El informe muestra que el artículo 45.2 podría debilitar la ciberseguridad de los usuarios de la web, dejándolos vulnerables a la vigilancia estatal y la interceptación selectiva del tráfico de Internet.

 Los principales expertos en seguridad han expresado su preocupación por la revisión propuesta del Artículo 45.2 de la regulación eIDAS por parte de la Unión Europea (UE), citando riesgos potenciales para los estándares de encriptación y autenticación web. Un nuevo informe, producido por Economist Impact Studios para Mozilla y la campaña #SecurityRiskAhead , incluye hallazgos de expertos globales de la industria y la sociedad civil.

El informe muestra que el artículo 45.2 podría debilitar la ciberseguridad de los usuarios de la web, dejándolos vulnerables a la vigilancia estatal y la interceptación selectiva del tráfico de Internet. La ley podría eludir efectivamente los controles de seguridad existentes, ya que los navegadores tendrían la obligación de admitir los Certificados de autenticación web calificados (QWAC) diseñados por la UE. Los QWAC no están disponibles de forma gratuita y tienen propiedades de seguridad más débiles que los certificados más utilizados por los navegadores.

Joseph Lorenzo Hall, vicepresidente sénior de Strong Internet en Internet Society, enfatizó que la seguridad web está en constante evolución y adaptación, y al incluirla en la legislación, la revisión propuesta no tiene en cuenta la naturaleza dinámica de las amenazas a la seguridad. «Al incorporar un mecanismo de excepción para las entidades de confianza del gobierno de la UE, se prohibirá a los navegadores, por ejemplo, revocar la confianza para ciertas cosas. Esto significa que podría tener un grupo de sitios web en línea que están siendo falsificados o espiados por alguna autoridad ungida por la UE comprometida. Y estamos esposados y no podemos hacer cosas que normalmente haríamos muy rápido para proteger a la gente de Internet».

Marshall Erwin, vicepresidente y director de seguridad de Mozilla Corporation, explicó: «El problema real con el Artículo 45.2 de eIDAS es que sentará un precedente que los regímenes de todo el mundo seguirán y, como resultado, no solo socavará el cifrado web en general, pero también poner a los disidentes y periodistas en riesgo inmediato».

Arvid Vermote, director mundial de seguridad de la información de GlobalSign, una autoridad de certificación, destacó el riesgo de tener 30 organismos de supervisión adicionales que pueden definir a una empresa como de confianza mundial, en lugar de solo cuatro. «Para mí, eso sería un problema astronómico, ya que podría permitir la intercepción dirigida del tráfico de Internet si se ve comprometido», comentó.

Haciéndose eco de los otros entrevistados, Scott Helme, investigador de autenticación y seguridad, señaló la importancia de tener certificados gratuitos que «han sido fundamentales en la transición completa de la seguridad web».