2 puntos por GN⁺ 2025-02-22 | 2 comentarios | Compartir por WhatsApp
  • Después de que el gobierno del Reino Unido exigiera acceso a los datos de los usuarios, Apple impidió que los clientes británicos activen por primera vez Advanced Data Protection, la función de seguridad de mayor nivel que aplicaban a iCloud
  • ADP es una función opcional que protege con cifrado de extremo a extremo los datos almacenados en línea, como fotos y documentos, para que solo pueda verlos el titular de la cuenta; Apple tampoco puede acceder a los datos cuando está activada
  • Desde el 21 de febrero de 2025 a las 15:00 GMT, los usuarios del Reino Unido que intenten activar ADP verán un error, y la ADP de los usuarios existentes también será desactivada más adelante
  • Sin ADP, algunos datos de iCloud solo tendrán cifrado estándar; Apple puede acceder a ellos y, si existe una orden judicial, compartirlos con las fuerzas del orden
  • No está claro si esta medida resolverá las exigencias del Reino Unido bajo la Investigatory Powers Act y las preocupaciones por una backdoor global; también continúan las críticas desde la política estadounidense y los sectores de defensa de la privacidad

Retiro de ADP e impacto en los usuarios de iCloud del Reino Unido

  • Apple tomó una medida sin precedentes al dejar de ofrecer Advanced Data Protection (ADP) a sus clientes del Reino Unido
    • ADP cifra de extremo a extremo datos como fotos y documentos almacenados en iCloud, para que solo el titular de la cuenta pueda acceder a ellos
    • Actualmente, Apple tampoco puede ver los datos cuando la función está activada
  • En el Reino Unido ya no se puede activar ADP por primera vez
    • Desde el 21 de febrero de 2025 a las 15:00 GMT, los usuarios del Reino Unido que intenten activar ADP verán un mensaje de error
    • El acceso de los usuarios que ya tenían ADP también será desactivado más adelante
    • No se sabe cuántas personas se habían inscrito desde que ADP se ofreció a clientes de Apple en el Reino Unido en diciembre de 2022
  • Con la desaparición de ADP, no todos los datos de iCloud de los clientes del Reino Unido estarán protegidos con cifrado completo de extremo a extremo
    • Apple puede acceder a los datos con cifrado estándar
    • Si las fuerzas del orden tienen una orden judicial, Apple puede compartir esos datos
  • Apple dijo estar “gravely disappointed” de que los clientes del Reino Unido ya no puedan usar esta función de seguridad
    • Mantiene su postura de que nunca ha creado una “backdoor” ni una “master key” en sus productos, y que nunca lo hará
    • Considera que reforzar la seguridad del almacenamiento en la nube con cifrado de extremo a extremo es más urgente que nunca
    • Espera poder ofrecer en el futuro el máximo nivel de seguridad para los datos personales también en el Reino Unido

Exigencias gubernamentales y rechazo internacional

  • Según se informó, la exigencia del gobierno británico fue enviada por el Home Office al amparo de la Investigatory Powers Act (IPA)
    • La IPA puede obligar a las empresas a proporcionar información a las fuerzas del orden
    • Apple no hizo comentarios sobre esa notificación, y el Home Office dijo que no confirmaría ni negaría la existencia de dicha notificación
    • La BBC y The Washington Post contactaron a varias fuentes familiarizadas con el asunto
  • Los sectores de defensa de la privacidad y algunos referentes de tecnología y políticas reaccionaron con fuerza
    • Activistas de privacidad calificaron esto como un “unprecedented attack” contra los datos privados de las personas
    • Will Cathcart, responsable de WhatsApp, escribió en X que si el Reino Unido obliga a crear una backdoor global en la seguridad de Apple, todas las personas en todos los países estarán menos seguras
    • Dos políticos estadounidenses de alto nivel consideraron que, si no se retira la exigencia, representaría una amenaza tan grave para la seguridad nacional de Estados Unidos que el gobierno estadounidense debería reevaluar sus acuerdos de intercambio de inteligencia con el Reino Unido
  • No está claro si el retiro de ADP por parte de Apple dentro del Reino Unido bastará para cerrar la polémica
    • Las órdenes bajo la IPA se aplican a nivel mundial, y ADP seguirá operando en otros países
    • El senador Ron Wyden dijo que retirar los respaldos con cifrado de extremo a extremo en el Reino Unido sienta un precedente peligroso que podrían seguir los países autoritarios
    • Wyden considera que esta medida por sí sola probablemente no será suficiente para que el Reino Unido retire su exigencia, y que podría amenazar gravemente la privacidad de los usuarios estadounidenses

