¡El MYK-78 otra vez!
Es una fortuna ver pasar el tiempo, pero cuando éste le otorga a uno perspectiva, se ven cosas que nunca se hubiesen imaginado. Haber vivido antes de los años noventa y estar todavía vivo para ver lo que la Comisión Europea quiere colar, un tanto de rondón, el denominado “EU Chat Control”, para eliminar el cifrado y la seguridad Extremo-a-Extremo a todo ciudadano y residente europeo. Esto ya se intentó en EE.UU. hace tiempo y las razones que hicieron entonces que fracasasen, hoy en día son mucho más sólidas incluso que entonces. Es por ello conveniente que le echemos un vistazo en esta tribuna.
¡Qué curioso es ver cómo pasa el tiempo! Es curioso haber vivido y llegar a ese momento en el que te enteras de que, a tu primera novia, a la que no viste desde entonces, se la ha llevado por delante un cáncer de mama que no fue adecuadamente detectado en lo cribados montados al efecto por la correspondiente comunidad autónoma. Cuando te enteras de que aquellos profesores (Scandola1, 2022 y Bignozzi, 2025) que te enseñaron a ver con tus ojos macroscópicos la tenaz belleza del comportamiento molecular, ya no enseñan nada a nadie porque se los ha llevado la vejez o un cáncer de pulmón2 probablemente inducido por aquella curiosa y triste época en la que fumar como un carretero era sexy y muy masculino.
Jorge Dávila Muro
Consultor independiente. Director.
Laboratorio de Criptografía. LSIIS.
Facultad de Informática. UPM.
[email protected]
Que conste que la mención a los cribados de Cáncer de Mama no está relacionada con las noticias actuales de lo que está pasando en Andalucía y Castilla-La Mancha, sino que ambas reflexiones están relacionadas con esas experiencias que ha tenido uno y que le indican que el tiempo pasa y que la generación que está en la posición “siguiente” en la cola del tiempo, es la mía.
Si se tratase de mencionar temas de actualidad quizás habría que mencionar los errores que se dice se han dado en las pulseras de localización de los maltratadores, pero no lo hago porque no conozco ningún maltratador (al menos, no soy conocedor de ello) y menos aún, al que se le haya aplicado ese curioso correctivo. En cualquier caso, ese modo de “ubicar” objetos “no colaborantes” tiene sus serias deficiencias y sería objeto de otra columna centrándonos en los aspectos más técnicos del asunto.
Volviendo al tema, por si fuese poco ver que te haces viejo y que los que fueron tus referentes van desapareciendo, siempre nos queda la Comisión Europea que con su “Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO por el que se establecen normas para prevenir y combatir el abuso sexual de los menores” (AKA “EU Chat Control”3), nos retrotrae al año 1993 en el que los amos del mundo4 propusieron la llegada (forzosa) del “The Clipper chip”5 a (todas) las comunicaciones de entonces y justo antes de la explosión que hoy llamamos Internet. Aunque esa propuesta agonizó definitivamente en 1996, llegó con tiempo suficiente para ser incluido en el guión del techno-thriller “Digital Fortress”6 (1998) de un incipiente Dan Brown (fue su primera novela).
En aquellos años, los EEUU no podían permitir que la humanidad pudiese comunicarse en secreto y que ellos no pudieran “pinchar” esas comunicaciones. Para ello, pensaron el obligar a que todos los dispositivos que permitiesen la comunicación cifrada, llevaran un chip, el MYK-78, que les permitiese (a los EE.UU.) descubrir la clave utilizada en cada caso y, subsecuentemente, escuchar lo que se comunicase.
LLEGA LA CONFEDERACIÓN INFORMAL DE LOS CYPHERPUNKS
Ya en 1994, en un soleado día de primavera en Mountain View, California, cincuenta activistas furiosos conspiran contra el gobierno de Estados Unidos. Puede que no parezcan muy subversivos sentados en una mesa de conferencias vestidos con camisetas y vaqueros, comiendo burritos, pero se autoproclamaban como “saboteadores”. Eran los autodenominados Cypherpunks7, una confederación informal de hackers informáticos, ingenieros de hardware y agitadores de la alta tecnología.
