófobos y con una visión de internet como un espacio que han de controlar y que tiene que ser monopolizado solo por grandes actores dominantes es evidente.
El Reglamento CSAR habla también de embaucamiento de menores (grooming en inglés) una práctica deplorable e ilegal. Sin embargo, abrazar el acercamiento al tema de los lobbies conservadores de Rusia y USA conduce, como ha conducido, a un uso indebido de legislaciones contra las minorías sexuales afectivas y de género.

Sobre los abusos sexuales a menores las estadísticas como las de la OMS(25) indican que la mayoría es cometida por personas conocidas por el niño o la niña, como familiares, amigos o vecinos. Una regulación que atacara de verdad los abusos sexuales a menores y el material generado con ello sería realmente urgente para dotar de medios, herramientas y marco legal a profesores, pediatras, psicopedagogos, trabajadores sociales, policías especializados y otros trabajadores en primera línea para identificar y actuar en este tipo de casos.
No hay nada sobre esto en el Reglamento CSAR.
Tampoco de otro grave problema de abuso sexual de menores en nuestra sociedad, el que se ha detectado en el ámbito de la Iglesia. La falta de una respuesta firme por parte de la UE y de sus estados miembros ha creado en las víctimas y opinión pública una considerable sensación de impunidad que este Reglamento intenta desviar.

De qué va el Reglamento CSAR

– Tecnología imposible, invasiva y que no resuelve el problema del abuso infantil

Es como si se planteara prohibir las carreteras para evitar los accidentes de coche.
Es una regulación eminentemente técnica hecha por personas sin el conocimiento necesario sobre la base de un imaginario tecnológico estereotipado, reaccionario y que no se corresponde con la realidad.

Las tecnologías serán:
a) eficaces para detectar la difusión de material de abuso sexual de menores conocido o nuevo o el embaucamiento de menores, según proceda;
b) incapaces de extraer de las comunicaciones pertinentes ninguna otra información que no sea la estrictamente necesaria para detectar,
c) lo menos intrusivas posible en términos de repercusión en los derechos de los usuarios a la vida privada y familiar (incluida la confidencialidad de la comunicación), y a la protección de los datos personales;
d) lo suficientemente fiables, a fin de limitar en la mayor medida posible la tasa de errores en la detección.”

Se pide algo que no puede existir ya que violará los derechos a la vida privada y familiar. Es como decir que la policía puede entrar en casa de cualquiera sin mandato, pero prometiendo que no entrará.

Los promotores de la ley en Comisión de la UE no entienden su propia ley y los posibles efectos de la misma como han demostrado en toda y cada una de las veces que han tenido que contestar a preguntas.(26)

– Establece la vigilancia masiva. Anula la inviolabilidad de las comunicaciones

Así lo indica incluso el Servicio Científico del Parlamento Europeo(27) en su informe sobre el reglamento de mayo del 2022. Viola los artículos 7 y 8 de la Carta de Derechos Fundamentales que prohíbe la vigilancia masiva de la población.
Tener una conversación privada es un derecho humano básico, un derecho que es especialmente vital para personas que puedan ser discriminadas o que quieran denunciar abusos.

En su redacción actual, el proyecto de ley obliga a todos los servicios de alojamiento y a los proveedores de comunicaciones interpersonales a escanear todos los contenidos y, a continuación, decidir qué entregar a las fuerzas de seguridad. Lo más probable es que pecarán de precavidos y sobreinformarán masivamente de las comunicaciones de la gente.

Lo que se plantea es que una inteligencia artificial escanee todas las comunicaciones, en particular material sexualmente explícito, incluso entre adultos, de forma general e indiscriminada para encontrar material de abusos sexuales infantiles (CSAM). Esto significa que las fotos personales y las conversaciones íntimas podrían ser recolectadas y almacenadas, lo que es una violación sin precedentes de la privacidad. Chat Control creará una enorme cantidad de información confidencial que estará en manos de empresas privadas y de la UE independientemente del estado de su democracia, información potencialmente expuesta a filtraciones de datos, ataques cibernéticos o a ser utilizadas contra las personas.

Si un algoritmo informa de un caso sospechoso, todo el contenido del mensaje y los datos de contacto se envían automáticamente a un centro de distribución privado y, posiblemente después, a las autoridades policiales. Los usuarios afectados no reciben notificación alguna.

