Una directiva estudiada por el gobierno podría retrasar los parches de seguridad, dejando los sistemas vulnerables e inseguros, además que implica que los gigantes tecnológicos podrían necesitar la aprobación del gobierno británico antes de publicar correcciones de seguridad, pudiendo incluso impedir las actualizaciones. El Reino Unido también quiere obligar a empresas privadas a llevar a cabo actividades de espionaje cibernético en su nombre, según una consulta publicada en junio de 2023 en la que el gobierno británico propuso revisiones de la Ley de Poderes de Investigación de 2016 que regula la vigilancia electrónica en el país.
En una nota para Reclaim The Internet, Ken Macon explica cómo el gobierno británico está estudiando una controvertida propuesta que podría perturbar el sector tecnológico y erosionar aún más la confianza al prohibir potencialmente las actualizaciones de seguridad críticas en los principales sistemas tecnológicos si dichas actualizaciones cierran brechas de seguridad explotadas para el espionaje cibernético.
Este plan implica que los gigantes tecnológicos (Big Tech) podrían necesitar la aprobación del gobierno británico antes de publicar correcciones de seguridad, y si se considera que una actualización interfiere con una vulnerabilidad utilizada por los servicios de seguridad, el gobierno podría impedir las actualizaciones.
Esta postura contraria al cifrado no es nueva, ya que se remonta a 2017, y va en contra de la importancia del cifrado tanto para la seguridad nacional como para los intereses comerciales.
Según una consulta publicada en junio de 2023, el gobierno británico ha propuesto revisiones de la Ley de Poderes de Investigación de 2016 (IPA, por sus siglas en inglés), que regula la vigilancia electrónica en el país. Estos cambios implican alterar el régimen de notificaciones de la IPA, que permite al gobierno solicitar a empresas privadas que lleven a cabo actividades de espionaje cibernético en su nombre, como interceptar comunicaciones y piratear.
Las alteraciones propuestas incluyen que las empresas estén obligadas a cumplir el contenido de las notificaciones durante el periodo de revisión, a revelar información técnica sobre sus sistemas durante este periodo, a reforzar la aplicación extraterritorial de las notificaciones y a exigir a las empresas que notifiquen al Secretario de Estado británico antes de realizar cambios técnicos.
La aplicación de los dos últimos cambios podría poner al Reino Unido en violación de la legislación internacional sobre derechos humanos al atentar contra la privacidad y la seguridad de los usuarios en línea, tanto dentro como fuera de las fronteras del país, como explica Ioannis Kouvakas en un artículo para Just Security.