El movimiento Cypherpunk se originó en la década de los ochenta y ganó atractivo académico y social con el establecimiento de sus propias listas de distribución de correo8 en 1992. En ellas, grupos informales de activistas, tecnólogos, y criptógrafos discutían estrategias encaminadas a mejorar la intimidad individual (privacidad) y en cómo resistir la vigilancia por parte de las empresas. Profundamente libertarios en su filosofía, el movimiento plantó sus raíces en principios como la descentralización, la autonomía individual, y la libertad respecto a cualesquiera autoridades centralizada.
El objeto preciso de toda aquella furia era el chip conocido como The Clipper Chip, oficialmente conocido como MYK-78, algo que ya entonces no era mucho más grande que un diente; simplemente otro pequeño trozo de plástico que cubre una lasca de silicio. Ya entonces parecía improbable que aquel chip negro fuese el centro de una batalla que podría determinar hasta qué punto las libertades civiles sobrevivirán en el siglo XXI. Pero esa es la creencia compartida (y con razón) en aquella sala.
Los ciberpunks consideraron al Clipper como la palanca que el Gran Hermano usaría para entrometerse en las conversaciones, mensajes y transacciones de la (inminente) era informática. Aquellos activistas intentaron movilizar a los EEUU contra el mal presagio de un “estado policial ciberespacial” (¡¡Y eso que no conocían todavía a Donald Trump!!). En aquella Crypt War9 se les unió en la batalla en contra, una fuerza formidable, la de casi todas las industrias de las comunicaciones y la informática de entonces, numerosos miembros del Congreso norteamericano y columnistas políticos de todo tipo.
Las conclusiones del definitivo artículo “The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption”10 de 1997, dejaban claro que, para muchos, los sistemas de Key recovery11 son inherentemente inseguros, más costosos, y más difíciles de operar (de forma segura) que sistemas similares sin esa capacidad de recuperación de las claves criptográficas utilizadas. Además, bien pueden terminar introduciendo en la ecuación de la realidad riesgos y costes inaceptables.
LOS DEFENSORES DEL CHIP CLIPPER
Los defensores del Clipper, en su mayoría miembros del Gobierno, creían que representaba la última oportunidad para proteger la seguridad personal y nacional contra la “creciente anarquía informática” (Internet) que fomentaba la aparición de “criminales, terroristas y enemigos extranjeros” (Todavía no habían visto la llegada de Microsoft, Meta, Google y Amazon y sus relaciones con la NSA, según Snowden). Sus partidarios presentan el chip y el depósito de claves o Key Escrow11 como la solución, o al menos parte de ella, a un problema creado por la aplicación (civil) cada vez más sofisticada de una tecnología milenaria que es la criptografía.
La Criptografía, sin embargo, tiene un inconveniente: la criptografía protege por igual a quienes cumplen la ley y a quienes la violan, pero, sobre todo, a los segundos, pero eso es inevitable porque los segundos tienen mucho más que perder y no escatiman en gastos y saber hacer (know how).
Las agencias policiales y de inteligencia ya sostenían entonces y sostienen ahora que, si la criptografía fuerte es ampliamente disponible, sus esfuerzos por proteger al público se verían paralizados.
Por ello, proponían entonces y vuelven a proponer ahora, esta vez en la civilizada Europa, un compromiso fáctico, una forma oscura de neutralizar dichos cifrados. La solución de entonces era el chip Clipper, y ese compromiso fue el objeto de aquella Cripto-guerra que terminaron ganando los que se oponían. Las razones de aquel fracaso para las fuerzas de seguridad de los distintos estados democráticos siguen siendo válidos hoy en día e incluso, algunos de ellos su validez está mucho más acentuada en la actual sociedad (netamente) digital.
