Cuando Rusia exige que los proveedores de telecomunicaciones entreguen claves de cifrado al FSB, los medios occidentales lo llaman vigilancia autoritaria. Cuando el Reino Unido, Canada y Australia aprueban leyes casi identicas con diferente nombre, se llama politica de seguridad nacional. El resultado para los ciudadanos y sus comunicaciones privadas es el mismo en los cuatro casos.
Desde 2016, cuatro paises han promulgado leyes que obligan a las empresas tecnologicas a incluir backdoors en servicios cifrados o enfrentarse a multas masivas, cargos penales y expulsion del mercado. Analizar lo que cada ley exige concretamente, sin la retorica politica, revela un patron global que afecta directamente a cualquiera que valore la privacidad digital.
Rusia: SORM, ley Yarovaya y el registro IMEI
El sistema de vigilancia ruso es el mas antiguo y completo de los cuatro. El sistema SORM (vigente desde 1995) obliga a todos los proveedores de internet rusos a instalar hardware controlado por el FSB que da a los servicios de seguridad acceso directo al trafico de comunicaciones, sin orden judicial. La ley Yarovaya (Ley Federal 374, aprobada en 2016) fue mas lejos: los operadores de telecomunicaciones deben almacenar el contenido de llamadas y mensajes durante seis meses, y los metadatos durante tres anos. Ademas, deben proporcionar al FSB las claves de descifrado bajo demanda.
En 2026, Rusia reforzo los controles con la vinculacion obligatoria de tarjetas SIM a IMEI. Para 2027, cada dispositivo movil debera estar registrado en una base de datos gubernamental nacional. Los telefonos no registrados seran desconectados de las redes. El FSB tambien obtuvo el derecho explicito de ordenar directamente a los proveedores la suspension del servicio para usuarios especificos.
Los proveedores de VPN y las aplicaciones de mensajeria que operan en Rusia son clasificados como "organizadores de distribucion de informacion" y deben almacenar registros de usuarios rusos en el pais y entregarlos bajo demanda. La mayoria de los grandes proveedores VPN (NordVPN, ExpressVPN, Surfshark, ProtonVPN) retiraron sus servidores fisicos de Rusia antes de cumplir. Private Internet Access se fue completamente en 2016 tras la confiscacion de su hardware por las autoridades.
Reino Unido: La Carta del fisgon se actualiza
El Investigatory Powers Act 2016 britanico, apodado "Carta del fisgon" por sus criticos, legalizó la recopilacion masiva de datos y otorgo a las autoridades amplios poderes para exigir el descifrado. Las enmiendas de 2024 hicieron esta ley significativamente mas peligrosa para el cifrado de extremo a extremo.
Segun el IPA actualizado, las empresas tecnologicas deben notificar al Ministerio del Interior antes de lanzar actualizaciones de seguridad y obtener aprobacion antes de implementar nuevas funciones de cifrado. El gobierno puede bloquear el lanzamiento de una actualizacion segura. La ley tiene alcance extraterritorial: cualquier empresa en el mundo cuyos servicios lleguen a residentes britanicos debe cumplirla. Las ordenes de silencio impiden a las empresas informar a los usuarios sobre ordenes secretas recibidas.
La respuesta de la industria fue inusualmente directa. Apple amenazo publicamente con desactivar iMessage y FaceTime en el Reino Unido si la ley obligaba a debilitar el cifrado. Signal y WhatsApp declararon que abandonarian el mercado britanico antes de romper el cifrado de extremo a extremo para todos sus usuarios. A mediados de 2026, el enfrentamiento continua sin resolucion.
Australia: El backdoor que supuestamente no lo es
Australia aprobo en 2018 el Telecommunications and Other Legislation Amendment (Assistance and Access) Act, conocido como TOLA. La ley permite a los organismos de aplicacion de la ley emitir Technical Capability Notices: ordenes que obligan a las empresas a crear "nuevas capacidades" para interceptar comunicaciones cifradas.
