Canadá está a punto de aprobar una legislación que obligaría a las plataformas de mensajería cifrada a instalar puertas traseras secretas para las fuerzas del orden, y los principales actores, como Signal y Apple, ya advierten que podrían abandonar el mercado canadiense en lugar de cumplirla. El proyecto de ley C-22, presentado en mayo de 2026, representa la ley de descifrado obligatorio más agresiva propuesta por cualquier país del G7 hasta la fecha, y los defensores de la privacidad advierten que establece un peligroso precedente que otros gobiernos occidentales están observando de cerca.
Qué exige realmente el Proyecto de Ley C-22
La legislación, titulada oficialmente Ley de Protección de los Canadienses contra los Daños en Línea (disposiciones sobre cifrado), exigiría a las plataformas de comunicación que operan en Canadá que proporcionen a la policía y a las agencias de inteligencia un acceso técnico encubierto a las comunicaciones cifradas, sin notificar a los usuarios que sus mensajes están siendo interceptados. El proyecto de ley abarca las aplicaciones con cifrado de extremo a extremo, lo que significa que el gobierno obligaría efectivamente a las empresas a romper las garantías criptográficas sobre las que se basan sus productos.
A diferencia de las leyes tradicionales de escuchas telefónicas que interceptan datos en tránsito, la ley C-22 requeriría que las plataformas desarrollen capacidades técnicas persistentes que podrían activarse a petición por orden gubernamental. Las disposiciones de confidencialidad (ley mordaza) del proyecto de ley prohibirían a las empresas revelar a los usuarios que han recibido dicha orden, creando un sistema de cumplimiento secreto sin ningún mecanismo de rendición de cuentas pública.
- Alcance: Todas las plataformas de mensajería cifrada que operan en Canadá, incluyendo Signal, iMessage, WhatsApp y otras.
- Mecanismo: Acceso técnico encubierto por puerta trasera, no la intercepción del tráfico no cifrado existente.
- Ley mordaza: Prohibición a las plataformas de notificar a los usuarios sobre las órdenes de acceso del gobierno.
- Penalización por incumplimiento: Aún no se ha especificado completamente, pero se prevén multas significativas y una posible exclusión del mercado.
Signal y Apple responden con dureza
Signal, el estándar de oro para la mensajería privada, fue directo en su respuesta: la organización dijo que se retiraría del mercado canadiense antes que desarrollar puertas traseras. La posición de Signal tiene un fundamento técnico: su modelo de seguridad se basa en la garantía matemática de que no puede leer los mensajes de los usuarios, incluso si una orden judicial la obliga. Crear una puerta trasera requeriría rediseñar fundamentalmente el protocolo de una manera que socavaría la seguridad para todos los usuarios a nivel mundial, no solo en Canadá.
Apple emitió una advertencia de que podría verse obligada a eliminar iMessage y FaceTime de la App Store canadiense si se le obliga a romper su cifrado de extremo a extremo. Esto es coherente con la postura anterior de Apple en el Reino Unido, donde disposiciones similares de la Ley de Seguridad en Línea llevaron a la empresa a amenazar con la retirada de los servicios cifrados en lugar de debilitar la seguridad global por el bien de una sola jurisdicción.
La Electronic Frontier Foundation (EFF) fue más tajante en su evaluación, llamando al C-22 una "pesadilla de vigilancia reempaquetada" y trazando comparaciones explícitas con la propuesta de Control de Chat de la UE, que se enfrentó a años de oposición de grupos de libertades civiles y expertos técnicos antes de ser archivada en repetidas ocasiones. La EFF señaló que Canadá, como socio de inteligencia de los "Cinco Ojos" (Five Eyes), podría extender el acceso de las puertas traseras a toda la alianza.
Por qué las puertas traseras no pueden ser seguras
El consenso técnico entre los criptógrafos e investigadores de seguridad es inequívoco: no hay forma de construir una puerta trasera que sea accesible solo para los gobiernos autorizados. Una vulnerabilidad creada para las fuerzas de seguridad canadienses es una vulnerabilidad que puede ser explotada por estados-nación hostiles, piratas informáticos criminales y agencias de inteligencia extranjeras. La historia lo corrobora: la doctrina NOBUS de la NSA ("Nadie más que nosotros"), que asumía que las puertas traseras podían mantenerse exclusivas para la inteligencia de EE. UU., demostró estar catastróficamente equivocada cuando sus propias herramientas de hackeo se filtraron y fueron utilizadas como armas por grupos de ransomware.
Si el C-22 se aprueba en su forma actual, el resultado práctico no será un sistema ordenado de vigilancia por orden judicial. Será un ecosistema de seguridad degradado en el que las comunicaciones de los canadienses estarán menos protegidas que las de los ciudadanos de países sin dichas leyes, y en el que los actores de amenazas, desde delincuentes hasta hackers patrocinados por el estado, tendrán una mayor superficie de ataque para explotar.
El problema del modelo para el G7
Lo que hace que el C-22 sea particularmente significativo más allá de las fronteras de Canadá es su potencial como modelo. La Ley de Seguridad en Línea del Reino Unido, la Ley de Asistencia y Acceso de Australia y las propuestas de Control de Chat de la UE han intentado versiones de acceso legal obligatorio a las comunicaciones cifradas, con diferentes grados de sofisticación técnica y protecciones de las libertades civiles. La versión de Canadá destaca por combinar el acceso obligatorio a través de puertas traseras con una ley mordaza completa sobre la notificación al usuario, una combinación más agresiva que la mayoría de las propuestas comparables en las democracias.
Si Canadá, un país con fuertes tradiciones de estado de derecho y una población con conocimientos tecnológicos, normaliza el acceso encubierto a las comunicaciones cifradas, será mucho más fácil para otros gobiernos del G7 argumentar que el mismo enfoque es razonable para ellos. La preocupación de la EFF de que el C-22 sea un modelo observado por los gobiernos aliados no es una exageración: refleja cómo la legislación de vigilancia se ha extendido históricamente a través de las democracias occidentales una vez que un país rompe el consenso.
La lección más amplia del C-22 es una que los defensores de la privacidad han estado presionando durante años: el cifrado no es una característica que los gobiernos puedan debilitar selectivamente para los "malos actores" y dejarla intacta para los "buenos actores". Es una propiedad matemática que se mantiene o no. Cualquier ley que obligue a acceder por puertas traseras es una ley que obliga a tener una seguridad más débil para todos, y en una era en la que la infraestructura crítica, los sistemas financieros y las comunicaciones personales dependen de las mismas bases criptográficas, no es un compromiso que pueda hacerse de forma segura.
Qué puede hacer realmente
Es importante ser honesto sobre qué herramientas pueden y cuáles no pueden proteger contra la legislación como la C-22. Una VPN cifra su tráfico a nivel de red y oculta su dirección IP y actividad de navegación a su proveedor de Internet y observadores de red, pero no puede proteger el contenido de los mensajes si la propia aplicación de mensajería está legalmente obligada a incorporar una puerta trasera en su propio código. Lo que las herramientas de privacidad de la capa de red protegen son sus metadatos: a quién contactó, cuándo, con qué frecuencia y desde dónde. Bajo una ley de vigilancia que obliga a las plataformas a reportar comunicaciones en secreto, proteger su identidad a nivel de red sigue siendo una de las pocas medidas técnicas que aún están bajo su control, y una que se vuelve más relevante, no menos, a medida que el cifrado de la capa de aplicación se ve sometido a presión legal.