Debate sobre cifrado y seguridad infantil

  • También surgieron reacciones que piden equilibrar la seguridad infantil y el cifrado
    • Rani Govender, de NSPCC, dijo que empresas tecnológicas como Apple deben equilibrar la seguridad de los niños y usuarios con la protección de la privacidad
    • NSPCC considera que los servicios con cifrado de extremo a extremo pueden obstaculizar los esfuerzos de protección infantil, como identificar el intercambio de material de abuso sexual infantil (CSAM)
  • En sentido contrario, también hay argumentos de que el cifrado es una herramienta cotidiana de protección de la privacidad
    • Emily Taylor, cofundadora de Global Signal Exchange, dijo que el cifrado tiene que ver con la privacidad de los consumidores y no es lo mismo que la dark web, donde circula principalmente el CSAM
    • Taylor dijo que el cifrado es una herramienta de privacidad usada todos los días, como en las comunicaciones bancarias y en las apps de mensajería con cifrado de extremo a extremo
  • Esta polémica ocurre en un contexto de creciente rechazo en Estados Unidos a la presión regulatoria extranjera sobre empresas tecnológicas estadounidenses
    • El vicepresidente estadounidense JD Vance dijo a comienzos de febrero, en su discurso en la Paris AI Action Summit, que la administración Trump está preocupada por los reportes de que algunos gobiernos extranjeros buscan aumentar la presión sobre empresas tecnológicas estadounidenses que operan internacionalmente

2 comentarios

 
unsure4000 2025-02-22

Todos van a empezar a pedir lo mismo, claro. Es realmente lamentable.

 
GN⁺ 2025-02-22
Opiniones en Hacker News
  • Sí, en realidad era un asunto mucho más grave de lo que explicó el gobierno
    La exigencia del gobierno británico llegó como un “technical capability notice” bajo la Investigatory Powers Act, y pedía a Apple crear una puerta trasera con acceso a los datos cifrados de usuarios en todo el mundo
    Si piensas en los casos en que te registran un dispositivo en el aeropuerto bajo la Counter Terrorism Act, no tienes derecho a asesoría legal ni a guardar silencio, y eso puede aplicarse no solo a británicos sino también a extranjeros que solo hayan pasado por territorio del Reino Unido
    Está cerca de ser la puerta trasera más grande de la que haya oído hablar, y lo más preocupante es que parece que solo Apple la está enfrentando públicamente
    Los dispositivos Android también siguen recomendando el respaldo en la nube y dificultan desactivarlo, así que no es fácil asegurar que Google o Microsoft no hayan cedido ya ante exigencias similares
    Además, como la mayoría de la autenticación en dos pasos pasa por grandes empresas tecnológicas o por el teléfono, al final sería como entregar la llave de todas las cuentas, y da la impresión de que la batalla por la privacidad y la seguridad se está perdiendo

