Más de 500 científicos y ONG de 39 países, entre ellos 26 españoles, denuncian que el acuerdo de identidad digital de la UE (eIDAS) invade la privacidad de los ciudadanos. Dicha denuncia se materializa en un carta enviada al Parlamento Europeo en la que manifiestan su rechazo a la reforma de identidad digital europea. Entre otras cuestiones, argumentan que la propuesta amplía radicalmente la capacidad de los gobiernos para vigilar tanto a sus propios ciudadanos como a los residentes en toda la UE. Los firmantes indican que la propuesta proporciona los medios técnicos para interceptar el tráfico web cifrado, además de socavar los mecanismos de supervisión existentes en los que confían los ciudadanos europeos. Entre los firmantes se encuentra Electronic Frontier (EFF), una organización que defiende las libertades civiles en el mundo digital.
Identidad digital UE
La carta alerta que con la actual reforma de identidad digital «cualquier Estado miembro de la UE o un tercer país, actuando por sí solo, es capaz de interceptar el tráfico web de cualquier ciudadano de la UE. Le pedimos que reconsidere urgentemente este texto y deje claro que el Artículo 45 no interferirá con las decisiones de confianza en torno a las claves criptográficas y los certificados utilizados para proteger el tráfico web».
Tal y como denuncian los científicos, las normas propuestas abren la posibilidad de monitorear la actividad de los ciudadanos, al conceder a los gobiernos de la UE la capacidad de espiar a cualquier persona que use dichas identidades digitales. A los firmantes les preocupa las implicaciones que la propuesta puede tener en la privacidad de los ciudadanos. Además, empresas como Apple, Google y Mozilla podrían no permitir que la UE espíe potencialmente el tráfico global, lo que plantea preocupaciones sobre la fragmentación de Internet y el acceso limitado a ciertos sitios web para los ciudadanos de la UE.
El Futuro de la Banca, Depósitos Tokenizados
Igualmente, varias compañías con sede en Europa o que comercializan productos y servicios en la UE, también han hecho llegar a al Parlamento y al Consejo de la Unión Europea su preocupación por la nueva legislación de la identidad digital. Los firmantes, entre los que se encuentra la compañía Cisco o la Fundación Linux, indican que los artículos 45 y 45a debilitan la seguridad de Internet en su conjunto.
eIDAS, estándar de identidad digital europea
Para conocer el alcance de todo esto, conviene conocer las herramientas de las que hablamos. En primer lugar, nos encontramos con las siglas eIDAS, que significan Electronic IDentification, Authentication and trust Services. eIDAS es una regulación del Parlamento Europeo y del Consejo de la Unión Europea que tiene como objetivo establecer interacciones electrónicas seguras entre empresas, ciudadanos y autoridades públicas en la UE. Lo hace centrándose en la identificación electrónica, la autenticación y los servicios de confianza, con el objetivo de aumentar la confianza en las transacciones electrónicas.
Los jóvenes de Francia invierten en criptomonedas y NFT
Incluye sistemas de identificación electrónica y servicios de confianza como firmas electrónicas, sellos, marcas temporales y servicios de entrega electrónica registrada. Al reconocer varios tipos de firmas electrónicas, la hace aplicable a la mayoría de los contratos comerciales. Las soluciones de verificación de identidad de Electronic IDentification son manejadas por la empresa Signicat. Se trata de soluciones pensadas para reducir los procesos de adquisición de datos de usuarios de semanas a segundos, y transformando las interacciones empresa-cliente con servicios como la identificación por video, firma electrónica avanzada y autenticación biométrica facial, todo respaldado por el uso de IA y aprendizaje automático.
Rastrea nuestras operaciones financieras
Se trata de una herramienta capaz de rastrear todas nuestras operaciones financieras y electrónicas. Como los sitios web que visitamos o la información que compartimos. Una vez que eIDAS se integre en los sistemas de la UE y en los servicios que estén desplegados dentro de su territorio, todo estará a su alcance.
En el acuerdo provisional inicial existen algunos elementos que llaman poderosamente la atención:
Las firmas electrónicas pueden tener doble función económica. Las firmas e identidades digitales pueden ser emitidas por los Estados miembros de forma gratuita para identificar a sus ciudadanos, hasta aquí nada nuevo. Pero el acuerdo provisional también deja claro que los Estados pueden cobrar un nuevo impuesto sobre las mismas, aplicable a todas aquellas personas que deseen hacer un uso profesional de dicha firma electrónica. Por ejemplo, un abogado podría verse obligado a firmar digitalmente los documentos legales que realice a sus clientes, incurriendo así en un nuevo impuesto aplicable a dicha operación.
