Apple y Google advierten que la legislación canadiense sobre seguridad en línea podría permitir a las autoridades obligar en secreto a las empresas tecnológicas a debilitar las protecciones de cifrado en teléfonos, plataformas en la nube y servicios de mensajería.
Las preocupaciones giran en torno al Proyecto de Ley C-22, legislación que actualmente se debate en la Cámara de los Comunes de Canadá. El proyecto de ley está diseñado para ampliar los poderes de acceso legal para las fuerzas del orden y las agencias de inteligencia que investigan amenazas a la seguridad y actividades delictivas. Funcionarios canadienses afirman que la propuesta ayudaría a las autoridades a obtener pruebas digitales más rápido y a responder de forma más eficaz a los riesgos para la seguridad nacional.
Sin embargo, Apple, Google, Meta y defensores de la privacidad argumentan que la legislación podría crear un marco que permita al gobierno ordenar discretamente a las empresas que construyan capacidades de vigilancia o que evadan sistemas de cifrado sin informar a los usuarios.
Durante su testimonio ante el Comité Permanente de Seguridad Pública y Seguridad Nacional de Canadá, representantes de Apple y Google presionaron a los legisladores para que añadieran protecciones más estrictas contra el cifrado y supervisión judicial obligatoria al proyecto de ley.
La directora de asuntos gubernamentales y políticas públicas de Google en Canadá, Jeanette Patell, advirtió que las órdenes secretas del gobierno socavarían la transparencia y la confianza pública. Apple argumentó de manera similar que el proyecto podría dañar las protecciones de privacidad de las que los usuarios dependen para asegurar comunicaciones personales, información financiera y datos sensibles.
La ley propuesta no exige explícitamente que las empresas rompan el cifrado. Aun así, los críticos afirman que un lenguaje vago sobre “vulnerabilidades sistémicas” y poderes de acceso legal podría presionar a las empresas para crear puertas traseras ocultas o debilitar arquitecturas de seguridad con el tiempo.
Apple señaló su reciente conflicto con el Reino Unido como un ejemplo de los riesgos que suponen las demandas secretas del gobierno. El año pasado, Apple retiró los servicios de copia de seguridad cifrada en la nube del Reino Unido tras recibir supuestamente una orden confidencial que requería acceso a datos de usuarios cifrados.
Cuando los legisladores canadienses preguntaron si Apple podría abandonar Canadá si se veía obligada a debilitar el cifrado, el ejecutivo de Apple, Erik Neuenschwander, declinó especular, pero dijo que la empresa esperaba que se hicieran enmiendas a la legislación.
Meta también advirtió que el proyecto de ley podría obligar a las empresas a instalar software espía gubernamental o mantener capacidades que eludan las protecciones de cifrado. La compañía afirmó que tales medidas podrían, en última instancia, hacer que los usuarios sean menos seguros al introducir debilidades explotables en sistemas diseñados para resistir ciberataques y vigilancia.
Seguridad Pública Canadá rechazó las afirmaciones de que la legislación exigiría que se introdujeran vulnerabilidades sistémicas en los servicios cifrados. Funcionarios gubernamentales afirmaron que el proyecto de ley pretende mantenerse “neutral en cuanto al cifrado” permitiendo al mismo tiempo investigaciones legales sobre amenazas graves.