    • El respaldo de Google Drive en Android ha tenido desde hace tiempo una opción de cifrado de extremo a extremo, y Google también lo explicó en https://security.googleblog.com/2018/10/google-and-android-h...; según entiendo, la clave solo se guarda localmente en el Titan Security Module
      Si cumpliera con la IPA, tendría que meter en Android algún mecanismo para extraer la clave, y como investigar la seguridad en Android es más fácil que en iOS, parecería probable que una intrusión así fuera detectada
    • Aunque Apple parezca estar enfrentándolo públicamente, sigue haciendo negocios en China, y es raro que Google no
      Google se fue de China cuando el gobierno chino exigió todas las llaves de los datos de sus ciudadanos
      Apple tiende a enfrentarse solo cuando el problema es visible y no amenaza demasiado al negocio; más que una empresa que realmente protege los datos de los usuarios, la veo como una empresa muy hábil en marketing y manejo de imagen
    • Si ese respaldo de Android no está cifrado, entonces el gobierno simplemente puede acceder a los datos
      Aquí el problema es intentar acceder a los respaldos cifrados de Apple, donde se supone que Apple no tiene las llaves
      Y también me parece que EE. UU. puede acceder con poca supervisión a datos de ciudadanos no estadounidenses almacenados en su territorio
    • Me pregunto si al cumplir la ley británica podría terminar violando la ley de otros países
      Por ejemplo, si Apple proporcionara una puerta trasera para los datos de un senador de EE. UU., entregar esa información podría considerarse traición en Estados Unidos
      Es un ejemplo totalmente hipotético, pero al final podría convertirse en un tema de soberanía de datos
    • Se habla mucho de que las fuerzas del orden mienten en EE. UU., pero que no exista derecho a asesoría legal ni a guardar silencio parece todavía peor
  • En el fondo, esto me parece un problema de alfabetización tecnológica en la política
    Siguen apoyándose en la falacia de “si no tienes nada que ocultar, no tienes nada que temer”, y en especial el Reino Unido tiene una forma paternalista de gobernar y un respaldo autoritario que atraviesa a todos los partidos
    Este tipo de leyes siempre se redactan de forma lo bastante ambigua como para permitir aplicación selectiva y focalizada, y para usarse como atajo frente a otras leyes; una vez que la ley entre en vigor, es muy probable que el argumento de “piensen en los niños” desaparezca rápido
    El gobierno cree erróneamente que su puerta trasera puede distinguir entre los buenos y los malos, pero en la práctica la única protección es la seguridad por oscuridad: que sea ilegal revelar la existencia de esa puerta trasera o siquiera la solicitud
    Para un atacante malicioso que ya asume que las empresas multinacionales de nube están comprometidas, eso solo amplía la lista de objetivos, y una puerta trasera así sería una oportunidad soñada para black hats y grey hats que quieran penetrar al gobierno

    • No es tanto un problema de alfabetización como de no importarles
      La clase política necesita control, y si al imponerlo aumenta el riesgo para los usuarios, lo ven como un problema ajeno
    • Me pregunto qué significa exactamente eso de “Estado paternalista”
      Aprendí latín, así que sé que pater significa padre, pero no sé qué sería un Estado con actitud de padre
      Lo de “respaldo autoritario en todos los partidos” también suena ambiguo
      Aun así, sí estoy de acuerdo en que romper el cifrado cotidiano es una idea realmente estúpida, y también es una lástima que Apple lo haya vendido como si fuera una función adicional
      Ejecutar openssl tampoco cuesta tanto, y además es software libre de verdad
    • Al ver a EE. UU. pasar de líder del mundo libre a parecer una herramienta de Rusia, ojalá la gente entienda que aunque confíe en el gobierno actual, eso no significa que pueda confiar en el siguiente ni en el que venga después
    • Lo que quieren los políticos es seguridad parcial
      Quieren un sistema que ellos puedan vulnerar pero los criminales no, y eso quizá sea posible en la seguridad física, pero es imposible en la ciberseguridad
      Da la impresión de que los políticos ya saben que la ciberseguridad parcial es imposible y aun así no les importa, y las agencias de inteligencia que los asesoran seguro lo saben
      Un mundo donde el secreto es ilegal les facilita más el trabajo a los hackers que uno donde realmente se les detiene
    • La ilusión de que una puerta trasera del gobierno puede distinguir entre los buenos y los malos es un punto clave
      Solo con ver los últimos meses ya quedó claro que quienes están en el gobierno o quieren llegar a él no necesariamente están del lado de los buenos, y aunque el acceso quedara limitado solo al gobierno, ya es difícil seguir sosteniendo que “nosotros somos los buenos”
  • Apple publica la cantidad de solicitudes gubernamentales de datos que recibe por país.
    La cantidad de solicitudes del Reino Unido ha aumentado mucho en los últimos años: https://www.apple.com/legal/transparency/gb.html#:~:text=77%...
    Es posible que una buena parte se deba a la implementación y automatización del acuerdo de acceso a datos entre EE. UU. y el Reino Unido bajo la CLOUD Act, y que este acuerdo haya simplificado el proceso de solicitud para las fuerzas del orden y las agencias de seguridad nacional británicas.

