El impacto, el alcance y la escala del cifrado generalizado del tráfico en dispositivos digitales, su caracterización, su señalización y sus obligaciones fueron algunos de los aspectos que el Instituto Europeo de Normas de Telecomunicaciones (ETSI) reflejó en su informe “Integración de tráfico cifrado (ETI). Planteo del problema”, con el objetivo de ayudar al desarrollo de normas que permitan mitigar su posible impacto negativo.
El documento -disponible aquí- refleja, a lo largo de sus 20 páginas, el papel del cifrado de la información que se transporta entre dos puntos finales, cuyos tres aspectos positivos (caracterizados por la protección de la confidencialidad del contenido transferido, la identidad de las partes vinculadas y la integridad de la información durante el transporte) pueden ser afectados al punto que impida el acceso al contenido en sí, con su consecuente impacto operativo o legal.
“El cifrado permite que el contenido de algo esté oculto o sea impenetrable para cualquier persona que no posea la llave. Hay muchas formas de describir cómo funciona el cifrado y una es considerar la analogía de un sistema bloqueado, al que no se puede acceder sin la llave correcta” dice el informe y advierte que “el problema de la red es que hay muchos armarios cerrados con llave y que no puede permitirse mezclarlos, como tampoco a las llaves para abrirlos; y hay que saber qué hacer con sus contenidos”.
El uso del cifrado como estrategia de seguridad es masivo y esto, para ETSI, ofrece beneficio pero también dificultades porque “en muchos escenarios, su uso expone a los usuarios a amenazas de tráfico malicioso que, al no ser reconocido por estar oculto detrás del cifrado, el operador de red no puede filtrarlo y expone al usuario final”, explica.
Sucede que el cifrado en sí no protege a los puntos finales de comunicación de posibles ataques al tiempo que reduce la capacidad de los cortafuegos en combinación con otros sistemas de gestión de red para eliminar el tráfico malicioso y, en ese sentido, ETSI advierte sobre los efectos adversos que exhibe el cifrado generalizado inmerso en debates como el de Going Dark.
Going Dark fue un término utilizado en muchos países, como Estados Unidos, para señalar la necesidad de que los Estados tengan algún tipo de acceso a los datos porque “cuando se utilizan las telecomunicaciones como herramienta para desarrollar una actividad delictiva, los delincuentes pueden esconderse y enmascarar su actividad”, dice ETSI, pero esto no siempre es factible.
Para este estandarizador, la incapacidad de funcionar de una parte normalmente autorizada a hacerlo, como puede la entidad de gestión de red del CSP, como consecuencia del cifrado de los usuarios en el punto final es un problema para la industria y los Estados.
“El problema de Going Dark es que aunque las fuerzas del orden siempre se están poniendo al día, la brecha entre lo que es factible para reunir pruebas y la capacidad del criminal para enmascarar su actividad es una incógnita” dice ETSI y resume que “la existencia del crimen es una desconocida conocida, se sabe que está en marcha, pero a menudo se desconoce quién está involucrado y dónde y cómo evitar que el criminal tenga una tecnología ventaja”.
“ETSI se enfrenta al problema de tener que permitir un acceso legal razonable a los datos, como pueden ser las imágenes, para hacer un juicio de valor sobre su contenido, además de dar un acceso razonable al encabezado de cada capa de protocolo para permitir optimizar las capacidades de la red; algo que en la práctica da acceso a la capa superior, lo que significa alguna anulación restringida de la ocultación de datos”, admite el informe.
Si se lleva a cabo una extorsión criminal sobre las telecomunicaciones, por ejemplo, es poco probable que se limite a un solo canal, sino que se suelen utilizar múltiples (redes sociales, enlaces de telecomunicaciones, u otros) y, para ETSI, “el problema del cifrado omnipresente de un extremo a otro dificulta el descubrimiento y la investigación”.
Los datos hoy forman parte de un debate grande y, en lo que refiere a seguridad, la privacidad, el rol de los operadores, el control por parte de los Estados, los derechos y las obligaciones son tierra de disputas.