El sistema es fácilmente ampliable para buscar otros tipos de material, lo que podría ser utilizado por los diferentes gobiernos de la UE para espiar a sus ciudadanos.(28)

El Tribunal de Justicia de la Unión Europea aceptó un análisis automatizado permanente de las comunicaciones privadas sólo si se limita a los sospechosos (Caso C-511/18). Según el apartado 192 de su sentencia el análisis automático permanente y general de las comunicaciones privadas viola los derechos fundamentales. Es decir: la legislación de la UE prohíbe imponer obligaciones generales de supervisión a las plataformas por el riesgo de interferir en derechos fundamentales como la intimidad, pero la propuesta de la Comisión pretende eludir ese límite estableciendo «medidas específicas que sean proporcionadas al riesgo de uso indebido de un servicio determinado para el abuso sexual infantil en línea y estén sujetas a condiciones y salvaguardias sólidas». Aplican un requiebro que les funcionó con el copyright, pero aquí el ámbito es mucho más grave.

– Debilita la tutela judicial efectiva (demasiado extenso los ámbitos no sujetos a mandato judicial, como el registro de espacios privados)

Vulnera la presunción de inocencia, ya que obligan a los proveedores a tratar a todos las personas usuarias como sospechosas de distribución de imágenes de abusos sexuales a menores.

– Tecnología invasiva que es en sí una brecha de seguridad(29)

Las llamadas “puertas traseras” que generan los proveedores de tecnología para romper el cifrado y monitorizar toda la comunicación en las aplicaciones y en los repositorios, pueden ser y serán usadas por criminales y servicios de inteligencia extranjeros para desestabilizar nuestra sociedad.(30)

Los artículos 7 a 11 del Reglamento CSAR prevén que puedan dictarse órdenes de detección que obliguen incluso a los proveedores de mensajes cifrados de extremo a extremo a escanear el contenido de los mensajes privados.

¿Confiaría a Europol las fotos de sus hijos? una agencia que ya ha sido criticada por el organismo de control de protección de datos de la UE por su mala gestión de grandes conjuntos de datos.(31) La inocente foto que haces a tu bebé en la bañera y envías a sus abuelos podría acabar en una base de datos de las fuerzas de seguridad o, incluso, en otras manos.

– Ataca los sistemas distribuidos y las startups y PyMEs tecnológicas en favor de los monopolios.

Las grandes empresas de redes sociales a menudo ni siquiera pueden cumplir las promesas de sus propias políticas de moderación de contenidos. Es increíble que los legisladores de la UE puedan ahora obligar a cualquier empresa proveedora de servicios a utilizar sus algoritmos de vigilancia para acusar a sus propios usuarios de los peores tipos de delitos.

¿Quién podrá permitirse este despliegue? ¿Y a quién beneficia? Muy pocas Big Tech podrán proveer la tecnología e incluso utilizarla. Por otra parte, la fantasía de un internet controlado por unas pocas empresas que le son amigas es lo que hay en las fantasías de quiénes han planteado esta ley: es un ataque a la propia estructura de internet, una herramienta no centralizada y colaborativa que no debe ser controlada por unas pocas empresas poderosas que vigilan capilarmente todos los usuarios.

– Falsos positivos que pueden acusar a cualquiera inundarán los investigadores.

El Reglamento yerra por completo el tiro, ya que los delincuentes rara vez utilizan mensajeros para compartir material: son demasiado lentos para compartir grandes colecciones de CSAM.

El sistema planteado ha demostrado errar incluso con las CSAM conocidas, es decir cuando ya se conocen los rasgos o elementos que se buscan. Cuando se escanea en busca de CSAM desconocidos, incluso admitiendo el argumento falaz que un porcentaje bajo de inocentes señalados sería admisible, hará que se notifiquen falsamente miles de millones de mensajes todos los días. O sea, se colapsaría a los investigadores con millones de informes automatizados de escasa precisión, la mayoría de los cuales son criminalmente irrelevantes, al tiempo que perjudiciales para personas inocentes.

Ya sabemos que esta tecnología es propensa a errores porque algunos servicios de grandes plataformas como Facebook, Gmail y Outlook ya usan tecnología similar en sus servicios por ejemplo para identificar desnudos cuando no está permitido en sus plataformas. Todos tenemos experiencia de su falta de precisión. Imaginad esto aplicado a vuestras conversaciones privadas.