    • Viendo las cifras de Alemania, el Reino Unido todavía parece de principiantes.
      https://www.apple.com/legal/transparency/de.html#:~:text=77%...
    • El problema es que esta ley es muy distinta, y ni Apple ni la parte que recibe la orden pueden decirlo abiertamente.
      Por eso es muy probable que estas solicitudes no aparezcan en los informes de transparencia.
      Ahora que Apple decidió desactivar Advanced Data Protection, es difícil descartar la posibilidad de que le dé una puerta trasera al Reino Unido, y como no habría forma de que el público supiera cuánto se usa ni por qué, eso resulta muy inquietante.
    • Cuesta estar de acuerdo con ese análisis.
      Todos los periodos de 6 meses entre enero de 2014 y junio de 2017 tuvieron más solicitudes que cualquier periodo de 6 meses de los últimos 5 años.
    • Da tristeza ver que la cuna de la Magna Carta siga deslizándose hacia el fascismo y 1984.
      El gobierno debería estar obligado a presentar una orden judicial específica para acceder a los datos personales.
  • Decir que “no tiene precedentes que una empresa retire un producto en vez de cooperar con el gobierno” es una afirmación demasiado conveniente para su propia postura.
    Si Apple le diera una puerta trasera al Reino Unido, debilitaría a los usuarios de todo el mundo.
    Esta decisión consiste en cumplir la ley local, y ese país tiene que asumir las consecuencias del resultado que quisieron sus gobernantes electos.
    También suena inquietante el siguiente párrafo: “sería un precedente muy preocupante si otros operadores de telecomunicaciones sintieran que pueden retirar productos y no rendir cuentas ante el gobierno”.

    • Eso tampoco es cierto.
      Google se retiró de China hace mucho para no ceder ante las exigencias del gobierno chino, y no retiró un solo producto sino todo el negocio.
    • Falsas expertas en privacidad como Caro Robson deberían rendir cuentas.
    • La preocupación por que las grandes multinacionales se hayan vuelto tan poderosas que ya no obedezcan a los gobiernos y los presionen retirando productos sí va en aumento.
      Pornhub hizo algo así en algunos estados de EE. UU., y Meta también ha lanzado amenazas parecidas en varios países.
      Que empresas poderosas se resistan a la regulación siempre ha existido, pero la táctica de castigar a un país retirando productos parece usarse más seguido últimamente.
      Decidir dónde crear empleos e instalaciones también es una herramienta de poder corporativo, y casos como el de Musk mudándose de California a Texas, además de empresas de defensa y petroleras, muestran esa misma táctica.
    • Llamar a Caro Robson “experta en privacidad” es irónico.
      En realidad parece hostil a la privacidad.
    • Parece un precedente más preocupante que los gobiernos de otros países intenten obligar a empresas extranjeras a operar dentro de sus fronteras.
  • Esta medida no satisface la exigencia original del gobierno, es decir, acceso con puerta trasera a cuentas cloud con cifrado de extremo a extremo en todo el mundo.
    La pregunta más importante es cómo se puede “retirar” el cifrado de extremo a extremo sin perder datos.
    ¿Qué pasa con quienes ya lo tenían activado?
    La lógica de Apple para rechazar una puerta trasera se apoya en el principio estadounidense de que “no se puede obligar a alguien a trabajar”, pero si Apple crea una función para “desactivar el cifrado de extremo a extremo de esta cuenta”, le será más difícil argumentar que esa implementación equivaldría a trabajo forzado o discurso forzado.

