Hoy publicaremos el informe de transparencia de Cloudflare para el primer semestre de 2019. Reconocemos la importancia de mantener la información actualizada, pero nos ha tomado un poco más de lo habitual elaborar el informe. Tenemos algunas actualizaciones importantes.

Retirar un warrant canary

Desde que emitimos nuestro primer informe de transparencia en 2014, hemos mantenido una serie de compromisos, conocidos como warrants canaries (canarios de seguridad), acerca de las acciones que tomaremos y cómo responderemos a ciertos tipos de solicitudes de aplicación de la ley. Complementamos esos compromisos iniciales a principios de este año, para que nuestros warrant canaries actuales declaren que Cloudflare nunca:

  1. Entregó nuestras claves de cifrado o autenticación, o las de nuestros clientes, a nadie.
  2. Instaló ningún software o equipo de aplicación de la ley en ningún lugar de nuestra red.
  3. Canceló a un cliente o retiró el contenido debido a presiones políticas*
  4. Proporcionó ninguna fuente del contenido de los clientes que transitan por nuestra red a ninguna organización encargada de hacer cumplir la ley.
  5. Modificó el contenido del cliente a solicitud de una organización encargada de hacer cumplir la ley u otra tercera parte.
  6. Modificó el destino previsto de las respuestas de DNS a solicitud de una organización encargada de hacer cumplir la ley u otra tercera parte.
  7. Debilitó, comprometió o desvirtuó ninguno de sus contenidos cifrados a solicitud de una organización encargada de hacer cumplir la ley u otra tercera parte.

Estos compromisos sirven como una declaración de valores para recordarnos lo que es importante para nosotros como empresa, para transmitir no solo lo que hacemos, sino lo que creemos que debemos hacer. Y para que mantengamos estos compromisos, tenemos que creer no solo que los hemos cumplido en el pasado, sino que podemos seguir haciéndolo.

Desafortunadamente, hay un warrant canary que ya no pasa la prueba para permanecer en nuestro sitio web. Después de que Cloudlfare cancelara el servicio del Daily Stormer en 2017, Matthew observó lo siguiente:

"Tendremos un largo debate interno sobre si necesitamos eliminar el apartado sobre no cancelar a un cliente debido a presiones políticas". Es poderoso ser capaz de decir que nunca has hecho algo. Y, después de hoy, no se equivoquen, será un poco más difícil para nosotros argumentar en contra de un gobierno de algún lugar que nos presione para que derribemos un sitio que no les gusta".

Abordamos este problema en nuestros informes de transparencia posteriores al conservar la declaración, pero se agregó un asterisco que identifica el debate del Daily Stormer y las críticas que habíamos recibido a raíz de nuestra decisión de cancelar los servicios. Nuestro objetivo era señalar que seguimos comprometidos con el principio de que no debemos cancelar a un cliente debido a presiones políticas, sin pasar por alto esto. También buscamos hacer pública la cancelación y nuestras razones para tomar dicha decisión, con el objeto de garantizar que no pase desapercibida.

Aunque esa cancelación provocó un debate notable sobre si las empresas de infraestructura toman decisiones acerca de qué contenido debe permanecer en línea, todavía no hemos visto actores políticos responsables que presenten alternativas reales para abordar el contenido y el comportamiento altamente problemático en línea. Desde ese momento, hemos visto aún más consecuencias en el mundo a partir de las duras críticas y el contenido lleno de odio difundido en línea, desde los textos publicados en relación con los ataques terroristas en Christchurch, Poway y El Paso, hasta la publicación de un video que glorifica esos ataques. De hecho, en ausencia de verdaderas iniciativas de política pública para abordar estos problemas, la presión sobre las empresas de tecnología (incluso las empresas de infraestructura de la Internet profunda como lo es Cloudflare) para emitir juicios sobre lo que se mantiene en línea no ha hecho más que aumentar.

En agosto de 2019, Cloudflare canceló el servicio de 8chan debido a que no moderaron su plataforma plagada de contenido de odio, hasta tal punto que inspiró actos asesinos. Aunque no creemos que eliminar los servicios de ciberseguridad para forzar la desconexión de un sitio sea el enfoque correcto de política pública para eliminar el odio que se acumula en línea, el hecho de que un sitio no asuma la responsabilidad de prevenir o mitigar el daño causado por su plataforma deja a los proveedores de servicios, como nosotros, con pocas opciones. Hemos llegado a reconocer que la ilegalidad prolongada y persistente de los demás puede requerir la acción de aquellos que están más abajo en la oferta técnica. Si bien preferimos que los gobiernos reconozcan esa necesidad y desarrollen mecanismos para el debido proceso, si no actúan, es posible que se requiera que las empresas de infraestructura tomen medidas para evitar daños.

Y eso nos lleva de vuelta a nuestro warrant canary. Si creemos que podríamos tener la obligación de cancelar a los clientes, incluso en un número limitado de casos, es insostenible mantener el compromiso de que nunca cancelaremos un cliente "debido a presiones políticas". Podríamos, en teoría, argumentar que la cancelación de un cliente ilegal como 8chan no fue una cancelación "debido a presiones políticas". Pero eso parece estar mal. No deberíamos examinar palabras específicas de nuestros compromisos para explicar a las personas por qué no creemos que hemos violado el estándar.

Seguimos comprometidos con el principio de que proporcionar servicios de ciberseguridad a todos, independientemente del contenido, hace de Internet un lugar mejor. Aunque estamos eliminando el warrant canary de nuestro sitio web, creemos que, para ganar y mantener la confianza de nuestros usuarios, debemos ser transparentes con las acciones que tomamos. Por lo tanto, nos comprometemos a informar sobre cualquier acción que tomemos para cancelar a un usuario que pueda verse como una cancelación "debido a presiones políticas".

Acuerdo Cloud UK/US

Como hemos descrito anteriormente, los gobiernos han estado trabajando para encontrar formas de mejorar el acceso de las fuerzas del orden público a la evidencia digital transfronteriza. Esos esfuerzos dieron como resultado una nueva ley en los Estados Unidos, La Ley de aclaración del uso legal de datos en el extranjero (Clarifying Lawful Overseas Use of Data Act, CLOUD), basada en la idea de que las fuerzas del orden público de todo el mundo deberían poder acceder al contenido electrónico relacionado con sus ciudadanos al realizar investigaciones policiales, dondequiera que se almacenen esos datos, siempre que estén sujetos a garantías procesales suficientes para garantizar el debido proceso.

El 3 de octubre de 2019, Estados Unidos y el Reino Unido firmaron el primer Acuerdo Ejecutivo bajo esta ley. De acuerdo con los requisitos de la ley estadounidense, ese acuerdo entrará en vigencia en 180 días, en marzo de 2020, a menos que el Congreso tome medidas para bloquearlo. Existe un debate en curso sobre si el acuerdo incluye suficientes protecciones de debido proceso y privacidad. Vamos a esperar y ver el enfoque, y seguiremos de cerca cualquier solicitud que recibamos después de que el acuerdo entre en vigencia.

Por el momento, Cloudflare tiene la intención de cumplir con las solicitudes de datos de alcance apropiado y específicas de los organismos de seguridad del Reino Unido, siempre que esas solicitudes sean acordes a la ley y las normas internacionales de derechos humanos. La información sobre las solicitudes legales que Cloudflare recibe de gobiernos no estadounidenses de conformidad con la Ley CLOUD se incluirá en futuros informes de transparencia.