La comisionada utiliza metáforas como usar un imán para “buscar una aguja en un pajar”. Introducir el escaneo obligatorio de nuestras fotos y mensajes no les ayudará a acotar el objetivo, sino que ampliará masivamente el «pajar» tal y como indica el Servicio Científico del Parlamento Europeo(32) en su informe sobre el reglamento de mayo del 2022.

No protegerán a los menores, sino que pueden exponerlos en línea cuando se envían imágenes sexuales. No ayudará a los niños y generará un internet menos seguro para todos.

Los falsos positivos causan un daño real. Un ejemplo reciente publicado por el New York Times destacó un escaneo CSAM errado por parte de Google: una persona envió fotos de su hijo a la enfermera para teleasistencia. El sistema automático de Google lo etiquetó como CSAM. La persona sufrió una década de investigaciones. Según la EFF no es un caso aislado, podría haber miles así.(33)

Del mismo modo, la policía nacional irlandesa verificó que actualmente conserva todos los datos personales que les ha remitido el Centro Nacional para Menores Desaparecidos y Explotados (National Center for Missing and Exploited Children-NCMEC) el principal lobby conservador y pro censura de internet en nombre de la defensa de los derechos de los niños del mundo. Estos datos incluyen los nombres de usuario, las direcciones de correo electrónico y otros datos de usuarios inocentes verificados.

– Argumentos contra la verificación de edad en internet.

No hay ninguna forma de verificación de la edad en línea que no tenga efectos negativos sobre los derechos humanos de los usuarios adultos de internet. En general, obligar a la gente a identificarse con el DNI para poder usar internet podría considerarse una limitación del derecho a la privacidad y la libertad de expresión en línea. Además sería fácilmente evitable usando una VPN.

Si se requiere que los usuarios proporcionen su información personal para acceder a los servicios en línea, podría haber además riesgos en torno a la privacidad y la seguridad de los datos personales. En la siguiente brecha de seguridad no solo se filtrarán emails y passwords, si no nuestros DNI e identidades reales que al contrario que nuestras identidades digitales, no son desechables. Por el resto de tu vida podrás ser asociado por ejemplo con tu consumo de pornografía.

El anonimato además es una herramienta básica para garantizar la libertad de expresión de periodistas, activistas, alertadores y defensores de derechos humanos y sus labores de investigación y vigilancia de las instituciones.

En resumen, exigir la identificación con DNI en internet es costoso, arriesgado, complejo, poco efectivo, invasivo para la privacidad de los usuarios y dañino para la rendición de cuentas institucional y la libertad de expresión. También puede ser perjudicial para los derechos de aquellos que no tienen acceso a un DNI o que no desean compartir su información personal.

– Lo contrario de una solución.

Los abusos a menores son horrendos. Por eso no debemos malgastar esfuerzos en acciones que son ineficaces e incluso perjudiciales.

La mayoría de las CSAM que se distribuyen no se alojan en espacios online europeos que estarían sujetos a estas normas.

Es increíble que el planteamiento de la UE respecto al CSAM se limite al mundo online.

La falta de inversión en la protección y el bienestar de la infancia es un reto constante en toda la UE, y no todos los países miembros han adoptado siquiera leyes nacionales de protección de la infancia. Miles de víctimas se han visto privadas de justicia debido a la prescripción de los delitos o a que instituciones como la Iglesia Católica han eludido su responsabilidad.

Hay mejores formas de salvar a los niños que someter a todos los ciudadanos de la UE a una vigilancia constante.

Entre el 70% y el 85% de los niños conoce a su agresor. La gran mayoría de los niños son víctimas de personas en las que confían.(34) ¿Cómo va a ayudar el escaneo de CSAM en cada mensaje de chat a prevenir los abusos sexuales a menores en la familia, el club deportivo o la iglesia?

Suponiendo que los delincuentes utilicen mensajería mainstream y no foros de nicho y que exista una tecnología mágica – genial, hemos reducido la distribución de CSAM en una pequeña fracción. ¿Y ahora qué? Bueno, sólo porque se distribuya menos CSAM en línea, no significa que el CSAR se detenga fuera de línea – tal vez se reduzca, definitivamente pero no se detiene. En 4/5 casos, los niños son abusados por alguien cercano a ellos.(35) Para atrapar realmente a los abusadores se necesita mecanismos de denuncia rápidos y sencillos, la capacidad de las fuerzas de seguridad en términos de personal y recursos financieros para localizar a los autores y productores, abordar la raíz del problema, no algoritmos.