A comienzos de los años 90, empezó a tomar forma un colectivo de activistas tecnológicos que promovía el uso de la criptografía como instrumento para proteger la privacidad y el anonimato en una era digital todavía incipiente. Conocido como el movimiento cypherpunk, un juego de palabras entre cipher (cifrado) y cyberpunk, aquel grupo reunió a matemáticos, programadores, criptógrafos y defensores de los derechos civiles que veían en la encriptación una forma de resistencia frente al aumento del poder de los Estados.

Al mismo tiempo, advertían que aquella nueva red podría convertirse tanto en una herramienta de libertad como en un poderoso entramado de vigilancia. En un mundo donde cada conversación, transacción y movimiento podía quedar registrado, la privacidad no debía depender de promesas gubernamentales ni de la buena voluntad de las empresas, sino estar protegida por el infranqueable muro de las matemáticas.

En ese entonces, tanto el FBI como la poderosa Agencia de Seguridad Nacional de Estados Unidos, la NSA, veían con preocupación que con el auge de internet, la criptografía comenzaba a quedar al alcance de cualquier persona, cuando hasta entonces había sido una herramienta reservada casi exclusivamente a gobiernos y fuerzas armadas. Incluso AT&T estaba a punto de lanzar a la venta un teléfono con una encriptación que las propias autoridades no podrían descifrar, por lo que la administración de Bill Clinton propuso instalar en teléfonos, módems y otros dispositivos de comunicación un chip que incluía una puerta trasera, una llave para acceder a cualquier conversación cuando el Estado lo considerara necesario.

Como era de esperarse, la propuesta generó un rechazo enorme, aunque no solo en la comunidad cypherpunk, sino también entre empresas de tecnología y grupos dedicados a la protección de los derechos fundamentales que denunciaron que ningún mecanismo de acceso, por más buenas intenciones que la respaldaran, podía quedar a salvo de eventuales usos indebidos. La presión fue tan grande que, a mediados de la década, el gobierno estadounidense finalmente  terminó abandonando el proyecto.

Timothy May, Eric Hughes y John Gilmore, fundadores del movimiento cypherpunk.

Treinta años después, esa misma disputa entre privacidad y vigilancia estatal vuelve a repetirse, aunque esta vez del otro lado del Atlántico y bajo una forma mucho más compleja y sutil. Europa no propone abiertamente entregar a sus gobiernos un mecanismo de acceso universal capaz de descifrar todas las comunicaciones, sino que ha ido avanzando mediante una sucesión de regulaciones y excepciones legales que, por separado, parecen responder a cuestiones específicas, pero que en conjunto aumentan progresivamente la capacidad de identificar y monitorear a todos aquellos que utilizan internet.

Una de las primeras medidas apareció en 2006, cuando la Unión Europea aprobó la llamada “Directiva de Retención de Datos”, que obligaba a las telefónicas y proveedores de internet a conservar durante un período de hasta dos años los registros de las comunicaciones de todos sus usuarios. No se almacenaba el contenido de las llamadas, mensajes de texto o correos electrónicos, pero sí sus metadatos. Quién se había comunicado con quién, en qué momento, desde dónde, durante cuánto tiempo y mediante qué dispositivo. Una información que, combinada con otras fuentes, permite reconstruir con bastante precisión los movimientos y buena parte de la vida diaria de una persona.

La medida había sido impulsada en respuesta a los atentados terroristas de Madrid, en 2004, y Londres, en 2005, bajo la justificación de que las fuerzas de seguridad necesitaban acceder al historial de comunicaciones para la investigación de delitos graves. Así se estableció un sistema de recolección preventiva de datos que no apuntaba directamente hacia los sospechosos, sino que alcanzaba a toda la población por igual. Finalmente, en 2014 el Tribunal de Justicia de la Unión Europea anuló la directiva, dejando en claro que no podía tratarse a toda la población como potenciales delincuentes ni recopilar sus registros de comunicaciones sin una justificación precisa.

Los atentados de 2004 y 2005 impulsaron nuevas políticas de vigilancia.

Pero la discusión no terminó ahí, y en los años siguientes, las instituciones europeas comenzaron a buscar nuevas formas de equilibrar la protección de la privacidad con las necesidades de las fuerzas de seguridad en la lucha contra el crimen. En 2021 se dio uno de los movimientos más trascendentales, cuando la UE aprobó una excepción temporal a las normas de confidencialidad de las comunicaciones electrónicas. Concretamente, la medida permitía que las plataformas digitales escanearan voluntariamente mensajes y correos para detectar material de abuso sexual infantil y posibles casos de captación de menores.

Es difícil oponerse a unas intenciones tan nobles porque, al fin y al cabo, ¿quién no querría proteger a los niños? El problema estaba en el precedente que se establecía, ya que se aceptaba expresamente que las comunicaciones privadas pudieran ser analizadas incluso cuando sus usuarios no fueran objeto de ninguna investigación. Pero lo que comenzó como una excepción voluntaria y temporal, apenas un año después se propuso convertirlo en un régimen permanente y mucho más amplio, que permitiría a las autoridades obligar a determinadas plataformas a buscar material de abuso infantil dentro de las comunicaciones de sus usuarios.

