Las nuevas Directrices para Intermediarios y el Código Ético de los Medios Digitales ("Reglas 2021") del gobierno indio plantean enormes problemas para la libertad de expresión y la privacidad de los usuarios de Internet. Incluyen peligrosos requisitos para que las plataformas identifiquen el origen de los mensajes y preseleccionen los contenidos, lo que fundamentalmente rompe la fuerte encriptación de las herramientas de mensajería. Aunque WhatsApp y otros están desafiando las normas en los tribunales, las Reglas 2021 ya han entrado en vigor.

Tres relatores especiales de la ONU -el de Libertad de Expresión, el de Privacidad y el de Asociación- escucharon y ratificaron en gran medida las críticas de la sociedad civil a las Normas 2021, reconociendo que "no se ajustan a las normas internacionales de derechos humanos". De hecho, los relatores expresaron su profunda preocupación por el hecho de que la Regla 4 de las directrices pueda comprometer el derecho a la intimidad de todos los usuarios de Internet, y pidieron al gobierno indio que llevara a cabo una revisión detallada de las Reglas y que consultara a todas las partes interesadas, incluidas las ONG especializadas en privacidad y libertad de expresión.

Las reglas 2021 contienen dos disposiciones especialmente perniciosas: el mandato de filtrado de contenidos de la norma 4(4) y el mandato de trazabilidad de la norma 4(2).

Mandato de filtrado de contenidos

La norma 4(4) obliga a filtrar los contenidos, exigiendo que los proveedores puedan revisar el contenido de las comunicaciones, lo que no sólo rompe fundamentalmente el cifrado de extremo a extremo, sino que crea un sistema de censura. Los intermediarios importantes de las redes sociales (es decir, Facebook, WhatsApp, Twitter, etc.) deben "esforzarse por desplegar medidas basadas en la tecnología", incluidas herramientas automatizadas u otros mecanismos, para "identificar proactivamente la información" que ha sido prohibida en virtud del Reglamento. Esto no puede hacerse sin romper las promesas de nivel superior de la mensajería cifrada de extremo a extremo.

El escaneo del lado del cliente se ha propuesto como una forma de aplicar el bloqueo de contenidos sin romper técnicamente el cifrado de extremo a extremo. Es decir, el propio dispositivo del usuario podría utilizar su conocimiento del contenido no cifrado para hacer cumplir las restricciones negándose a transmitir, o quizás a mostrar, cierta información prohibida, sin revelar al proveedor de servicios quién intentaba comunicar o ver esa información. Esto es un error. El escaneo en el lado del cliente requiere espionaje automatizado. Un espía en un lugar donde la gente está hablando en privado hace que no sea una conversación privada. Aun si ese espía es un robot-espía como en el caso del escaneo del lado del cliente, sigue siendo un espía tanto como si fuera un espía humano.

Como explicamos el año pasado, el escaneo del lado del cliente rompe intrínsecamente las promesas de nivel superior de las comunicaciones cifradas seguras de extremo a extremo. Si el proveedor controla lo que hay en el conjunto de materiales prohibidos, puede realizar pruebas contra declaraciones individuales, por lo que una prueba contra un conjunto de tamaño 1, en la práctica, es lo mismo que ser capaz de descifrar un mensaje. Y con el escaneo del lado del cliente, no hay forma de que los usuarios, los investigadores o la sociedad civil auditen el contenido de la lista de materiales prohibidos.

El gobierno indio enmarca el mandato como dirigido al terrorismo, la obscenidad y la plaga de material de abuso sexual infantil, pero el mandato es en realidad mucho más amplio. También impone la aplicación proactiva y automática de las disposiciones de la sección (3)1(d) de las Reglas 2021 sobre retirada de contenidos, que exige el bloqueo proactivo de material considerado previamente como "información prohibida por cualquier ley", incluyendo específicamente las leyes para la protección de "la soberanía y la integridad de la India; la seguridad del Estado; las relaciones amistosas con Estados extranjeros; el orden público; la decencia o la moralidad; en relación con el desacato a los tribunales; la difamación", y la incitación a cualquier acto de este tipo. Esto incluye la muy criticada Ley de Prevención de Actividades Ilegales, que al parecer se ha utilizado para detener a académicos, escritores y poetas por dirigir concentraciones y publicar mensajes políticos en las redes sociales.

Este amplio mandato es todo lo que se necesita para suprimir automáticamente la disidencia, la protesta y la actividad política que no le gusta a un gobierno, antes incluso de que pueda transmitirse. La respuesta delgobierno indio a los relatores desestima esta preocupación, escribiendo que "las credenciales democráticas de la India están bien reconocidas. El derecho a la libertad de expresión está garantizado por la Constitución india".

La respuesta no tiene sentido. Incluso si un Estado democrático aplica este increíble poder para suprimir preventivamente la expresión sólo en raras ocasiones y dentro de los límites de los derechos internacionalmente reconocidos a la libertad de expresión, la Regla(4)4 pone en marcha el kit de herramientas para una represión autoritaria, aplicada automáticamente no sólo en el discurso público, sino incluso en los mensajes privados entre dos personas.

Parte del compromiso con los derechos humanos en una democracia requiere higiene cívica, negándose a crear las herramientas del poder antidemocrático.

Además, este tipo de normas dan comodidad y credibilidad a los esfuerzos de los autoritarios por conseguir intermediarios que les ayuden en sus medidas represivas. Si esta norma estuviera a disposición de China, palabra por palabra, podría utilizarse para exigir a las empresas de medios sociales que bloqueen la transmisión de imágenes de Winnie the Pooh tal como ocurrió en China, incluso en mensajes directos "cifrados".