Volviendo a nuestros días y al escenario europeo, la propuesta de Directiva pretende “introducir la obligación de que los prestadores detecten, denuncien, bloqueen y eliminen los materiales de abuso sexual de menores de sus servicios,” con el ánimo de “mejorar la detección, la investigación y el enjuiciamiento de infracciones en el marco de la Directiva sobre abuso sexual de menores.” Por su parte Europol recibirá las denuncias de los prestadores, las verificará para evitar denunciar “falsos positivos evidentes” y las retransmitirá a las fuerzas y cuerpos de seguridad nacionales.
Para empezar, la propuesta es que sean las compañías privadas las que incluyan y mantengan los mecanismos de monitorización de sus usuarios a través de sus aplicaciones. En esas circunstancias, lo ingenuo es suponer que todo esto sólo se pueda llegar a hacer sólo bajo un control judicial y con las garantías constitucionales que imperan en el mayor número de estados realmente democráticos.
Todo ello, sin percatarnos de que la universalización de la medida equivale a 1) considerar todas las comunicaciones privadas “sospechosas” y que 2) un filtro (¿automático?), artefacto o algoritmo vendrá a eximirnos de cualquier “culpabilidad” si logramos superar su escrutinio. Esto y los sistemas de armas autónomos letales12 tan probadas en la frontera de Gaza13, empiezan a parecerse mucho.
CHAT CONTROL, UNA POLÉMICA PROPUESTA LEGISLATIVA DE LA UE
Según la Comisión Europea, esta propuesta tiene por objeto “eliminar los obstáculos (¿cuáles?) existentes a la prestación de los servicios pertinentes en el mercado único digital” y “permitir al mismo tiempo combatir eficazmente el abuso sexual de menores en línea”.
A fin de cuentas, el “Chat Control” es una propuesta legislativa de la Unión Europea que busca obligar a las plataformas (privadas) de mensajería instantánea como WhatsApp, Telegram y Signal, o las de correo electrónico como Gmail u Outlook a escanear (¿automáticamente?) los mensajes privados de los usuarios para detectar algún tipo de material que, en principio, sólo estaría relacionado con el abuso sexual de menores de edad pero, una vez creada la oportunidad, son innumerables el número de “otras posibilidades”.
Aunque la intención declarada pueda ser considerada muy loable por algunos, está muy claro que esta medida 1) choca directamente con el principio de privacidad del usuario ya que, para funcionar, requiere que las propias apps lean (¿entiendan?) tus mensajes antes de que los envíen, 2) que invierten el principio de la prueba al considerar cualquier comunicación sospechosa y tener que quedar exento de culpa si se superasen esos filtros impuestos a toda la población, y 3) técnicamente hablando, esta propuesta de los lobbies policiales muy atendidos dentro de la Comisión Europea, es de muy dudosa realización práctica ya que tendría que “mecanizarse” qué es, por ejemplo y para empezar, “abuso sexual infantil” y eso no es algo que quede claro. ¿Cómo se haría? ¿Lo haría una persona, un juez, o una IA ya que están tan de moda? La supervisión de contenidos en todas las redes sociales es algo que ha estado muy en boga últimamente, y son muchos los ejemplos de que fracasa14 y, sobre todo, no resultan nada democráticos y/o constitucionales.
De aprobarse la norma tal y como está redactada la Directiva, lo único que se conseguiría sería establecer legalmente 1) que las empresas deben facilitar el control de facto y 2) la vigilancia preventiva de TODAS las conversaciones privadas de los ciudadanos europeos.
Este proceder es una manifestación más de que “los atacantes” no suelen romperse la crisma frente a los sistemas de cifrado modernos bien utilizados, sino que pretenden acceder a la información “justo antes de ser cifrada, o nada más después de haber sido descifrada” por el usuario legítimo, al más puro estilo de la NSA y sus relaciones con los diferentes proveedores15.