Nefastos efectos para Europa en su Ley de IA si limita el Open Source
Nuevos negocios con nuestros datos
Por otro lado, las billeteras digitales y las identidades digitales que manejan son susceptibles de convertirse en un modelo de negocio. Los emisores y custodios de los monederos pueden usar los datos de las mismas para crear modelos de negocios alternativos utilizando los datos asociados a dicha identidad. Eso sí, la emisión, uso y revocación serán gratuitos para todas las personas físicas (siempre y cuando no apliquen al caso profesional anterior).
Código abierto
Se indica que el código fuente de los monederos digitales debe ser de «código abierto». Sin embargo, esto es opcional y los Estados pueden justificar el diseño de componentes totalmente privativos si así lo desean. Los estados igualmente controlarán el diseño de monederos alternos, por lo que aquellos monederos que no cumplan con las directrices estatales serán clasificados como ilegales, so pena de marcar las identidades y sus firmas como no confiables y ser inhabilitadas.
El peligro de los QWACS
Certificados de autenticación web (QWAC). Se muestran como elementos que garantizan que los usuarios puedan verificar quién está detrás de un sitio web, preservando al mismo tiempo las reglas y estándares de seguridad actuales bien establecidos de la industria. Sin embargo, para la aplicación de este esquema la legislación debilita de forma sistemática la seguridad de cifrado de Internet, poniendo en riesgo directo la privacidad de nuestras conexiones.
Una situación sin precedentes
El asunto de los QWAC (certificados calificados de autenticación web) es quizá el más polémico de todos. Para comprender mejor el alcance, vamos con un ejemplo: hoy en día te conectas a una Web de forma segura gracias a los certificados TLS. Lo haces con la confianza de que tu conexión está cifrada, con lo que solo tú y el servicio que estás usando con esa conexión saben exactamente qué datos se están enviando. Con la nueva propuesta de QWAC, dicha protección desaparece. De aprobarse, los estados de la UE podrán pinchar tu conexión “cifrada” y saber qué estás haciendo, leer todos los datos y más. Todo ello en tiempo real.
La situación resulta un tanto irónica. Por ejemplo, recientemente Google, la empresa tras el mayor navegador web del mundo, ha decidido dejar de confiar en los certificados TrustCor. La razón para tal decisión es sencilla: TrustCor ya no es confiable porque desde esta Autoridad Certificadora (CA, por sus siglas en inglés) ha subvertido y degradado de forma sistemática la seguridad y la privacidad en la web. Esto hace que sus certificados no cumplan con estándares de seguridad. Mozilla y Microsoft también han tomado posiciones y han vetado los certificados bajo la misma premisa.
26 firmantes españoles
Pues bien, algo parecido podría suceder si la UE aprueba su propuesta. De ser así, los grandes navegadores tendrían que emitir versiones específicas para la UE. Una situación que podría afectar negativamente a la privacidad y la conectividad de los usuarios europeos con otros países y los servicios que hagan vida desde los mismos.
Los firmantes del documento por parte española son: Jorge Blasco Alis, Universidad Politécnica de Madrid; Juan Caballero, de IMDEA Software Institute; Ignacio Cascudo, de IMDEA Software Institute. Jordi Domingo, Universitat Politècnica de Catlaunya (UPC BarcelonaTECH); Josep Domingo-Ferrer, Universitat Rovira i Virgili; Luis Fernández-Sanz, Universidad de Alcalá; Dario Fiore, de IMDEA Software Institute.
José María de Fuentes, Universidad Carlos III de Madrid; David Arroyo Guardeño, Spanish National Research Council Prof; Marco Guarnieri, IMDEA Software Institute; Jordi Herrera-Joancomartí, Universitat Autònoma de Barcelona. Lorena González Manzano, Universidad Carlos III de Madrid; Pedro Moreno-Sanchez, IMDEA Software Institute; Gorka Guardiola Múzquiz, Universidad Rey Juan Carlos; Antonio Nappa, UC3M Madrid;. Jose A. Onieva, Universidad de Málaga; Sergio Pastrana, Universidad Carlos III de Madrid.
Fernando Pérez-González, Universidad de Vigo; Ricardo J. Rodríguez, Universidad de Zaragoza; Carla Ràfols, Universitat Pompeu Fabra; Enrique Soriano-Salvador, Universidad Rey Juan Carlos; Guillermo Suarez-Tangill IMDEA Networks Institute. Juan Tapiador, Universidad Carlos III de Madrid; Ida Tucker. Narseo Vallina-Rodriguez, IMDEA Networks Institute; María Isabel González Vasco, Universidad Carlos III de Madrid.
- Los procesadores ARM revolucionarán nuestros ordenadores - 25 noviembre, 2024
- ¿Por qué cae el uso de stablecoins ancladas al euro frente a las vinculadas al dólar? - 22 noviembre, 2024
- Te enseñamos a crear tu propia red social con BlueSky - 21 noviembre, 2024