Los filtros automatizados también violan el debido proceso, invirtiendo la carga de la censura. Como dejaron claro los tres relatores especiales de la ONU, un

La obligación de supervisión general que llevará a la supervisión y el filtrado de los contenidos generados por los usuarios en el punto de subida ... permitiría el bloqueo de contenidos sin ninguna forma de proceso debido incluso antes de que se publiquen, invirtiendo la presunción bien establecida de que los Estados, y no los individuos, soportan la carga de justificar las restricciones a la libertad de expresión.

Mandato de trazabilidad

La disposición sobre trazabilidad, en la Regla 4(2), exige a cualquier gran intermediario de medios sociales que preste servicios de mensajería que "permita la identificación del primer originador de la información en su recurso informático" en respuesta a una orden judicial o a una solicitud de descifrado emitida en virtud de las Reglas de Descifrado de 2009. Las Normas de Descifrado permiten a las autoridades solicitar la interceptación o el control de cualquier información descifrada generada, transmitida, recibida o almacenada en cualquier recurso informático.

El gobierno indio respondió al informe del Relator, afirmando que respetaba el derecho a la intimidad:

"El Gobierno de la India reconoce y respeta plenamente el derecho a la intimidad, tal y como se pronunció el Tribunal Supremo de la India en el caso K.S. Puttaswamy. La privacidad es el elemento central de la existencia de un individuo y, a la luz de esto, las nuevas normas de TI sólo buscan información sobre un mensaje que ya está en circulación y que dio lugar a un delito.

Esta visión limitada de la Norma (4)4 es fundamentalmente errónea. La aplicación de la Norma exige que el servicio de mensajería recopile información sobre todos los mensajes, incluso antes de que el contenido se considere problemático, lo que permite al gobierno llevar a cabo la vigilancia con una máquina del tiempo. Esto cambia el modelo de seguridad e impide la aplicación de un cifrado fuerte que es un respaldo fundamental para proteger los derechos humanos en la era digital.

El peligro para el cifrado

Tanto los mandatos de trazabilidad como los de filtrado ponen en peligro el cifrado, ya que exigen que las empresas conozcan información detallada sobre cada mensaje que, de otro modo, sus diseños de cifrado y seguridad permitirían a los usuarios mantener en secreto. Un cifrado fuerte de extremo a extremo significa que sólo el remitente y el destinatario conocen el contenido de las comunicaciones entre ellos. Incluso si el proveedor sólo compara dos mensajes cifrados para ver si coinciden, sin examinar directamente el contenido, esto reduce la seguridad al permitir más oportunidades de adivinar el contenido.

No es casualidad que las Reglas 2021 ataquen el cifrado. Riana Pfefferkorn, investigadora del Observatorio de Internet de Stanford, escribió que esta norma se dirige intencionadamente al cifrado de extremo a extremo, ya que el gobierno insistirá en que se modifiquen los programas informáticos para anular las protecciones de cifrado:

En declaraciones anónimas a The Economic Times, un funcionario del gobierno dijo que las nuevas normas obligarán a las grandes plataformas en línea a "controlar" lo que el gobierno considera contenido ilegal: Con la nueva normativa, "plataformas como WhatsApp no pueden poner como excusa el cifrado de extremo a extremo para no eliminar esos contenidos", dijo el funcionario.

La exigencia no declarada de romper el cifrado de las Normas 2021 va más allá del mandato de la Ley de Tecnologías de la Información (TI), que autorizó las Normas 2021. El Centro de Internet y Sociedad de la India realiza un detallado análisis jurídico y constitucional de las normas: "No hay nada en el artículo 79 de la Ley de Tecnologías de la Información que sugiera que el legislador pretendía facultar al Gobierno para imponer cambios en la arquitectura técnica de los servicios o socavar la privacidad de los usuarios". Ambos están obligados a cumplir el Reglamento.

Hay soluciones mejores. Por ejemplo, WhatsApp encontró una manera de desalentar el reenvío masivo de mensajes en cadena sin conocer el contenido. Hace que la aplicación anote el número de veces que se ha reenviado un mensaje dentro del propio mensaje para que la aplicación pueda cambiar su comportamiento en función de ello. Como el recuento de reenvíos está dentro del mensaje cifrado, el servidor de WhatsApp y la empresa no lo ven. Por lo tanto, es posible que tu aplicación no te permita reenviar una carta en cadena, porque el contenido de la carta muestra que fue reenviada masivamente, pero la empresa no puede ver el mensaje cifrado y conocer su contenido.

Del mismo modo, facultar a los usuarios para que denuncien contenidos puede mitigar muchos de los perjuicios que inspiraron las Normas Indias 2021. El principio clave del cifrado de extremo a extremo es que un mensaje llega de forma segura a su destino, sin ser interceptado por los fisgones. Esto no impide que el destinatario denuncie los mensajes abusivos o ilícitos, incluyendo el contenido ahora descifrado y la información del remitente. Un intermediario puede facilitar la denuncia de los usuarios y seguir proporcionando el cifrado fuerte necesario para una sociedad libre. Además, existen técnicas criptográficas para que un usuario pueda denunciar un abuso de forma que se identifique el contenido abusivo o ilícito sin posibilidad de falsificar la denuncia y preservando la privacidad de las personas no implicadas directamente.

El Reglamento de 2021 pone en peligro la encriptación, debilitando la privacidad y la seguridad de los ciudadanos de a pie en toda la India, a la vez que crea herramientas que podrían utilizarse con demasiada facilidad en contra de los derechos humanos fundamentales, y que pueden servir de inspiración a los regímenes autoritarios de todo el mundo. Las Normas deben ser retiradas, revisadas y reconsideradas, haciendo oír las voces de la sociedad civil y de los defensores de los derechos humanos internacionales, para garantizar que las Normas ayudan a proteger y preservar los derechos fundamentales en la era digital.