Apple anunció la semana pasada que comenzará a rastrear las fotografías almacenadas en su servicio iCloud Photos en busca de material de abuso sexual infantil. Lo hará a partir de iOS 15 y iPadOS 15, que llegarán a los dispositivos de la compañía este otoño.
Las grandes tecnológicas llevan años realizando actividades de este tipo, pero los servicios de Apple, recordemos, siempre se han caracterizado por su especial privacidad. Este movimiento, por lo tanto, contrasta, al menos a priori, con esa característica que la compañía ha convertido en una de sus señas de identidad.
Sin embargo, para poder seguir ofreciendo un sistema acorde a esos estándares y, a la vez, poder llegar a detectar las citadas actividades delictivas, Apple ha diseñado un complejo sistema que, en lugar de escanear imágenes en la nube, realiza una comparación en el propio dispositivo utilizando una base de datos de hashes de imágenes de abuso sexual infantil proporcionada por el Centro Nacional para Niños Desaparecidos y Explotados (NCMEC). La compañía explica con todo detalle su implantación en un sumario técnico (PDF).
La implementación de Apple levanta dudas
Diversas personalidades no han tardado en expresar públicamente sus preocupaciones sobre este sistema. La finalidad del mismo es claramente loable, pero muchos alegan que se crea un delicado precedente en el que los alabados sistemas que suele emplear Apple para salvaguardar la privacidad de sus usuarios pierden efectividad. “La solución que plantea Apple a un serio problema (el abuso sexual infantil) es alarmante porque se abre la puerta a otro tipo de rastreos”, dijo Ronald Deibert, director de Citizen Lab. En su tweet también muestra preocupaciones sobre qué puede llegar a hacer un país como China con un sistema como este.
La compañía alega en un documento dirigido a responder preguntas frecuentes sobre esta nueva funcionalidad que el “proceso está diseñado para evitar que eso suceda”. La detección se realiza comprobando los hashes de las fotografías que se suben a iCloud Photos con una lista validada de material pedófilo que vendrá incorporada dentro del sistema operativo. El almacenaje de este tipo de imágenes es constitutivo de delito en numerosos países –como EE.UU. y España–.
El problema es que esa base de datos se pueda actualizar o modificar bajo demanda externa para detectar otro tipo de contenido. Porque ahora el fin es indiscutiblemente encomiable, pero en mayo se conocieron algunas de las concesiones que la compañía ha hecho en China, comprometiendo seriamente la privacidad de sus usuarios en la región para poder seguir haciendo negocios allí, donde la información se almacena en servidores gestionados físicamente por empleados estatales del gobierno chino.
Apple asegura que se “negará” a atender cualquier demanda gubernamental para añadir otro tipo de hashes a esa base de datos que, recordemos, se hospedará localmente en todos los dispositivos con iOS 15. “Hemos rechazado peticiones para diseñar e implementar cambios en nuestros productos y servicios que degradarían la privacidad de nuestros usuarios antes, y continuaremos rechazándolas en el futuro”. El debate, no obstante, sigue en el aire: ¿tenemos que creer y confiar en el buen hacer y la ética de la compañía? Y es que, pese a ser en pos de un bien común y necesario, se ha abierto una peligrosa puerta según numerosos expertos en seguridad informática y activistas.
¿Quién vigila al vigilante?
“Ya descubrimos un ejemplo de virus informático propagado desde Sinkiang (China) que rastreaba los teléfonos para compararlos con una base de datos de 70.000 ficheros relativos a material político. ¿Por qué hemos de asumir que las autoridades chinas no intentarán que Apple les deje usar su sistema de detección de material de abuso de menores para realizar estas actividades de vigilancia?”, dice el periodista de seguridad informática Joseph Cox.
La herramienta que presenta Apple, de ser mal utilizada, se convertiría en el mayor sistema de vigilancia y análisis del mundo. A través de operaciones matemáticas, se podría saber el contenido de las fotografías de todos los iPhone que suban imágenes al servicio iCloud.
Aun confiando en lo que dice la compañía, algunos expertos dudan de la fiabilidad del algoritmo. Por ejemplo: si un agente maligno tuviese acceso a los hashes almacenados localmente en el sistema operativo, éste podría hipotéticamente transformar imágenes que no contengan material tipificado como abuso sexual infantil para engañar al algoritmo y criminalizar a la víctima.
La compañía, no obstante, asegura que el “proceso está diseñado para evitar que esto suceda”. Primero, porque la lista de hashes empleados no es pública. Y, segundo, porque el conjunto es idéntico para todos los iPhone y iPad y está almacenado localmente, por lo que los ataques dirigidos a personas específicas no son posibles por diseño.
Además, según Apple, el sistema no envía a las autoridades ningún tipo de informe automatizado. Cuando se detectan numerosas coincidencias, se realiza una revisión humana antes de alertar a los organismos competentes. “El sistema es muy fiable, y la tasa de error a la hora de encontrar un falso positivo es menor a una por billón”, indica Apple. Se descarta, a su vez, que las fotografías a menores desnudos, que pueden ser realizadas por sus padres mientras el menor se baña, por ejemplo, sean detectadas erróneamente como material delictivo, pues estas no están en la base de datos proporcionada por el NCMEC.