Esto ya lo habían conseguido en 2001 a través de los mecanismos automáticos y remotos de intercepción de las comunicaciones telefónicas conocido en nuestro país como SITEL16 y que en algo recuerda al sistema norteamericano de vigilancia global de los años sesenta conocido como ECHELON17. Sin embargo, las nuevas generaciones de ciudadanos prácticamente no hablan por teléfono, las comunicaciones telefónicas ya no son analógicas por cable, e Internet está y coloniza todos los aspectos de la vida personal individual y de la sociedad en general. En este nuevo escenario las investigaciones policiales también se han vuelto digitales y mucho más potentes y cómodas que las técnicas clásicas de recopilación de pruebas o indicios analógicos o sociales de siglos anteriores.
Esta es la razón por la que los lobbies (policiales) afectados vienen ahora esta nueva versión de Crypto-War pero en su versión europea. Ya que los EE.UU. todavía se acuerdan y tienen que terminar de digerir las informaciones que publicó en 2013, Edward Snowden18 sobre la NSA y los derechos constitucionales de los ciudadanos norteamericanos.
NUEVO DEBATE CON DIVISIÓN DE OPINIONES
El pasado 12 de septiembre se llevó de nuevo a debate, en el que se puso de manifiesto una importante división de opiniones entre los estados miembro hay naciones como España, Portugal, Francia, Italia, Croacia, Hungría, Bulgaria, Chipre, Malta, Islandia, Dinamarca, Suecia, Letonia y Lituania que apoyan esta ley, frente a Austria, Bélgica, República Checa, Finlandia, Alemania, Luxemburgo, Países Bajos, Polonia y Eslovaquia que han mostrado su rechazo a la misma.
Personalmente, no entiendo cómo el Gobierno de España se alinea con los que quieren “poner puertas” a Internet. No puedo aceptar que se haya creído la milonga de que todo esto es para combatir el abuso sexual de menores, cuando ya tenemos años de iniciativas más realistas y clásicas que ésta y que han fracasado estrepitosamente en su menester de acabar con el abuso sexual infantil en la red, o en la calle.
La Operación Chemosh19, coordinada por Europol, es la que (probablemente) ha podido inspirar estas nuevas propuestas de “ilegalización” fáctica del Cifrado Extremo a Extremo20, ya que en ella se descubrió que grupos organizados intercambiaban material de abuso sexual infantil a través de chats cifrados y utilizando stickers o emojis aparentemente inofensivos que apuntaban a contenido ilícito en su interior.
Las organizaciones criminales van a seguir “bastionando” sus operaciones y lo único que ellos mismos no pueden detener es el clásico uso de infiltrados (the insider risk). Sin embargo, el daño que se puede hacer ahora a toda la Sociedad al permitir legalmente estas puertas traseras instaladas urbi et orbe y sin orden judicial previa, es mucho mayor por sus consecuencias que veinte o treinta años atrás.
La economía global actual está ya demasiado ligada a una Internet insegura que resultaría mucho más insegura si se aceptan las premisas ocultas dentro de la propuesta de Directiva. Cualquier propuesta en estos temas debe aproximarse con mucha cautela y viendo todos los posibles riesgos y efectos colaterales. La complejidad del entorno actual de Internet, con millones de aplicaciones y servicios conectados entre sí, hace probable que se introduzcan consecuencias nuevas en la aplicación de Directivas como la que nos ocupa, y que resulten nuevos imprevistos y dificultades difíciles de detectar.
Si lo que se quiere es proteger a los niños de su explotación, sea sexual o de otro tipo, a través de las redes sociales o de Internet, la única solución distinta a seguir reforzando los derechos legales del niño o niña, es quitarles los móviles y considerar a Internet lo que realmente ha sido siempre, una plataforma de contenido “para adultos”. Si ser adulto es tener 18 años, esa es la fecha para dejar que los niños y niñas se acerquen a Internet.
