Qué es un warrant canary

Un warrant canary es una declaración publicada, refrescada en un cronograma regular, afirmando que el operador no ha recibido una orden de seguridad nacional o citación que venga con una orden mordaza. El canary está "vivo" mientras siga apareciendo en cronograma. Si deja de aparecer, o su lenguaje cambia de maneras específicas, se espera que los usuarios infieran que llegó un proceso legal con mordaza, aunque el operador no pueda revelarlo directamente.

El mecanismo descansa sobre una asimetría legal. En Estados Unidos, una National Security Letter (NSL) bajo 18 U.S.C. § 2709 y una orden FISA Sección 215 pueden obligar a un proveedor de servicios a entregar registros y prohibirles revelar la solicitud. Las cortes han fallado que la mordaza prohíbe la revelación activa. El argumento detrás de un warrant canary es que la Primera Enmienda protege el derecho a NO hablar: el operador no es obligado a seguir afirmando "ninguna orden recibida", así que el silencio es la ausencia de habla, no habla prohibida.

Por qué esto es una zona gris

Las cortes de EE.UU. no han probado directamente si dejar de publicar un warrant canary viola una orden mordaza. El argumento no ha sido rechazado, pero tampoco ha sido confirmado. Varias consideraciones debilitan la protección en la práctica:

• Una corte podría leer la remoción del canary como el equivalente funcional de la revelación, particularmente si el propósito del canary era específicamente señalar una orden.
• La doctrina de habla obligada es más débil para entidades comerciales que para individuos.
• La orden misma puede incluir lenguaje explícito requiriendo que el receptor continúe la operación rutinaria, lo cual una corte podría leer como cubriendo el canary.
• Otras jurisdicciones (Reino Unido, Australia, Francia) tienen disposiciones explícitas anti-tipping-off que criminalizan la inferencia, removiendo cualquier protección estilo Primera Enmienda.

El valor defensivo de un canary es por lo tanto real pero acotado. No señala nada si el operador simplemente olvida publicar, miente sobre que el canary está muerto, u opera desde una jurisdicción donde la inferencia es en sí ilegal.

Quién los ha usado

• Reddit publicó un reporte de transparencia incluyendo un warrant canary de 2014 a 2016. El reporte de 2015 quitó el lenguaje relevante, llevando a los usuarios a concluir que había llegado una NSL.
• Apple incluyó lenguaje canary en reportes tempranos de transparencia de iOS; fue removido en 2014.
• Cloudflare ha publicado un reporte trimestral de transparencia con declaraciones canary explícitas desde 2014.
• Reddit, Tumblr y Twitter todos quitaron o modificaron lenguaje canary en varios puntos sin confirmar la causa.
• El proyecto canarywatch.org de la EFF rastreó canaries públicamente entre 2014 y 2016 antes de retirar el índice.

Los proveedores VPN y las pequeñas empresas de hosting son los publicadores más activos hoy, en parte porque su modelo de amenaza se centra en citaciones y en parte porque su base de usuarios lee la divulgación.

Cómo se ve un canary útil

Un canary que señala confiablemente tiene tres propiedades.

1. Prueba criptográfica de la fecha. La declaración canary está firmada con la clave PGP del operador y con timestamp contra una fuente externa que el operador no controla (un hash de bloque de Bitcoin, una portada del New York Times, el último valor del beacon de aleatoriedad NIST). Esto previene back-dating.
2. Una cadencia regular de publicación. Mensual o trimestral es común. La cadencia tiene que ser lo suficientemente consistente como para que un hueco inesperado sea significativo, pero lo suficientemente laxa para absorber retrasos rutinarios.
3. Lenguaje específico sobre lo que se está atestiguando. Un canary útil nombra las categorías: NSLs, órdenes FISA, órdenes de cortes secretas, órdenes mordaza. Un canary que vagamente dice "sin interferencia gubernamental" es demasiado débil para ser útil.

Fexyn mantiene un warrant canary en /warrant-canary bajo jurisdicción de Wyoming, EE.UU. El canary es una señal entre varias que contribuyen a evaluar a un proveedor VPN; complementa pero no reemplaza una política sin logs, una auditoría independiente, y la elección de jurisdicción operativa.