Canadá: nueva ley permitirá al gobierno exigir puertas traseras a empresas tecnológicas
El gobierno canadiense ha presentado el proyecto de ley Bill C-22, conocido como la «Ley de Acceso Legal», que obligaría a las empresas tecnológicas a implementar puertas traseras en sus servicios de comunicación cifrada, alarmando a defensores de la privacidad y grandes tecnológicas por igual.
El proyecto de ley, denominado oficialmente C-22, fue introducido esta primavera como secuela del fallido Bill C-2 del año pasado, que buscó expandir la vigilancia digital en nombre de la «seguridad fronteriza» pero no logró avanzar ni siquiera a comité debido a la fuerte oposición de la comunidad de privacidad.
Como informa la Electronic Frontier Foundation (EFF), el nuevo texto mantiene los problemas fundamentales de su predecesor mientras introduce modificaciones significativas. El proyecto obliga a servicios digitales, incluyendo proveedores de telecomunicaciones y aplicaciones de mensajería, a recopilar y retener metadatos de usuarios durante un año completo, expandiendo simultáneamente el intercambio de información con gobiernos extranjeros, particularmente Estados Unidos.
«Los metadatos pueden revelar mucho sobre con quién te comunicas, a dónde vas y cuándo lo haces», explica EFF. «Expandir la recopilación de metadatos requeriría que las empresas almacenen incluso más información sobre sus usuarios, proporcionando un incentivo para que actores maliciosos accedan a esa información».
El aspecto más controvertido del proyecto es la facultad otorgada al ministro de Seguridad Pública para exigir a las empresas la creación de puertas traseras que permitan a las fuerzas del orden acceder a datos cifrados, siempre que estos mandatos no introduzcan una «vulnerabilidad sistémica». La ley también prohíbe a las empresas revelar públicamente la existencia de estas órdenes.
Según análisis de Opencivics Labs, el texto carece de definiciones claras tanto de «vulnerabilidad sistémica» como de «cifrado», dejando espacio para que el gobierno exija a las compañías soslayar el cifrado. Además, las definiciones demasiado amplias podrían incluir aplicaciones y sistemas operativos.
Las consecuencias prácticas serían profundas. Todo mensaje enviado a través de Signal, iMessage, WhatsApp o Messenger se volvería legalmente accesible. La confidencialidad de comunicaciones con profesionales de la salud, lawyers o periodistas quedaría comprometida, ya que el cifrado de extremo a extremo es el mecanismo que actualmente hace cumplir esa promesa de privacidad.
La retención masiva de metadatos representa también una herramienta invasiva. Según el profesor Michael Geist, este tipo de retención blanket representa «una de las herramientas más invasivas para la privacidad que un gobierno puede implementar». Un año de datos sobre ubicaciones, contactos, dispositivos y patrones de uso pintaría un cuadro casi completo de la vida de cualquier canadiense.
La Corte Europea de Justicia invalidó reglas equivalentes de la UE en 2014 por considerarlas desproporcionadas.
Empresas como Apple y Meta han manifestado públicamente su反对 al proyecto. Apple advirtió que la ley podría forzarla a debilitar el cifrado de dispositivos. Los comités de Asuntos Exteriores y Judiciales de la Cámara de Representantes estadounidense enviaron una carta conjunta al ministro de Seguridad Pública expresando preocupación por las implicaciones de las puertas traseras en sistemas cifrados.
La EFF señala que los peligros de estas puertas traseras no son teóricos. En 2024, el ataque hacker «Salt Typhoon» explotó un sistema creado por proveedores de internet para dar acceso a las fuerzas del orden, demostrando que cuando se construyen estos sistemas, los hackers encontrarán la manera de usarlos.
El proyecto de ley sigue adelante mientrasCanadá entscheidet sobre su futuro legislativo. Los defensores de la privacidad piden protecciones más fuertes y transparencia sobre cómo las empresas manejan los datos de usuarios, advertiendo que C-22 no ofrece ninguna de esas garantías.