Blog de C3PO

Warrant canary

2023-02-14

NOTA: han aclarado en el fediverso que quizás esto no tenga mucho sentido porque seguramente vayan directamente al servidor y no al propietario o administrador del servicio. Y que puede ocurrir únicamente con cosas muy graves, por lo que no tendría sentido en lo normal que tenemos hoy, aunque sí es cierto que a veces se cuela pornografía infantil en el fediverso. Y sí, es bastante lógico que sea así. Y en el caso de que no lo sea también podría ser poco útil y dar falsa sensación de seguridad que crea el admin y usuarios que no lo han pedido y resulte que secretamente se pidiera al servidor. Por otra parte, lo he visto en servicios de email que usan servidores externos, incluso en VPN,s igualmente (no de su propiedad). Pero lo aclaro aquí por si esta ayuda que se me ocurrió pudiera no ser muy útil a fin de cuentas.

Me sorprende que en la mayoría del fediverso no exista un warrant canary en un lugar visible para las personas que usan dichos servicios.

Me explico. ¿Qué es un warrant canary?. Citando a la wikipedia:

La expresión warrant canary (literalmente canario garante o canario de seguridad) proviene del uso de los canarios en las minas como detectores de gas grisú.​ En la actualidad describe un método mediante el cual un proveedor de servicios de internet intenta informar a sus usuarios de que ha sido citado en secreto o requerido mediante orden gubernativa de los Estados Unidos. Dichas citaciones secretas o requerimientos, incluyendo las cubiertas por 18 U.S.C. §2709(c) de la Ley USA PATRIOT, establece penas criminales para la divulgación de la existencia de la garantía a terceras partes, incluyendo los usuarios del proveedor de servicios.

Aunque se dice aquí únicamente de Estados Unidos y los ISP, en realidad se usa por diferentes servicios y podemos extender esta solicitud a cualquier país, por lo que sería importante disponer siempre de una comunicación fiable de que no se ha requerido información nuestra por ningún servicio gubernamental o cuerpos policiales: email, mensajes privados, IPs, etc.

Cuando tenía mis instancias de Mastodon añadí una línea en la página principal donde venía reflejado esto mismo. Algo así como:

Solicitudes recibidas por parte de alguna agencia gubernamental o fuerzas y cuerpos de seguridad del estado = 0

Y como anuncio privado a los miembros de las instancias les dije que si por algún motivo ese mensaje desapareciera, que tuvieran presente que SI se había recibido algún requerimiento, pero que había sido obligado a no publicarlo o comunicarlo a la persona afectada. Sería como una señal. Esta idea me la comentó un amigo de Mastodon y la vi ideal.

Hay que tener en cuenta que en muchos países está incluso prohibido informar a la víctima de estos requerimientos. No puedes decir nada. Al menos con este truco no diría a quién pero los usuarios sabrían que sí ha ocurrido y puede ser cualquiera de ellos.

No podría deciros si en España se impide esta comunicación a los afectados o no. Si alguien conoce el dato le agradecería que me dejara un comentario.

Y a lo que iba: ¿por qué no se ve esto en los servicios del fediverso?. Creo que es algo importante y vital para nuestro conocimiento. Hablamos de la privacidad de nuestros datos personales y que pueden ser requeridos sin siquiera saberlo nosotros, aparte de que nos puede venir una demanda o denuncia próximamente.

Ojalá algún día se ponga en práctica en cada servicio libre del fediverso.