Vaya por delante que la culpa no estaría en que los jóvenes son jóvenes, si no en el hecho de que Internet, tal y como está, es un producto o servicio que debe ser ”calificado” por la sociedad. Igual que hay que ser mayor de edad para beber alcohol, conducir vehículos o adquirir armas de fuego, (son sólo algunos ejemplos, hay más) la Sociedad como un todo debería decidir si lo que llamamos internet es “para todos los públicos” o si debería tener su acceso limitado para los adultos (legales). De ese modo, tod@s, la Sociedad en su conjunto, podría saber a qué atenerse y saber cuál es su grado de responsabilidad colectiva en todo lo que da por bueno. Al igual que los viejos creo que deberían dejar de conducir vehículos a cierta edad (cosa que en España no ocurre), así los más jóvenes no deben acceder ciertas funciones, hasta que llegue el momento de poder ser responsable de ello.
Igual que hoy tenemos claro en Occidente que el hígado de los niños no está hecho para consumir alcohol (p.ej., Kina San Clemente21) para adormecerlos22, abrirles el apetito o, simplemente, quitárselos de encima, hoy tampoco se les puede narcotizar con las pantallas, sean las que sean, y sea donde sea (en la Escuela, tampoco) y no olvidemos que realmente no hay contenido para niños en Internet.
1 Ver Prof. Scandola
2 Ver https://www.lanuovaferrara.it/ferrara/cronaca/2025/09/13/news/unife-e-il-mondoscientifico-in-lutto-e-morto-il-professor-carlo-alberto-bignozzi-1.100760375 y https://www.linkedin.com/posts/sabrina-menghini-501a4092_a-life-for-science-the-name-ofbignozzi-carried-activity-7374841770309824512-Ug8i/
3 Ver https://www.newtral.es/ley-chat-control-union-europea-abuso-infantilmenores/20251014/
4 Ver https://en.wikipedia.org/wiki/National_Security_Agency
5 Ver https://en.wikipedia.org/wiki/Clipper_chip y https://www.cryptomuseum.com/crypto/usa/clipper.htm
6 Ver https://en.wikipedia.org/wiki/Digital_Fortress
7 Ver https://en.wikipedia.org/wiki/Cypherpunk
8 Ver https://en.wikipedia.org/wiki/Alt.*_hierarchy y https://en.wikipedia.org/wiki/Usenet_newsgroup
9 Ver https://en.wikipedia.org/wiki/Crypto_Wars
10 Ver https://www.schneier.com/wp-content/uploads/2016/02/paper-key-escrow.pdf
11 Ver https://en.wikipedia.org/wiki/Key_escrow
12 Ver https://en.wikipedia.org/wiki/Lethal_autonomous_weapon
13 Ver https://www.newscientist.com/article/2282656-israel-used-worlds-first-ai-guidedcombat-drone-swarm-in-gaza-attacks/
14 https://ijnet.org/es/story/claves-para-que-los-fact-checkers-cuiden-su-salud-mental
15 Ver https://en.wikipedia.org/wiki/2010s_global_surveillance_disclosures
16 Ver https://es.wikipedia.org/wiki/SITEL
17 Ver https://en.wikipedia.org/wiki/ECHELON
18 Ver https://es.wikipedia.org/wiki/Edward_Snowden
19 Ver https://www.europol.europa.eu/media-press/newsroom/news/operation-chemosh-how-encrypted-chat-groupsexchanged-emoji-%E2%80%98stickers%E2%80%99-of-child-sexual-abuse
20 Ver https://en.wikipedia.org/wiki/End-to-end_encryption
21 Ver https://elpais.com/gastronomia/el-comidista/2015/11/11/articulo/1447239566_060305.html
22 Ver https://youtu.be/KDPeDV-4r7Y?si=3VKanoytsA4u-ZWA