Una orden canaria es un método mediante el cual un proveedor de servicios de comunicaciones pretende informar implícitamente a sus usuarios que el proveedor ha recibido una citación gubernamental a pesar de las prohibiciones legales de revelar la existencia de la citación. La orden canaria generalmente informa a los usuarios que no ha habido una citación judicial en una fecha particular. Si el canario no se actualiza durante el período especificado por el anfitrión o si se elimina la advertencia, los usuarios pueden asumir que el anfitrión ha recibido dicha citación. La intención es que un proveedor advierta pasivamente a los usuarios de la existencia de una citación, aunque viole el espíritu de una orden judicial de no hacerlo, sin violar la letra de la orden.
Algunas citaciones, como las cubiertas por 18 USC §2709(c) (promulgada como parte de la Ley Patriota de EE. UU. ), establecen sanciones penales por revelar la existencia de la citación a un tercero, incluidos los usuarios del proveedor de servicios. [1] [2]
Las Cartas de Seguridad Nacional (NSL) se originaron en la Ley de Privacidad de las Comunicaciones Electrónicas de 1986 y originalmente estaban dirigidas a aquellos sospechosos de ser agentes de una potencia extranjera. [3] Apuntar a agentes de una potencia extranjera fue revisado en la Ley Patriota en 2001 para permitir que las NSL apunten a aquellos que puedan tener información que se considere relevante ya sea para actividades de contrainteligencia o actividades terroristas dirigidas contra los Estados Unidos. [3] La idea de utilizar pronunciamientos negativos para frustrar los requisitos de confidencialidad de las órdenes judiciales y órdenes secretas entregadas fue propuesta por primera vez por Steven Schear en la lista de correo de cypherpunks , [4] principalmente para descubrir personas objetivo de los ISP . También fue sugerido y utilizado por las bibliotecas públicas en 2002 en respuesta a la Ley Patriota de EE. UU. , que podría haber obligado a los bibliotecarios a revelar el historial de circulación de los usuarios de la biblioteca. [5] [6]
El término es una alusión a la práctica de los mineros del carbón que introducen canarios en las minas para utilizarlos como señal de alerta temprana de gases tóxicos, principalmente monóxido de carbono y metano . [7] Las aves son más sensibles a estos gases que los humanos y enfermaron antes que los mineros, quienes entonces tendrían la oportunidad de escapar o ponerse respiradores protectores . [8]
El primer uso comercial de un warrant canary fue por parte del proveedor estadounidense de almacenamiento en la nube rsync.net, que comenzó a publicar su canary en 2006. [9] Además de una firma digital , proporciona un titular de noticias reciente como prueba de que el warrant canary fue publicado recientemente [10] además de reflejar la publicación a nivel internacional. [11]
El 5 de noviembre de 2013, Apple se convirtió en la empresa más destacada en declarar públicamente que nunca había recibido un pedido de datos de usuario en virtud de la Sección 215 de la Ley Patriota. [12] [13] El 18 de septiembre de 2014, GigaOm informó que la declaración canary de la orden judicial ya no aparecía en los dos siguientes Informes de Transparencia de Apple, que abarcaban de julio a diciembre de 2013 y de enero a junio de 2014. [14] Tumblr también incluyó una orden judicial canary en el informe de transparencia que emitió el 3 de febrero de 2014. [15] En agosto de 2014, el servicio en la nube en línea Spider Oak implementó una orden canary encriptada que publica un mensaje de "¡Todo despejado!" mensaje cada 6 meses. Tres firmas PGP de firmantes distribuidos geográficamente deben firmar cada mensaje, por lo que si una agencia gubernamental obligara a SpiderOak a actualizar la página, necesitaría contar con la ayuda de los tres firmantes. [dieciséis]
En septiembre de 2014, el investigador de seguridad estadounidense Moxie Marlinspike escribió que "todos los abogados con los que he hablado han indicado que eliminar un 'canario' o elegir no actualizarlo probablemente tendría las mismas consecuencias legales que simplemente publicar algo que diga explícitamente usted". He recibido algo." [17] [18]