El gobierno australiano insiste en que TOLA prohibe exigir "vulnerabilidades sistemicas". Los expertos en seguridad senalan unanimemente la imposibilidad matematica de esa posicion: un backdoor que funciona para una parte es una vulnerabilidad para todos. Signal afirmo claramente que por su arquitectura es incapaz de descifrar mensajes de usuarios y que no escribira codigo especial para ello. El secreto total de la ley significa que los empleados que revelen haber recibido un TCN se enfrentan a procesamientos penales.
El dano practico fue mas alla de la privacidad de los usuarios. Startups tecnologicas australianas reportaron perder contratos internacionales porque los clientes sospechaban que sus productos contenian backdoors gubernamentales. La ley convirtio al software australiano en sospechoso en el mercado mundial.
Canada: Ordenes secretas sin supervision judicial
El proyecto de ley canadiense C-26 recibio sancion real el 18 de junio de 2026. La Ley de Ciberseguridad y Seguridad de las Telecomunicaciones otorga al ministro de Industria poderes amplios y en gran medida secretos: la capacidad de ordenar secretamente a los operadores de telecomunicaciones que desconecten determinados servicios de sus redes, interrumpan el servicio a personas especificas y compartan informacion confidencial con reguladores gubernamentales. El incumplimiento conlleva multas de hasta 15 millones de dolares al dia.
La Asociacion Canadiense de Libertades Civiles (CCLA) y los investigadores del Citizen Lab de la Universidad de Toronto fueron los criticos mas agudos del proyecto. Su objecion central: las ordenes no requieren autorizacion judicial y las empresas no pueden impugnarlas publicamente. El regimen de ordenes secretas sin rendicion de cuentas publica refleja mecanismos utilizados en estados autoritarios: la diferencia es de procedimiento, no de fondo.
El patron comun
- Mandatos de secreto: Los cuatro paises prohiben a las empresas informar a los usuarios cuando se recibe una orden de vigilancia.
- Alcance extraterritorial: El Reino Unido y Canada reivindican explicitamente jurisdiccion sobre empresas extranjeras cuyos servicios llegan a sus residentes.
- El cifrado como objetivo: Cada ley, con diferente lenguaje, busca neutralizar el cifrado de extremo a extremo obligando a las empresas a mantener capacidad de descifrado.
- Responsabilidad asimetrica: Los gobiernos pueden emitir ordenes secretas; las empresas y los usuarios no pueden impugnarlas publicamente.
Signal no puede cumplir con ninguna de estas leyes sin romper fundamentalmente su servicio. La empresa lo ha declarado en cada jurisdiccion. Lo mismo aplica a cualquier plataforma de mensajeria construida sobre cifrado genuino de extremo a extremo.
Como responden los proveedores de VPN
En las cuatro jurisdicciones, la industria VPN ha convergido en la misma solucion tecnica: servidores solo en RAM. Cuando un servidor no almacena nada en disco y funciona completamente en memoria, la confiscacion del hardware no produce datos de usuarios. Esta arquitectura contrarresta directamente las leyes que exigen registros accesibles: no hay nada que entregar porque nada persiste despues de apagar el servidor.
Para usuarios en cualquiera de estos cuatro paises, una VPN con politica de cero registros verificada e infraestructura solo en RAM ofrece una capa de proteccion significativa contra los sistemas de retencion obligatoria de datos. No protege contra leyes que obligan a los ISP a bloquear los propios protocolos VPN, como Rusia hace cada vez mas a traves de sus sistemas TSPU de inspeccion profunda de paquetes, pero aborda directamente el problema del almacenamiento de datos.
• UK Demands Apple Build Secret Backdoor Into iCloud - EFF
• Analysis of Canada's Bill C-26 - Citizen Lab
• The Australian Encryption Law Is Flawed - Signal Blog
• PIA Removes Russian Servers - Private Internet Access Blog
• Apple Threatens to Pull iMessage and FaceTime From UK - The Guardian