Un problema que no puede ser ignorado ni por Apple ni por ninguna tecnológica
Pese a las legitimas preocupaciones que ha despertado el anuncio, cabe recordar que existe “presión social y también un interés empresarial en la lucha contra la pornografía infantil; entre otras cosas, porque tener un entorno libre de material pedófilo es algo bueno para los usuarios y una ventaja competitiva para las empresas, que atraerán a más usuarios familiares, al ser un entorno más seguro”, dice Borja Adsuara Varela, abogado experto en privacidad y protección de datos, a Hipertextual.
En 2020, Facebook detectó más de 20 millones de imágenes de abuso sexual infantil en sus servicios. Apple, en cambió, sólo informó de 265. Es una cifra impactante, ya que las fotografías se toman a través de un smartphone, ergo, hay más material constituyente de delito en los teléfonos que en las redes sociales. Además, la legislación estadounidense es clara: cualquier servicio aloje o difunda este tipo de material está obligado a informar sobre él a las autoridades o, de lo contrario, se enfrenta a cuantiosas penas económicas.
No obstante, ninguna empresa está obligada a vigilar activamente a ningún usuario del servicio que prestan. Por ello, es fácil de comprender la diferencia en el número de denuncias realizadas por ambas compañías: Facebook rastrea todas las imágenes enviadas a través de sus servicios, Apple no.
Es probable que Apple haya querido adaptarse, sin sacrificar su cifrado o privacidad, a la legislación que se está impulsando desde Europa para promover que las tecnológicas detecten, eliminen e informen a las autoridades sobre contenido de abuso sexual infantil en sus servicios. El problema es que, para evitar analizar las fotografías hospedadas en iCloud Photos, se compromete, aunque sea hipotéticamente, la seguridad y privacidad del iPhone. “Por eso, lo ideal es que las empresas privadas no hagan de policías, fiscales y jueces, sino que colaboren con policías, fiscales y jueces”, afirma Adsuara. “Estas medidas deben tener una base legal sólida que las ampare, para que sean efectivas y aceptadas”.
Por el momento, este sistema de detección sólo será implantado en EE. UU., pero podría esperarse que también llegue en unos meses a Europa. Aunque existen convenios internacionales, las leyes son territoriales, y en nuestro Código Penal se adoptan esos criterios internacionales en el art. 189, así que, “de aplicarse en España, se haría contrastando la base de datos de imágenes de pornografía infantil que tiene la Policía y la Guardia Civil catalogadas como tales”, afirma Adsuara. “Una entidad privada como la NCMEC no podría tener una base de datos de imágenes de pornografía infantil, porque sería un delito de posesión y habría que adaptar, en mi opinión, la implantación de esta medida a las garantías y a la autorización y supervisión judicial”.
La llave y la cerradura
La solución que plantea Apple parece ser la idónea sobre el papel. No se altera el cifrado de su servicio iMessage ni la integridad de su almacenamiento de fotografías y, a su vez, se comienzan a tomar cartas para atajar un gran y desagradable problema. “Para mí no es nada preocupante, sino loable, que las empresas tecnológicas adopten una posición proactiva en la investigación y la lucha contra la pornografía infantil y contra otros delitos, pero no nos olvidemos de que en la investigación de cualquier delito hay que respetar los derechos fundamentales y, en concreto, el derecho a la intimidad del investigado, y que están prohibidas las llamadas investigaciones prospectivas”, dice Adsuara.
Incluso desde el punto de vista económico, el sistema implementado parece el idóneo, ya que las fotografías son escaneadas en el dispositivo por un algoritmo, por lo que no tendrá que invertir grandes sumas de dinero en equipos de Confianza y Seguridad. Pero ése es también el talón de Aquiles del sistema: todo depende de la lista de hashes que emplee Apple.
A partir de ahora, a diferencia del caso San Bernardino de 2016, donde la compañía fue incapaz de colaborar como así solicitaron las autoridades, colaborar o no con solicitudes más o menos legítimas dependerá de las decisiones que se tomen desde Cupertino o de la regulación de cada país en el que lleve a cabo sus negocios.
Como dijo Séneca al hablar sobre la confianza, “ni lo uno ni lo otro ha de hacerse; pues ambas cosas son defectuosas: lo mismo el fiarse de todos, como el no fiarse de nadie; ahora bien, lo primero lo calificaría de vicio más honesto; lo segundo, de más seguro”. Por muy encomiable que sea el propósito, es comprensible que se deposite más confianza en un código imposible de descifrar que en la voluntad humana. Sin embargo, no podemos mirar hacia otro lado y obviar todo el mal que se puede perpetrar a través de las herramientas que la tecnología moderna nos ofrece. Averiguar cómo hacerlo, de una forma ética, segura, responsable y respetuosa con los derechos de toda persona, es y será durante años uno de los grandes desafíos de nuestros días.