DNI, contraseñas y todos los pagos en una misma aplicación. Es lo que se conoce como el 'European Digital Identity Wallet'. Un sistema unificado que quiere crear la Unión Europea como alternativa a las grandes compañías tecnológicas. Para implementarlo se trabaja en el nuevo reglamento eIDAS ('electronic IDentification, Authentication and trust Services'). Una reforma que ha puesto en alerta a decenas de organizaciones por sus profundos riesgos en la privacidad y seguridad de los usuarios.
Empresas certificadas que superan todos los controles. En la reforma del reglamento eIDAS se ha propuesto la creación de las "Autoridades Certificadas". Se trataría de una serie de empresas europeas seleccionadas que contarían con una autenticación certificada (QWACs).
La polémica llega según lo descrito en el artículo 45, donde se expone que todos los navegadores estarán obligados a aceptar como válidos estos certificados. Independientemente de que cumplan o no los estándares de seguridad. En vez de aplicar en cada caso el criterio del navegador, se obligará a aceptar el criterio de seguridad de la Unión Europea.
Decenas de organizaciones y cientos de expertos en contra. En una carta abierta, más de 460 investigadores de 36 países distintos y decenas de organizaciones no gubernamentales, han alertado de los riesgos de esta reforma del eIDAS.
Desde la Electronic Frontier Foundation (EFF) hasta la Document Foundation (LibreOffice), pasando por Mozilla, la Linux Foundation o pioneros como Vint Cerf.
El artículo 45 es una "peligrosa intervención en la seguridad de internet". En la carta abierta enviada a los miembros del Parlamento y el Consejo Europeo explican que los actuales certificados HTTPS siguen unas reglas comunes y que cualquier fallo puede comprometer las comunicaciones.
Entre los aspectos del artículo 45 que critican está que "obligar a que ciertas entidades sean certificadas no cumple con las recomendaciones del 'CA/Browser Forum'".
"La propuesta actual amplía radicalmente la capacidad de los gobiernos para vigilar a los residentes en toda la UE, proporcionando los medios técnicos para interceptar datos cifrados en internet, además de socavar los mecanismos de supervisión existentes", explican.
El mero error de un país podría extenderse a todos. El artículo 45 puede suponer "efectos extraterritoriales indeseables" explican en la carta abierta. Esto es debido a que las autoridades certificadas de un país deben ser reconocidas en toda la Unión Europea. Pongamos el caso de que cierto país decide otorgar este certificado de manera corrupta. Esta decisión afectaría a la seguridad de todo el resto de usuarios.
Y traería fragmentación. Además del riesgo en la privacidad, establecer unas autoridades certificadas concretas podría derivar en que fuera de la Union Europea no se aceptasen y se optase por una lista separada de empresas certificadas. Esto tendría el efecto adverso de derivar en una web fragmentada, con webs únicamente accesibles en función de la región, apuntan las organizaciones que han firmado la carta en contra.
Esperemos que acabe igual que el 'Chat Control'. Está previsto que hoy los negociadores se reúnan para un último diálogo, a puerta cerrada. En diciembre el Consejo debería llegar a un acuerdo y en febrero de 2024 el Parlamento Europeo deberá votar lo que acabará convertido en ley.
"La gran mayoría de cambios que introducen nuevos riesgos se han hecho en reuniones a puerta cerrada, sin dar oportunidad a expertos y público de opinar. Cuando los cambios pueden tener un efecto importante en nuestras libertades debería haber mas transparencia", expone Carmela Troncoso, profesora asociada en EPFL y especialista en privacidad.
El riesgo es similar al del 'Chat control' y la intención de eliminar de facto el cifrado de extremo a extremo. Afortunadamente, a finales de octubre el Parlamento votó en contra del apartado que suponía revisar todas las conversaciones.
Imagen | Evgeniy Alyoshin
Ver 32 comentarios
32 comentarios
incom2
Os corrijo el titular:
"Europa quiere plantar cara a China y lanza su propia versión del control de la población. Sólo hay un problema: China lleva décadas de ventaja en esta materia."
crisct
Joder, me he leido el paper...cuanto os gusta hablar sin saber, centollos.
Resumiendo, quiere crear unas autoridades de certificación (CA) europeas con sus propias reglas de emisión para emitir certificados QWACS. Para que las webs de las instituciones publicas lo usen para validarse y representarse entre ellas y con los ciudadanos.
