La agencia de espionaje afirma haber compartido "indebidamente" datos de canadienses con socios internacionales

Una de las agencias de inteligencia de Canadá afirma que compartió "indebidamente" información sobre canadienses que había obtenido "incidentalmente" con socios internacionales.

El Communications Security Establishment (CSE) compartió algunos detalles sobre el incidente después de que el comisionado de inteligencia, el cargo cuasi judicial que revisa las actividades de la agencia de espionaje cibernético, señalara el caso en su informe anual presentado en el Parlamento a principios de esta semana.

La portavoz del CSE, Janny Bender Asselin, dijo a CBC News que el año pasado la agencia tuvo que notificar al ministro de Defensa "sobre un incidente en el que el CSE compartió información indebidamente".

"El CSE identificó una actividad en la que, entre 2020 y 2023, compartimos información con socios internacionales sin eliminar debidamente la información canadiense obtenida incidentalmente al atacar objetivos válidos de inteligencia extranjera", afirmó.

"El CSE actuó rápidamente para contener el problema".

El CSE se considera una de las joyas de la corona de la inteligencia de Canadá, responsable de interceptar y analizar comunicaciones electrónicas extranjeras, lanzar operaciones cibernéticas y defender las redes y la infraestructura crítica del gobierno contra ataques.

Asselin dijo que eso incluía buscar garantías de los socios de confianza de CSE de que la información compartida fue eliminada.

"Seguimos actualizando nuestras políticas y procedimientos para evitar que esto vuelva a ocurrir", dijo.

El CSE no dijo cuántos canadienses se vieron afectados ni con qué países se compartió la información, citando cuestiones de seguridad operativa.

Los detalles fueron compartidos con el Comisionado de Inteligencia, Simon Noël, quien los planteó en su informe recientemente publicado.

El comisionado es parte de la cadena de aprobación antes de que el CSE y su agencia hermana, el Servicio Canadiense de Inteligencia de Seguridad (CSIS), puedan seguir adelante con ciertas actividades de recopilación de inteligencia y ciberseguridad.

El CSE primero debe solicitar permiso al Ministro de Defensa —conocido como autorización ministerial— si la acción propuesta viola la ley o potencialmente infringe los intereses de privacidad de los canadienses.

Según la ley, las autorizaciones ministeriales deben demostrar que las actividades son razonables y necesarias y que existen medidas para proteger la privacidad de los canadienses.

El comisionado de inteligencia proporciona luego un nivel de supervisión y aprueba la misión, la aprueba con condiciones o rechaza la solicitud directamente.

Noël también se asegura de que CSE siga cumpliendo después de recibir luz verde y se atenga a lo aprobado, lo que no fue el caso en este asunto de intercambio de información.

El informe del comisionado no incluye muchos detalles, citando motivos de seguridad nacional.

El CSE afirma que los datos se compartieron entre 2020 y 2023

El caso se incluirá en el informe anual del CSE, que se espera para finales de este mes, dijo Asselin.

El informe de Noël decía que instó a la agencia de inteligencia a ser lo más transparente posible sobre el incidente.

No parece que las personas involucradas hayan sido alertadas, aunque CSE afirmó que informó el incidente a sus organismos de supervisión y revisión, incluida la Oficina del Comisionado de Privacidad.

"La revelación de este incidente que involucra a CSE plantea muchas preocupaciones serias", dijo Matt Malone, director de la Clínica Canadiense de Políticas de Internet e Interés Público.

El profesor de la Universidad de Ottawa afirmó que los hallazgos justifican muchos de los temores planteados por grupos de la sociedad civil sobre la posibilidad de que el proyecto de ley de ciberseguridad del gobierno liberal contenga información inapropiada. La primera versión del proyecto de ley fracasó cuando la Cámara de Representantes prorrogó su mandato a principios de este año, y fue reintroducido por el gobierno del primer ministro Mark Carney como Proyecto de Ley C-8.

Si se aprueba, las industrias reguladas por el gobierno federal tendrían que informar los incidentes de ciberseguridad a la CSE, lo que significa que estaría en posesión de más información.

"Todo esto es un muy mal augurio para el estado de la protección de la privacidad en Canadá", dijo Malone.

"Tres de los ocho proyectos de ley presentados hasta ahora en este Parlamento son extremadamente corrosivos para la privacidad".

En 2024, el comisionado de información recibió 13 autorizaciones ministeriales para su revisión: siete relacionadas con actividades de la CSE y seis con actividades del CSIS. Aprobó las actividades de 11 autorizaciones, aprobó las actividades con condiciones de una autorización y aprobó parcialmente las actividades de la otra.