En 2021, Europa autorizó el escaneo de mensajes y correos privados.

Ese régimen temporal, aprobado en 2021 y conocido como Chat Control 1.0, debía expirar este año. Sin embargo, la semana pasada el Parlamento Europeo dio luz verde a su prórroga hasta 2028 mientras continúa la negociación de su versión definitiva. Por otra parte, desde 2022 Europa busca ponerse de acuerdo con una evolución de esta normativa, conocida como Chat Control 2.0, que pretende especialmente alcanzar a las comunicaciones protegidas por cifrado de extremo a extremo, como los mensajes de WhatsApp.

Como esas conversaciones no pueden ser analizadas durante su recorrido sin romper la protección que las vuelve seguras, una de las alternativas propuestas consiste en analizarlas directamente en el teléfono o la computadora del usuario, antes de que sean encriptadas y enviadas. A esta técnica se la conoce como “escaneo del lado del cliente” (client-side scanning), así el mensaje seguiría viajando “cerrado”, pero su contenido ya habría sido inspeccionado en el punto de partida, en una solución que conserva el cifrado en términos técnicos pero solo en las apariencias, porque la privacidad ya habría sido eliminada antes de que pudiera protegerse.

El Parlamento Europeo aprobó en julio la prórroga de Chat Control 1.0 hasta 2028.

Un sistema de este tipo, una vez instalado en millones de dispositivos, es extremadamente difícil de limitar a un único propósito. Basta con modificar el catálogo de contenido que el sistema debe buscar para que empiece a rastrear otra cosa, sin que el usuario lo note ni lo autorice. No se trata de una simple especulación, ya que la propia Unión Europea, en los debates previos a la normativa, ya había mencionado la posibilidad de que el escaneo alcance en el futuro también a los mensajes de texto y, eventualmente, a contenido vinculado con el terrorismo. Así, lo que hoy se presenta como una herramienta centrada en un objetivo puntual y difícil de cuestionar, el día de mañana podría transformarse en parte de una infraestructura de vigilancia mucho más amplia, sin necesidad de aprobar ninguna nueva ley.

Incluso esto puede ocurrir sin un claro giro autoritario, alcanza con que después de un atentado, una crisis política o una campaña de presión pública, aparezca una nueva cuestión considerada lo suficientemente urgente. Cada ampliación podría presentarse como excepcional y necesaria, del mismo modo que ocurrió con la excepción temporal de 2021, germen del Chat Control 2.0 que se encuentra actualmente en discusión. La mayor amenaza no está solamente en las intenciones de quienes construyen legalmente esta herramienta, sino en las posibilidades que dejan disponibles para quienes lleguen después.

El teléfono, uno de los principales espacios de la vida privada.

En paralelo, la Unión Europea avanza con una app de verificación de edad, presentada en abril de este año, que exige acreditar la identidad para confirmar que un usuario es mayor de edad antes de acceder a determinados contenidos o plataformas. La herramienta está pensada para integrarse a la futura Cartera Europea de Identidad Digital, un sistema conceptualmente similar a “Mi Argentina” que varios países ya empezaron a desplegar y que promete unificar en una sola credencial digital buena parte de los trámites que hoy dependen del DNI físico. Y también están quienes incluso piden ir un paso más allá, como España, Francia y otra decena de países, que quieren que esa verificación sea obligatoria para acceder a las redes sociales.

La justificación oficial es, otra vez, la protección de los menores. Pero el mecanismo introduce, inevitablemente, una identificación de cada usuario en cada plataforma que hasta ahora podían visitarse de forma relativamente anónima, y eso ya empieza a generar especulaciones sobre cuál será el próximo eslabón de la cadena. Hace apenas unos meses, un informe del propio Parlamento Europeo reconoció que las VPN son una de las formas más simples que tienen los usuarios para esquivar estos sistemas de verificación de edad, aunque la Comisión Europea salió rápido a desmentir que existiera algún plan para prohibirlas. De todos modos, el documento ya siembra la duda, porque toda infraestructura de control tiende, tarde o temprano, a intentar cerrar sus propias grietas.

Detrás de buena parte del apoyo a este tipo de medidas suele estar la idea de que solo necesita del anonimato, y ahora también de la privacidad, aquel que tiene algo que ocultar, cuando en realidad protege muchas cosas de la vida cotidiana. Ciudadanos que denuncian hechos de corrupción, víctimas que buscan ayuda, periodistas que preservan a sus fuentes, opositores que viven bajo gobiernos autoritarios o, simplemente, personas que buscan que sus opiniones y conversaciones no queden asociadas para siempre a su identidad real.

Al aceptar la vigilancia total a cambio de una supuesta seguridad, una sociedad no solo resigna su privacidad presente, sino que le entrega a cualquier gobierno futuro, no necesariamente tan bienintencionado como el actual, una maquinaria aceitada ya lista para usar. Porque los derechos, a diferencia de las herramientas de control, se pierden mucho más rápido de lo que se conquistan.