En marzo de 2015, se informó que Australia prohibió el uso de cierto tipo de orden canaria, por lo que era ilegal "revelar información sobre la existencia o no existencia" de una orden de información para periodistas emitida en virtud de las nuevas leyes obligatorias de retención de datos. [19] Posteriormente, Bruce Schneier, especialista en privacidad y seguridad informática, escribió en una publicación de blog que "[p]ersonalmente, nunca creí que [warrant canaries] funcionaría. Se basa en el hecho de que una prohibición de hablar no impide que alguien Pero a los tribunales generalmente no les impresionan este tipo de cosas, y puedo imaginar fácilmente una orden secreta que incluya una prohibición de activar la orden canaria. Y por lo que sé, en este momento hay procedimientos legales secretos sobre esto. muy problema." [20] Esta no es la primera ley australiana que prohíbe los canarios de garantía. La "Ley de Enmienda (Interceptación) de Telecomunicaciones de 1995" fue probablemente la primera, por lo que es ilegal "revelar información sobre la existencia o no existencia" de órdenes de interceptación. [21]
Dicho esto, la jurisprudencia específica de Estados Unidos haría que la continuación encubierta de las órdenes canarias estuviera sujeta a impugnaciones de constitucionalidad. [ cita necesaria ] La Junta de Educación del Estado de Virginia Occidental contra Barnette y Wooley contra Maynard dictaminan que la Cláusula de libertad de expresión prohíbe obligar a alguien a hablar en contra de sus deseos; esto puede ampliarse fácilmente para evitar que alguien se vea obligado a mentir. New York Times Co. contra Estados Unidos protege a quien ejerce la Primera Enmienda para publicar información gubernamental, incluso si va en contra de los deseos del gobierno, excepto en circunstancias graves y excepcionales previamente establecidas por ley y precedente. Esto también puede tener implicaciones con respecto a actuar contra una intervención gubernamental directa, similar a una intervención gubernamental contra una orden judicial. [ cita necesaria ]
La siguiente es una lista no exhaustiva de empresas y organizaciones cuyos warrants canarios ya no aparecen en los informes de transparencia:
En 2015, una coalición de organizaciones formada por EFF , Freedom of the Press Foundation , NYU Law , Calyx Institute y Berkman Center crearon un sitio web llamado Canary Watch para proporcionar una lista compilada de todas las empresas que ofrecen garantía canarias. Su misión era proporcionar actualizaciones inmediatas de cualquier cambio en el estado de Canarias. A menudo es difícil para los usuarios determinar la validez de un canario por sí mismos y, por lo tanto, Canary Watch pretendía proporcionar una visualización simple de todos los canarios activos y los bloques de tiempo en los que no estuvieron activos. [25] En mayo de 2016, se anunció que Canary Watch "ya no aceptará envíos de nuevos canarios ni supervisará los canarios existentes en busca de cambios o eliminaciones". [26] La coalición de organizaciones que creó Canary Watch explicó su decisión de descontinuar el proyecto afirmando que había logrado sus objetivos de crear conciencia sobre "los procesos de seguridad nacional ilegales e inconstitucionales, incluidas las Cartas de Seguridad Nacional y otros procesos judiciales secretos". La Electronic Frontier Foundation también señaló que "el hecho de que los canarios no sean estándar hace que sea difícil monitorearlos automáticamente para detectar cambios o eliminaciones". Explicaron que el proyecto había seguido su curso, que se había prestado mucha atención a los canarios y que justificaban detalladamente las fortalezas y debilidades de los canarios que observaron. [26]
En 2016, el colectivo tecnológico Riseup no actualizó su orden canaria debido a órdenes selladas de un tribunal. [27] [28] Desde entonces, el canario se ha actualizado, pero ya no indica la ausencia de órdenes de silencio. [29]
En febrero de 2024, la Fundación Ethereum eliminó la orden canaria de su sitio web [30] citando "[una] investigación voluntaria de una autoridad estatal que incluía un requisito de confidencialidad" en el mensaje de confirmación.
{{cite web}}
: Mantenimiento CS1: URL no apta ( enlace )