El 24 de marzo, los órganos rectores de la UE anunciaron que habían llegado a un acuerdo sobre la legislación más amplia para apuntar a Big Tech en Europa, conocida como la Ley de Mercados Digitales (DMA). Considerada como una ley ambiciosa con implicaciones de gran alcance, la medida más llamativa del proyecto de ley requeriría que todas las grandes empresas tecnológicas, definidas como aquellas con una capitalización de mercado de más de 75 000 millones de euros o una base de usuarios de más de 45 millones de personas en la UE: crear productos que sean interoperables con plataformas más pequeñas.
Para las aplicaciones de mensajería, eso significaría permitir que los servicios encriptados de extremo a extremo como WhatsApp se mezclen con protocolos menos seguros como SMS, lo que a los expertos en seguridad les preocupa que socavará las ganancias obtenidas con tanto esfuerzo en el campo del encriptado de mensajes. El enfoque principal de la DMA es una clase de grandes empresas de tecnología denominadas «guardianes», definidas por el tamaño de su audiencia o ingresos y, por extensión, el poder estructural que pueden ejercer contra competidores más pequeños.
A través de las nuevas regulaciones, el gobierno espera “abrir” algunos de los servicios proporcionados por dichas empresas para permitir que las empresas más pequeñas puedan competir. Eso podría significar permitir que los usuarios instalen aplicaciones de terceros fuera de la App Store, permitir que los vendedores externos obtengan una clasificación más alta en las búsquedas de Amazon o requerir que las aplicaciones de mensajería envíen mensajes de texto a través de múltiples protocolos.
Pero esto podría representar un problema real para los servicios que prometen encriptación de extremo a extremo. El consenso entre los criptógrafos es que será difícil, si no imposible, mantener el cifrado entre aplicaciones, con implicaciones potencialmente enormes para los usuarios. Signal es lo suficientemente pequeño como para no verse afectado por las disposiciones de DMA, pero WhatsApp, que usa el protocolo Signal y es propiedad de Meta, ciertamente lo haría.
El resultado podría ser que parte, si no toda, la encriptación de mensajería de extremo a extremo de WhatsApp se debilite o elimine, robando a mil millones de usuarios las protecciones de la mensajería privada. Dada la necesidad de una implementación precisa de los estándares criptográficos, los expertos dicen que no existe una solución simple que pueda conciliar la seguridad y la interoperabilidad para los servicios de mensajería cifrada.
Efectivamente, no habría forma de fusionar diferentes formas de encriptación en aplicaciones con diferentes características de diseño, dijo Steven Bellovin, un aclamado investigador de seguridad en Internet y profesor de informática en la Universidad de Columbia. “Tratar de reconciliar dos arquitecturas criptográficas diferentes simplemente no se puede hacer; uno u otro lado tendrá que hacer cambios importantes”, dijo Bellovin. “Un diseño que funciona solo cuando ambas partes están en línea se verá muy diferente a uno que funciona con mensajes almacenados, ¿Cómo haces que esos dos sistemas interoperen?”
Hacer que los diferentes servicios de mensajería sean compatibles puede conducir a un enfoque de diseño de mínimo común denominador, dice Bellovin, en el que las características únicas que hicieron que ciertas aplicaciones fueran valiosas para los usuarios se eliminan hasta que se alcanza un nivel compartido de compatibilidad.
Por ejemplo, si una aplicación admite la comunicación multipartita cifrada y otra no, el mantenimiento de las comunicaciones entre ellas normalmente requerirá que se elimine el cifrado. Alternativamente, la DMA sugiere otro enfoque, igualmente insatisfactorio para los defensores de la privacidad, en el que los mensajes enviados entre dos plataformas con esquemas de cifrado incompatibles se descifran y se vuelven a cifrar cuando pasan entre ellos, rompiendo la cadena de cifrado «de extremo a extremo» y creando un punto de vulnerabilidad para la intercepción por parte de un mal actor.
Alec Muffett, un experto en seguridad de Internet y ex ingeniero de Facebook que recientemente ayudó a Twitter a lanzar un servicio Tor encriptado, le dijo a The Verge que sería un error pensar que Apple, Google, Facebook y otras compañías tecnológicas estaban fabricando productos idénticos e intercambiables que podría combinarse fácilmente.
“Si entras en un McDonald’s y dices: ‘Con el fin de romper los monopolios corporativos, exijo que incluyas un plato de sushi de algún otro restaurante con mi pedido’, con razón te mirarían fijamente”, dijo Muffett. “¿Qué sucede cuando el sushi solicitado llega por mensajería a McDonald’s desde el restaurante de sushi supuestamente solicitado? ¿Puede y debe McDonald’s servir ese sushi al cliente? ¿Era legítimo el mensajero? ¿Fue preparado de forma segura?
Actualmente, cada servicio de mensajería asume la responsabilidad de su propia seguridad, y Muffett y otros han argumentado que al exigir interoperabilidad, los usuarios de un servicio están expuestos a vulnerabilidades que pueden haber sido introducidas por otro. Al final, la seguridad general es tan fuerte como el eslabón más débil.
Otro punto de preocupación planteado por los expertos en seguridad es el problema de mantener un «espacio de nombres» coherente, el conjunto de identificadores que se utilizan para designar diferentes dispositivos en cualquier sistema en red. Un principio básico del cifrado es que los mensajes se codifican de una manera única para una identidad criptográfica conocida, por lo que hacer un buen trabajo de gestión de la identidad es fundamental para mantener la seguridad.
«¿Cómo le dices a tu teléfono con quién quieres hablar y cómo encuentra el teléfono a esa persona?» dijo Alex Stamos, director del Observatorio de Internet de Stanford y exdirector de seguridad de Facebook. “No hay forma de permitir el cifrado de extremo a extremo sin confiar en que cada proveedor maneje la gestión de identidades. Si el objetivo es que todos los sistemas de mensajería traten a los usuarios de los demás exactamente de la misma manera, entonces esto es un problema de privacidad, y la pesadilla de la seguridad”.
No todos los expertos en seguridad han respondido tan negativamente a la DMA. Algunas de las objeciones compartidas anteriormente por Muffett y Stamos se han abordado en una publicación de blog de Matrix, un proyecto orientado al desarrollo de un estándar de comunicaciones seguro y de código abierto.
La publicación, escrita por el cofundador de Matrix, Matthew Hodgson, reconoce los desafíos que conlleva la interoperabilidad obligatoria, pero argumenta que se ven superados por los beneficios que surgirán al desafiar la insistencia de los gigantes tecnológicos en los ecosistemas de mensajería cerrados.
“En el pasado, los guardianes descartaron el esfuerzo de [interoperabilidad] por considerar que no valía la pena”, dijo Hodgson a The Verge. “Después de todo, el curso de acción predeterminado es construir un jardín amurallado, y una vez construido uno, la tentación es tratar de atrapar a tantos usuarios como sea posible”.
Pero dado que los usuarios generalmente están felices de centralizar la confianza y un gráfico social en una aplicación, no está claro si la imposición de arriba hacia abajo de la mensajería multiplataforma se refleja en la demanda desde abajo. “iMessage ya tiene interoperabilidad: se llama SMS y a los usuarios realmente no les gusta”, dijo Alex Stamos. “Y tiene propiedades de seguridad realmente malas que no se explican con burbujas verdes”.