El acuerdo entre el Parlamento Europeo y el Consejo de la UE sobre la futura regulación que sentará las bases técnicas de la identidad digital europea (eIDAS 2) viene precedida de turbulencias de gran polémica por los riesgos que produce su redacción.
500 expertos firmas contra el texto del proyecto
Miembros de la comunidad de ciberseguridad han publicado una carta abierta que ya suma más de 500 firmas de investigadores en contra del texto tal y como está redactado. A la crítica también se han sumado asociaciones y entidades de privacidad y derechos civiles, como la Electronic Frontier Foundation o el Centre for Democracy and Technology.
La inquietud de los investigadores y las asociaciones proviene de la filtración del Artículo 45 de la futura norma. A falta de conocer el texto final, los firmantes recelan del diseño de la seguridad en eIDAS 2, las posibles fallas en la privacidad y la capacidad de cibervigilancia con que dotaría a los Estados de la UE.
Expondría a los individuos a la cibervigilancia
La futura normativa quiere proporcionar a cada ciudadano europeo una identidad digital interoperable, tanto para acceder a servicios públicos como para interactuar con plataformas del sector privado. La herramienta para almacenar esta identidad será un wallet, donde se podrán guardar datos y credenciales como información de pago, el permiso de conducir, títulos académicos, el historial médico y hasta el pasaporte.
Pero el impacto de la norma puede ir más allá. En la carta firmada por los investigadores se advierte de que el texto actual del Artículo 45 podría tener «severas consecuencias para la privacidad de los ciudadanos europeos, la seguridad del comercio europeo y para Internet en su conjunto«. Juan Tapiador, catedrático del Departamento de Informática de la Universidad Carlos III y uno de los firmantes del documento de protesta, destaca que el problema está en cómo la legislación se propone abordar la emisión de certificados digitales, un elemento clave para la seguridad en Internet.
Un marco de cibervigilancia para los Estados
La propuesta actual expande radicalmente la capacidad de los gobiernos de vigilar a sus propios ciudadanos y residentes dentro de la UE, al proporcionarles los medios técnicos para interceptar el tráfico web cifrado (…). Un Estado podría interceptar el tráfico web, no solo de sus propios ciudadanos sino de todos los ciudadanos de la UE», destaca la carta.
Tapiador cree que esto se haría también a través de las autoridades de certificación designadas por los países:
Se deja abierta la puerta a que cualquier Estado miembro pueda introducir una autoridad de certificación que pueda emitir certificados con capacidad de interceptar comunicaciones, tanto porque se haga intencionalmente o porque sean hackeadas y se utilicen para eso. Cualquier cosa que hagas desde el navegador sería susceptible de ser suplantada si alguien compromete una autoridad de certificación raíz. Por eso, hay que estar seguros de que las autoridades de certificación que vayan a designar son al menos tan competentes como el resto que tenemos en Internet.
La Unión Europea no es un territorio libre de la cibervigilancia estatal. En 2021 se filtró una base de datos del spyware Pegasus que contenía más de 300 teléfonos de ciudadanos húngaros, lo que sugiere que Hungría haber utilizado el programa para espiar a objetivos seleccionados entre su población (algo que no se ha demostrado). Polonia también ha levantado sospechas, al descubrirse que se había usado Pegasus para hackear el móvil de un político de la oposición.
Desde la Fundación Mozilla tienen la esperanza de que haya cambios en el texto del Artículo 45 respecto a las autoridades de certificación. Según explica un portavoz:
Entendemos que los negociadores de la UE han tratado de abordar estas preocupaciones con modificaciones en el último minuto. La nota de prensa que siguió al anuncio del acuerdo contenía lenguaje prometedor y sugería que los requerimientos para los QWACS (Qualified Website Authentication Certificate, que es como llaman a los certificados digitales emitidos por autoridades de certificación designadas por Estados miembro) no afectarán a las políticas de seguridad de los navegadores
Eso sí, también añade que no se podrá evaluar el impacto de cualquier posible cambio hasta que el texto se haga público.
¿Un regalo para las Big Tech?
Además de la queja sobre la seguridad, la carta también critica el lugar en el que quedaría la privacidad con eIDAS 2. Existe una parte ambigua en el texto respecto a los wallets que servirán como almacén de los datos de los usuarios. Hay que tener en cuenta que esta identidad digital de los ciudadanos tendrá una enorme cantidad de información personal centralizada en un contenedor. Pero las transacciones y las operaciones que se hagan deberían estar compartimentadas, algo a lo que la legislación no obligaría en su actual redacción.
Los investigadores subrayan que si no se garantiza por ley que los wallets deben tener estas propiedades algunos que no podrían garantizar esta privacidad.
(Con información de Xataka)