- La exigencia del gobierno británico plantea un problema de acceso generalizado a todo el contenido cifrado de usuarios subido a iCloud, lo que va más allá de la cooperación investigativa de un solo país y pone en duda la promesa de seguridad para usuarios de todo el mundo
- La orden fue emitida como un technical capability notice bajo la Investigatory Powers Act (IPA) de 2016, y exige que Apple cree una puerta trasera para que las autoridades de seguridad británicas accedan a datos cifrados a nivel global
- A Apple podría resultarle difícil advertir a los usuarios que su cifrado más fuerte ya no ofrecería seguridad total, y la ley relacionada incluso convierte en delito penal revelar la existencia misma de la exigencia
- Apple podría optar por suspender los servicios de almacenamiento cifrado en Reino Unido antes que romper su promesa de seguridad, pero esa decisión no eliminaría una orden de acceso por puerta trasera del Reino Unido sobre servicios en otros países, como Estados Unidos
- Esta orden debilita Advanced Data Protection de iCloud, introducida en 2022, y Apple junto con expertos en seguridad advierten que una puerta trasera también se convierte en punto de entrada para actores maliciosos
Exigencia secreta del Reino Unido para acceder a iCloud
- Se informó que el gobierno británico exigió en secreto a Apple un acceso generalizado a todo el contenido cifrado de usuarios subido a la nube
- Según se reporta, la orden confidencial fue emitida el mes pasado y exige que Apple cree una puerta trasera que permita a las autoridades de seguridad británicas acceder a datos cifrados de usuarios en todo el mundo
- Esta exigencia se considera de un nivel sin precedentes, difícil de ver incluso en otras democracias
El technical capability notice y la IPA
- La orden fue enviada en forma de technical capability notice por el Ministerio del Interior del Reino Unido a Apple
- La base legal es la Investigatory Powers Act (IPA) del Reino Unido, de 2016
- Esta ley permite que las fuerzas del orden obliguen a las empresas a cooperar cuando sea necesario para recolectar pruebas
- Sus críticos la han llamado “Snooper’s Charter”
- Un portavoz de Apple se negó a comentar al respecto
- El Ministerio del Interior también señaló que no discute requerimientos técnicos y que no confirma ni niega la existencia de notificaciones específicas
- La legislación relacionada convierte en delito penal el solo hecho de revelar que el gobierno hizo una exigencia de ese tipo
Restricciones para avisar a usuarios y alcance internacional
- Una persona informada sobre la situación considera que Apple también tendría prohibido advertir a los usuarios que Advanced Data Protection ya no ofrece seguridad completa
- Esa misma persona consideró impactante que el gobierno británico exija a Apple vigilar a usuarios no británicos sin que sus gobiernos lo sepan
- Un exasesor de seguridad de la Casa Blanca confirmó la existencia de la orden británica
Posible respuesta de Apple e impacto en funciones de iCloud
- Personas familiarizadas con el tema creen que Apple probablemente suspenderá la oferta de servicios de almacenamiento cifrado en Reino Unido antes que romper la promesa de seguridad hecha a sus usuarios
- La suspensión del servicio dentro del Reino Unido no afectaría las órdenes británicas de acceso por puerta trasera sobre servicios en otros países, incluido Estados Unidos
- Apple ya había dicho en el pasado que podría considerar retirar del Reino Unido servicios como FaceTime e iMessage antes que aceptar compromisos de seguridad
- Esta orden debilita Advanced Data Protection, lanzado por Apple en 2022
- Esta función permite aplicar cifrado de extremo a extremo de forma opcional a más categorías de datos de iCloud, como Photos, Notes, Voice Memos, respaldos de Messages y respaldos del dispositivo
- Esos datos están diseñados para que nadie, ni siquiera Apple, pueda acceder a ellos
Cifrado de respaldos de Android en Google
- Google aplica cifrado por defecto a los respaldos de teléfonos Android desde 2018
- El vocero de Google, Ed Fernandez, no respondió directamente si el gobierno pidió una puerta trasera, pero dio a entender que no existe tal puerta trasera
- Fernandez afirmó que Google no puede acceder a los datos de respaldo cifrados de extremo a extremo de Android, incluso ante una orden legal
Reforma de la IPA en 2023 y preocupaciones previas de Apple
- La IPA fue modificada en 2023 para permitir que el Ministerio del Interior prohíba ciertos servicios de cifrado mediante un technical capability notice
- Apple calificó en ese momento la reforma propuesta como un “abuso de poder sin precedentes” por parte del gobierno
- Le preocupaba que, si la reforma entraba en vigor, el Reino Unido pudiera bloquear en secreto nuevas funciones de protección para usuarios en todo el mundo e impedir que Apple las ofreciera a sus clientes
Postura de Apple y del sector de seguridad sobre las puertas traseras
- El CEO de Apple, Tim Cook, ha dicho de forma constante que el acceso por puerta trasera al cifrado para las autoridades también puede abrir la puerta a que los “bad guys” accedan a los datos de los usuarios
- Expertos en ciberseguridad coinciden en que, una vez creado ese punto de entrada, es cuestión de tiempo para que actores maliciosos lo descubran
- La postura de Apple se fortaleció tras su exitosa oposición en 2016 a una orden de Estados Unidos que exigía desbloquear el iPhone del atacante del tiroteo de San Bernardino, California
Cambio en el debate sobre cifrado en Estados Unidos e intrusiones vinculadas a China
- Durante mucho tiempo, las fuerzas del orden en Estados Unidos se opusieron al cifrado, pero recientemente ha crecido más la preocupación por intrusiones cibernéticas masivas atribuidas a hackers respaldados por el Estado chino
- Los atacantes lograron infiltrarse en grandes operadores de telecomunicaciones y obtener acceso sin restricciones a llamadas telefónicas privadas
- En una conferencia de prensa de diciembre, un representante del Departamento de Seguridad Nacional de Estados Unidos, junto con funcionarios del FBI, advirtió que no se debe asumir que la red telefónica tradicional ofrece privacidad
- En esa misma ocasión, recomendó usar comunicaciones cifradas siempre que sea posible
- Ese mismo mes, el FBI, la NSA y CISA publicaron una recomendación conjunta sobre la campaña cibernética china, instando a cifrar el tráfico de extremo a extremo en la mayor medida posible
Reacción de organizaciones civiles
- El grupo de campaña por la privacidad Big Brother Watch declaró que este intento, justificado en nombre de combatir el crimen y el terrorismo, no hará más seguro al Reino Unido
- La organización considera que este intento debilitará los derechos fundamentales y las libertades civiles de toda la población
1 comentarios
Opiniones en Hacker News