    • Si apagas ADP, la clave de cifrado local se sube a los servidores de Apple para que Apple pueda leerla.
      Apple incluso podría bloquear el acceso a iCloud hasta que el usuario haga eso.
    • No se puede desactivar el cifrado de extremo a extremo sin pérdida de datos.
      Según el artículo, si el usuario no lo desactiva por sí mismo, Apple no puede hacerlo en su lugar, así que la cuenta de iCloud se cancela.
    • Había escuchado que las claves de cifrado solo estaban en el dispositivo, pero Apple controla los dispositivos “del usuario”.
      Puede distribuir una actualización para hacer que el dispositivo descifre los datos y los suba.
    • Lo que dice el Prof. Woodward en el artículo parece aplicarse tal cual a la respuesta de Apple a la solicitud original del gobierno británico.
      “Fue ingenuo pensar que el gobierno del Reino Unido podía decirle a una empresa tecnológica estadounidense qué hacer a nivel mundial”.
    • Apple está en una posición realmente difícil.
      No sé si existe una forma de cumplir la solicitud original sin que eso se convierta, en la práctica, en una puerta trasera, y desactivar el cifrado de extremo a extremo en el mercado británico solo aplaza el problema.
      Con solo crear una herramienta para sacar a los usuarios del cifrado de extremo a extremo sin consentimiento explícito, eso podría terminar siendo explotado después en otros países para obtener mensajes cifrados mediante una orden judicial.
  • Esto no afecta solo a los usuarios de Apple.
    Si alguien respalda en Apple cloud sus conversaciones contigo, entonces tus conversaciones también quedan expuestas, y tú no tienes ninguna opción al respecto.
    Al final, todos pierden.

    • Por eso es importante usar apps como Signal, que permiten configurar un periodo de retención de mensajes.
      Hice que todos a mi alrededor la usaran.
    • Es muy parecido a sitios como LinkedIn, que piden compartir información personal y listas de contactos.
      Aunque yo no quiera compartir mis contactos, en cuanto alguien que conozco acepta, esa persona comparte por mí y yo pierdo mis derechos sobre mis datos.
      Si además tiene guardados datos como mi cumpleaños, dirección, otros correos o número de teléfono, todo eso también podría quedar expuesto.
    • La seguridad depende de la confianza.
      La única herramienta de privacidad real es PGP, que usa un modelo de red de confianza, pero solo funciona cuando la gente es dueña de su computadora y su almacenamiento.
      Ahora han hecho que todos usen computadoras y almacenamiento prestados, y en ese contexto es difícil que exista un modelo de seguridad pensado para el usuario.
    • Da miedo, así que ahora voy a intentar usar Signal siempre que pueda.
  • Que la BBC cite a la “experta en privacidad en línea” Caro Robson sin mencionar que asesora a la ONU, la UE y organismos militares internacionales parece el típico sesgo progubernamental de la BBC.
    La situación verdaderamente “muy, muy preocupante” es que a un operador de telecomunicaciones no se le permita retirar un producto y en cambio se le obligue a fabricar uno engañoso y defectuoso por diseño.

  • La libertad de expresión ya está amenazada, ¿y ahora también vamos a renunciar al derecho a las comunicaciones privadas?
    Quienes apoyan esto, ¿de verdad creen que solo afectará a “los malos” y que ellos jamás quedarán bajo el pie del gobierno?
    Aunque confíes en el gobierno de hoy, ¿qué harás si tus vecinos eligen a un gobierno ideológicamente opuesto a ti?

