El Ministerio del Interior del Reino Unido exigió a Apple que eliminara en
secreto el cifrado en la nube para todos los usuarios. En lugar de ello, Apple
eliminó el cifrado en la nube sólo para los usuarios del Reino Unido, e
informó de ello públicamente.
Se trata de una seria advertencia para todos
aquellos preocupados por la privacidad: Es la primera vez que uno de los
Cinco Ojos
presiona con éxito a una empresa para que elimine su cifrado para poder
transmitir datos a las autoridades si así lo solicitan.
Apple está tomando la medida sin precedentes de retirar su herramienta de
seguridad de datos de más alto nivel a los clientes en el Reino Unido, después
de que el gobierno exigiera acceso a los datos de los usuarios.
La Protección Avanzada de Datos (ADP, por sus siglas en inglés) significa que
solo los titulares de cuentas pueden ver elementos como fotos o documentos que
han almacenado en línea a través de un proceso conocido como cifrado de
extremo a extremo (E2EE).
Pero a principios de este mes, el gobierno del Reino Unido solicitó el
derecho a ver los datos, a los que actualmente ni siquiera Apple puede
acceder.
Apple no hizo comentarios en ese momento, pero se ha opuesto constantemente a
la creación de una «puerta trasera» en su servicio de cifrado, argumentando
que si lo hiciera, solo sería cuestión de tiempo antes de que los malos
actores también encontraran una forma de entrar.
Expertos en seguridad y derechos de los consumidores han instado a los
legisladores a pedir cuentas al gobierno del Reino Unido, después de que Apple
eliminara el cifrado de extremo a extremo (E2EE) en iCloud tras las demandas
de acceso a los datos del Ministerio del Interior. Aunque la solicitud de
acceso se realizó en secreto en virtud de la controvertida Ley de Poderes de
Investigación (IPA), también denominada «Carta del Fisgón»,
se informó ampliamente
de su realización a principios de este mes.
Sin embargo, como Apple y otras empresas tecnológicas han sostenido durante
mucho tiempo, es imposible crear una «puerta trasera» E2EE para el gobierno
y las fuerzas del orden sin poner en riesgo a todos los clientes. Por eso,
Apple ha tomado la decisión de eliminar la función de Protección Avanzada de
Datos (ADP) opcional para los clientes del Reino Unido.
Ahora, el gigante tecnológico ha decidido que ya no será posible activar ADP
en el Reino Unido. Esto significa que, con el tiempo, no todos los datos de
los clientes del Reino Unido almacenados en iCloud (el servicio de
almacenamiento en la nube de Apple) estarán completamente cifrados.
Los datos con cifrado estándar son accesibles para Apple y se pueden compartir
con las fuerzas del orden, si tienen una orden judicial. El Ministerio del
Interior dijo a la BBC:
«No hacemos comentarios sobre cuestiones operativas, incluyendo por ejemplo
confirmar o negar la existencia de tales avisos».
En un comunicado, Apple dijo que estaba «profundamente decepcionada» de que la
función de seguridad ya no estuviera disponible para los clientes británicos.
«Como hemos dicho muchas veces antes, nunca hemos construido una puerta
trasera o una llave maestra para ninguno de nuestros productos, y nunca lo
haremos», continuó.
¿Cómo funciona el cifrado?
El servicio ADP es opcional, lo que significa que las personas deben
registrarse para obtener la protección que proporciona. Desde el viernes
pasado, cualquier usuario de Apple en el Reino Unido que intentaba activarlo
se ha encontrado con un mensaje de error. El acceso de los usuarios existentes
se desactivará en una fecha posterior.
No se sabe cuántas personas se han registrado en ADP desde que estuvo
disponible para los clientes británicos de Apple en diciembre de 2022.
El profesor Alan Woodward, experto en ciberseguridad de la Universidad de
Surrey, dijo que se trataba de un «acontecimiento muy decepcionante» que
equivalía a «un acto de autolesión» por parte del gobierno.
«Todo lo que ha logrado el gobierno del Reino Unido es debilitar la
seguridad y la privacidad en línea para los usuarios del Reino Unido. Es
«ingenuo» por parte del Reino Unido pensar que podían decirle a una empresa
de tecnología estadounidense lo que tenía que hacer a nivel mundial».
La experta en privacidad en línea Caro Robson dijo que creía que era «sin
precedentes» que una empresa «simplemente retirara un producto en lugar de
cooperar con un gobierno».
«Sería un precedente muy, muy preocupante si otros operadores de
comunicaciones sintieran que simplemente podían retirar productos y no ser
responsables ante los gobiernos», dijo a la BBC.
Apple vio esto como una cuestión de principios: si iban a concederle esto al
Reino Unido, entonces todos los demás gobiernos del mundo lo querrían.
¿Qué pidió el Reino Unido?
La solicitud fue presentada por el Ministerio del Interior en virtud de la Ley
de Poderes de Investigación (IPA), que obliga a las empresas a proporcionar
información a las fuerzas del orden. Apple no hizo comentarios sobre el aviso
y el Ministerio del Interior se negó a confirmar o negar su existencia, pero
la BBC y el Washington Post hablaron con varias fuentes familiarizadas con el
asunto.