¿Y sabeis que? ESTO EN ESPAÑA YA SE HACE, y hace bastante tiempo. La FNMT es la CA española que emite los certs de las entidades publicas (además, por ley!), empresas y ciudadanos (si quieres, si no, hay otras). Y funciona exactamente igual que otro certificado SSL. (salvo detalles como la duración, la renovación, revocacion, etc.). También existen la CA valenciana y Catalana, que son entidades publicas que gestionan estos certificados en cada CCAA.
¿Cual es el problema? Que el certificado raiz de la FNMT (y los otros) no viene con windows ni con los navegadores, lo tienes que instalar manualmente. Ahora quieren que por ley estos certificados raiz ya vengan en el navegador (aunque de lógica deberian venir en el equipo) para que todo funcione como la seda desde el primer momento al entrar a alguna entidad publica europea.
Es un avance lógico y deseable. Ahora mismo los que hay reconocidos en un nuevo pc/telefono/loquesea son los de thawte, verisign, secusign y otras entidades yankis. Deberian estar estos Europeos para que las webs de organismos publicos europeos sean confiables desde el minuto uno.
Estamos hablando de certificados digitales para representar, validar y firmar cosas por internet. NO ESTAMOS HABLANDO DE VIDEOVIGILANCIA MASIVA, ni que te roben tus datos un funcionario europeo corrupto, ni ninguna otra película de privacidad que os estáis haciendo aquí. Si no sabeis como funciona un certificado SSL, mejor callarse que soltar chorradas.
Para terminar, NUNCA os fieis de Xataka. Estos hablan por no callar. Ir a otras fuentes, o la original, porque este medio ha degenerado en puro clickbait y hablar sin saber.
Au, a cascarla
ernestogm
Resumen del conflicto como experto de ciberseguridad (Arquitecto de ciberseguridad):
Lo que entiendo: Han creado (entre otras cosas) un sistema para manejar certificados digitales para los ciudadanos de la Union Europea. Y fuerzan a que estos certificados sean tan validos como los DNIs. Esto no afecta a paginas web como xakata.com o la mayoria de las paginas que usas, ya que estas no requiren identificación del ciudadano.
Lo bueno:
Por un lado lo que esta hacinedo la UE es muy intersante al ofrecer nuevas formas de identificadión de los ciudadanos en el mundo digital. Incluso los metodos de pago me parecen interesantes (aun que no necesarios).
Lo malo:
Se resume en una frase -> Forzar la aceptación y utilización del sistema. Es decir, tendría que mostrar su capacidad de ser seguro antes de imponerse de froma obligatoria. O quizas nunca imponerlo de forma obligatoria, es decir, un "estandar de jure".
Como resolverlo: En mi opinion, la UE tendria que crear el sistema y ofrecer mecanismos para que pueda ser facilmente implementado por las empresas privadas. A la par utilizarlo para sus propios organismos. Y si el sistema funciona bien, todo el mundo lo usará. Entonces se convertirá en un "standar de facto" y la UE conseguirá su objetivo. Si no se convierte en un "estandar de facto" es porque algo esta la UE haciendo mal.
crisct
Ultimamente están que se salen los de la UE. Quieren controlar a las masas y no saben como.
zero.mctavish
"Aquellos que renunciarían a la libertad esencial para comprar un poco de seguridad temporal, no merecen libertad ni seguridad"
Benjamin Franklin
bernardo.ravinelli
Una vez escuche una reflexion: el gobierno chino hace lo que los gobiernos occidentales desearían hacer pero aun no se atreven.
Pero poco a poco y de forma sutil igual se van acercando.
rafaello76
Que se preparen los delincuentes
Chizko
Google sabe más de ti que tu Propio país o tu familia, esta estupidez de mi privacidad se la meten por el * por 1 dolar de descuento o por saltarse un anuncio cada puto día, entregan su dirección a desconocidos cada día para que les llegue una hamburguesa a la casa y entregan sus datos completos para poder recibirlo a un completo extraño.
pedrosalguera
El objetivo tiene buenas intenciones, pero los peligros implícitos son enormes, espero que los expertos en seguridad orienten bien a quienes están llevando esta iniciativa adelante… pero sobre todo que estos últimos les escuchen. Qué miedo a países como Hungría…
imf017
Si te preocupa la vigilancia masiva igual es que tienes algo que ocultar. De todos modos, nadie te obliga a usar este sistema, ¿o sí?