; ; ) solicitando a los Tribunales Superiores de la India (en Delhi y Kerala) que anulen estas normas.
La disposición sobre trazabilidad -norma 4(2) de las (la versión inglesa comienza en la página 19)- fue por el Ministerio de Electrónica y Tecnología de la Información a principios de este año. Las normas exigen que cualquier intermediario de medios sociales de gran tamaño que proporcione mensajería "deberá permitir la identificación del primer originador de la información en su recurso informático" en respuesta a una orden judicial o a una solicitud de descifrado emitida en virtud de las Normas de Descifrado de . (Las Normas de Descifrado permiten a las autoridades solicitar la interceptación o el control del descifrado de cualquier información generada, transmitida, recibida o almacenada en cualquier recurso informático).
que la normativa "no afectará al funcionamiento normal de WhatsApp" y ha dicho que "todo el debate sobre si el cifrado se mantendría o no está fuera de lugar", ya que las empresas tecnológicas pueden seguir decidiendo utilizar el cifrado, siempre y cuando acepten la "responsabilidad de encontrar una solución técnica, ya sea a través del cifrado o de otro modo" que permita la trazabilidad. WhatsApp y escribe que "la trazabilidad rompe el cifrado de extremo a extremo y socavaría gravemente la privacidad de miles de millones de personas que se comunican digitalmente."
La afirmación del gobierno indio es extraña porque las normas obligan a los intermediarios a conocer información sobre el contenido de los mensajes de los usuarios que actualmente no conocen y que actualmente está protegida por el cifrado. Este mandato legal pretende cambiar el modelo de seguridad y la tecnología de WhatsApp, y los supuestos parecen implicar de algún modo que ese asunto no tiene por qué importar a los usuarios y no tiene por qué molestar a las empresas.
Eso es un error. Porque WhatsApp utiliza una implementación específica de privacidad por diseño que protege la comunicación segura de los usuarios haciendo que un reenvío no se distinga de un nuevo mensaje, desde el punto de vista del servidor. Así, cuando un usuario de WhatsApp reenvía un mensaje utilizando la flecha, ésta sirve para marcar la información de reenvío en el lado del cliente, pero el hecho de que el mensaje ha sido reenviado no es visible para el servidor de WhatsApp. El mandato de trazabilidad haría que WhatsApp cambiara la aplicación para hacer visible esta información, que antes era invisible.
El gobierno indio también defendió las normas señalando que las salvaguardias legales restringen el proceso de acceso a la identidad de la persona que originó un mensaje, que tales órdenes sólo pueden emitirse para investigaciones de seguridad nacional y delitos graves, y sobre la base de que "no es cualquier individuo el que puede rastrear al primer originador de la información." Sin embargo, los servicios de mensajería no saben de antemano qué mensajes serán o no objeto de tales órdenes; como ha WhatsApp,
no hay forma de predecir qué mensaje querrá investigar un gobierno en el futuro. De este modo, un gobierno que decida imponer la trazabilidad estará imponiendo una nueva forma de vigilancia masiva. Para cumplirla, los servicios de mensajería tendrían que mantener bases de datos gigantescas de todos los mensajes que se envían, o añadir un sello de identidad permanente -como una huella dactilar- a los mensajes privados con amigos, familiares, colegas, médicos y empresas. Las empresas recopilarían más información sobre sus usuarios en un momento en que la gente quiere que las empresas tengan menos información sobre ellos.
Las salvaguardias legales de la India no resolverán el problema principal:
Las normas representan un mandato técnico para que las empresas rediseñen o rediseñen sus sistemas para todos los usuarios, no sólo para los sospechosos de delitos.
El diseño general de los servicios de mensajería debe cambiar para cumplir con la exigencia del gobierno de identificar al emisor de un mensaje. Estos cambios alejan a las empresas de los principios de ingeniería y minimización de datos centrados en la privacidad que deberían caracterizar a las aplicaciones de mensajería privada segura.
Esta disposición es una de las muchas características de las nuevas normas que suponen una amenaza para la expresión y la privacidad en línea, pero ha llamado especialmente la atención por la forma en que entra en colisión con el cifrado de extremo a extremo. WhatsApp :
La "trazabilidad" pretende hacer lo contrario, exigiendo a los servicios de mensajería privada como WhatsApp que lleven la cuenta de quién dijo qué y quién compartió qué en miles de millones de mensajes enviados cada día. La trazabilidad requiere que los servicios de mensajería almacenen información que pueda utilizarse para averiguar el contenido de los mensajes de las personas, rompiendo así las mismas garantías que ofrece el cifrado de extremo a extremo. Para poder rastrear un solo mensaje, los servicios tendrían que rastrear todos los mensajes.
La regla 4(2) se aplica a WhatsApp, Telegram, Signal, iMessage o cualquier "intermediario importante de medios sociales" con más de en la India. También puede aplicarse a las redes sociales federadas, como Mastodon o Matrix, si el gobierno decide que éstas suponen un "riesgo material de daño" para la seguridad nacional (norma 6). Los desarrolladores de software libre y de código abierto también temen ser el siguiente objetivo de esta norma (y de otras partes de las normas sobre intermediarios), incluso por desarrollar o explotar servicios más descentralizados. Un desarrollador de software libre llamado Praveen Arimbrathodiyil, que ayuda a gestionar servicios de redes sociales comunitarias en la India, , citando las cargas y los riesgos de las normas para el software libre y de código abierto y las herramientas y plataformas de comunicación sin ánimo de lucro.
Esta lucha se desarrolla en todo el mundo. La EFF lleva mucho tiempo diciendo que , en el que los intermediarios no conocen el contenido de los mensajes de los usuarios, es una característica de vital importancia para las comunicaciones privadas, y ha criticado a las empresas tecnológicas que no lo ofrecen o que lo ofrecen de forma
