DNI, contraseñas y todos los pagos en una misma aplicación. Es lo que se conoce como el 'European Digital Identity Wallet'. Un sistema unificado que quiere crear la Unión Europea como alternativa a las grandes compañías tecnológicas. Para implementarlo se trabaja en el nuevo reglamento eIDAS ('electronic IDentification, Authentication and trust Services'). Una reforma que ha puesto en alerta a decenas de organizaciones por sus profundos riesgos en la privacidad y seguridad de los usuarios.
Empresas certificadas que superan todos los controles. En la reforma del reglamento eIDAS se ha propuesto la creación de las "Autoridades Certificadas". Se trataría de una serie de empresas europeas seleccionadas que contarían con una autenticación certificada (QWACs).
La polémica llega según lo descrito en el artículo 45, donde se expone que todos los navegadores estarán obligados a aceptar como válidos estos certificados. Independientemente de que cumplan o no los estándares de seguridad. En vez de aplicar en cada caso el criterio del navegador, se obligará a aceptar el criterio de seguridad de la Unión Europea.
Decenas de organizaciones y cientos de expertos en contra. En una carta abierta, más de 460 investigadores de 36 países distintos y decenas de organizaciones no gubernamentales, han alertado de los riesgos de esta reforma del eIDAS.
Desde la Electronic Frontier Foundation (EFF) hasta la Document Foundation (LibreOffice), pasando por Mozilla, la Linux Foundation o pioneros como Vint Cerf.
El artículo 45 es una "peligrosa intervención en la seguridad de internet". En la carta abierta enviada a los miembros del Parlamento y el Consejo Europeo explican que los actuales certificados HTTPS siguen unas reglas comunes y que cualquier fallo puede comprometer las comunicaciones.
Entre los aspectos del artículo 45 que critican está que "obligar a que ciertas entidades sean certificadas no cumple con las recomendaciones del 'CA/Browser Forum'".
"La propuesta actual amplía radicalmente la capacidad de los gobiernos para vigilar a los residentes en toda la UE, proporcionando los medios técnicos para interceptar datos cifrados en internet, además de socavar los mecanismos de supervisión existentes", explican.
El mero error de un país podría extenderse a todos. El artículo 45 puede suponer "efectos extraterritoriales indeseables" explican en la carta abierta. Esto es debido a que las autoridades certificadas de un país deben ser reconocidas en toda la Unión Europea. Pongamos el caso de que cierto país decide otorgar este certificado de manera corrupta. Esta decisión afectaría a la seguridad de todo el resto de usuarios.
Y traería fragmentación. Además del riesgo en la privacidad, establecer unas autoridades certificadas concretas podría derivar en que fuera de la Union Europea no se aceptasen y se optase por una lista separada de empresas certificadas. Esto tendría el efecto adverso de derivar en una web fragmentada, con webs únicamente accesibles en función de la región, apuntan las organizaciones que han firmado la carta en contra.
Esperemos que acabe igual que el 'Chat Control'. Está previsto que hoy los negociadores se reúnan para un último diálogo, a puerta cerrada. En diciembre el Consejo debería llegar a un acuerdo y en febrero de 2024 el Parlamento Europeo deberá votar lo que acabará convertido en ley.
"La gran mayoría de cambios que introducen nuevos riesgos se han hecho en reuniones a puerta cerrada, sin dar oportunidad a expertos y público de opinar. Cuando los cambios pueden tener un efecto importante en nuestras libertades debería haber mas transparencia", expone Carmela Troncoso, profesora asociada en EPFL y especialista en privacidad.
El riesgo es similar al del 'Chat control' y la intención de eliminar de facto el cifrado de extremo a extremo. Afortunadamente, a finales de octubre el Parlamento votó en contra del apartado que suponía revisar todas las conversaciones.
Imagen | Evgeniy Alyoshin
Ver 33 comentarios