Provocó una feroz reacción de los defensores de la privacidad, que lo
calificaron de «ataque sin precedentes» a los datos privados de las personas.
La semana pasada, Will Cathcart, director de WhatsApp, respondió a una
publicación en X en la que expresaba su preocupación por la solicitud del
gobierno:
«Si el Reino Unido fuerza una puerta trasera global en la seguridad de
Apple, hará que todos en todos los países estén menos seguros. La orden
secreta de un país corre el riesgo de ponernos a todos en peligro y debería
detenerse».
Dos políticos estadounidenses de alto rango dijeron que se trataba de una
amenaza tan grave para la seguridad nacional estadounidense que el gobierno
estadounidense debería reevaluar sus acuerdos de intercambio de inteligencia
con el Reino Unido a menos que se retirara.
No está claro que las acciones de Apple aborden por completo esas
preocupaciones, ya que la orden IPA se aplica en todo el mundo y ADP seguirá
operando en otros países.
Uno de esos políticos estadounidenses, el senador Ron Wyden, dijo a BBC News
que la retirada de Apple de las copias de seguridad cifradas de extremo a
extremo del Reino Unido
«crea un precedente peligroso que los países autoritarios seguramente
seguirán».
El senador Wyden cree que la medida «no será suficiente» para que el Reino
Unido abandone sus demandas, que «amenazarían seriamente» la privacidad de los
usuarios estadounidenses.
En su declaración, Apple dijo que lamentaba la acción que había tomado.
«Mejorar la seguridad del almacenamiento en la nube con cifrado de extremo
a extremo es más urgente que nunca. Apple mantiene su compromiso de ofrecer
a sus usuarios el máximo nivel de seguridad para sus datos personales y
tiene la esperanza de poder hacerlo en el futuro en el Reino Unido».
Rani Govender, directora de políticas de seguridad infantil en línea de la
NSPCC, dijo que quiere que las empresas tecnológicas como Apple se aseguren de
que están equilibrando la seguridad de los niños y los usuarios con la
privacidad.
«Mientras Apple busca cambiar su enfoque de cifrado, les pedimos que se
aseguren de que también implementen más medidas de seguridad infantil, para
que los niños estén adecuadamente protegidos en sus servicios», dijo a BBC News.
La organización benéfica para niños del Reino Unido ha dicho que los servicios
cifrados de extremo a extremo pueden obstaculizar los esfuerzos de seguridad y
protección infantil, como la identificación del intercambio de material de
abuso sexual infantil (CSAM).
Pero Emily Taylor, cofundadora de Global Signal Exchange, que proporciona
información sobre estafas en la cadena de suministro, dijo que el cifrado
tenía más que ver con la protección de la privacidad del consumidor y que no
es lo mismo que la web oscura donde generalmente se distribuye CSAM.
«El problema con este debate de larga data, un debate de suma cero sobre el
cifrado y la protección infantil, es que las empresas de tecnología pueden
parecer increíblemente insensibles, pero ese no es el punto», dijo al programa Today de Radio 4.
«El cifrado es algo que usamos todos los días; ya sea para comunicarnos con
nuestro banco o en aplicaciones de mensajería que están cifradas de extremo
a extremo, el cifrado es una forma de privacidad en un mundo en línea que,
por lo demás, es muy inseguro».
Un «desastre» para el Reino Unido
Mike Salem, asociado en el Reino Unido del Consumer Choice Center, pidió a los
partidos de la oposición que expresaran su descontento y exigieran al gobierno
que explicara su razonamiento.
«El gobierno del Reino Unido ha sentado un precedente y ha creado una nueva
reputación que subraya la erosión de las libertades personales y la
privacidad en una era digital en la que estos valores son más necesarios que
nunca», dijo.
«Este es un día muy triste para el principio básico de la privacidad del
consumidor en el siglo XXI, al privar a los usuarios de las herramientas que
dejan a los ciudadanos del Reino Unido expuestos a los gobiernos, los
delincuentes y los piratas informáticos maliciosos. El hecho de que esto se
haya hecho sin debate, supervisión o advertencia previa a los usuarios de
Apple del Reino Unido es extremadamente preocupante», dijo Salem.
David Ruiz, defensor senior de la privacidad en Malwarebytes, describió la
noticia como un «desastre» para el Reino Unido y uno con posibles
consecuencias globales.
«Exigir acceso a los datos del mundo es una maniobra imperialista tan
descarada que me sorprende que no haya venido de los EE. UU. Esto puede
envalentonar a otros países, particularmente a los de los Cinco Ojos, a
hacer una demanda similar a Apple», argumentó.
«En resumen, la pérdida del cifrado de extremo a extremo es mala, sí. Pero
el impacto global de esta demanda tiene un potencial extremadamente
peligroso e idiota», concluyó Ruiz.
Fuente:
BBC