    • No creo que haya nadie apoyando esto
  • Es una pregunta ingenua, pero de verdad me da curiosidad
    ADP es una función que existe desde hace apenas unos años; ahora que desapareció, me pregunto por qué la gente se enoja, pero no se enojó durante los 10 años anteriores
    ¿Antes pensaban que iCloud estaba completamente cifrado?
    ¿No les importaba el cifrado de extremo a extremo y recién ahora sí?
    Si era un problema tan grande, no entiendo por qué siguieron usando algo como iCloud y recién ahora se sienten traicionados

    • Antes también me molestaba que no existiera y por eso no activé iCloud Backup
      Tampoco usé iCloud Photos, guardaba todo en un NAS correctamente cifrado y tenía una configuración complicada para mover los datos periódicamente
      También usaba iMazing y respaldos locales cifrados en un horario programado
      Mucha gente ha pedido cifrado de extremo a extremo para este tipo de datos, pero también es cierto que, si el cifrado se vuelve más accesible, más personas pueden quedar protegidas
      No todo el mundo tiene el tiempo, la capacidad técnica y la energía para hacer respaldos en un NAS y administrarlo para no perder datos ante fallas del NAS o apagones
      Mi miedo es menos el gobierno y más que el proveedor de servicios en la nube sea hackeado o quede comprometido a largo plazo por una vulnerabilidad de software como log4j
      ADP protege a mucha gente de ataques basados en la nube, y defenderse de solicitudes gubernamentales es casi un beneficio extra
      Casos como Salt Typhoon muestran que los backdoors pueden descubrirse y explotarse, y también hemos visto que vulnerabilidades de software integradas como log4j pueden romper incluso a proveedores gigantes
      Solo está recibiendo atención otra vez porque quitaron la función en el Reino Unido, pero la preocupación ya venía apareciendo desde antes en blogs independientes y varios medios
      Como usuario de ADP fuera del Reino Unido, me parece bien que Apple intente defenderlo y también agradezco que la función exista
    • Mucha gente estaba muy molesta con lo lento que Apple lanzó esta función
      También hubo muchas afirmaciones de que el lanzamiento se retrasó por presión del gobierno [1], y ese reporte, por cierto, fue escrito por el periodista que hace unas semanas informó primero sobre la noticia de hoy
      Implementar cifrado toma tiempo, así que no quedaba más que decir “por fin llegó”, pero enseguida recibió el ataque del gobierno británico y quedó desactivado en el Reino Unido
      También creo que Apple ahora tendrá miedo de promocionar activamente esta función incluso en Estados Unidos, y que la gente técnica debería explicar con mucha más fuerza a sus amigos no técnicos por qué esta función es importante
      [1] https://www.reuters.com/article/world/exclusive-apple-droppe...
    • Hubo una época en que toda la comunicación web no estaba cifrada en absoluto
      Si preguntas por qué la gente no se enojaba entonces, ¿no crees que hoy se enojaría mucho más si de repente se prohibiera HTTPS?
      Los derechos y privilegios suelen provocar más indignación cuando te los quitan después de haberlos tenido, que cuando nunca existieron desde el inicio
    • Antes siempre existió la opción de hacer respaldos locales cifrados en tu propia PC o Mac como función básica, así que para la gente preocupada por la privacidad siempre hubo una alternativa
      Lo más preocupante es que Apple ya estaba listo hace años para lanzar respaldos cifrados en la nube, pero lo retrasó por oposición del gobierno de Estados Unidos
      También hubo reportes que decían: “Después de años de retrasos por presión gubernamental, Apple anunció que cifraría completamente a nivel global los respaldos en la nube de fotos, historiales de chat y la mayoría de los demás datos sensibles de los usuarios”
      https://www.washingtonpost.com/technology/2022/12/07/icloud-...
      El Reino Unido no es el único gobierno que se ha opuesto a protecciones reales de privacidad
    • Antes también me enojaba, por eso no usaba respaldo de iCloud
      Lo activé después de que aparecieron el cifrado de extremo a extremo y ADP, y si también desaparece en Estados Unidos volveré a usar solo respaldos locales cifrados
  • La pesadilla continúa
    Ahora uso un servicio de respaldo de terceros que promete que los respaldos se cifran con claves a las que el proveedor no accede ni controla
    Pero en una época en que se envían este tipo de notificaciones secretas a tantas empresas, no sé si se puede confiar en esa promesa
    El siguiente paso sería garantizar que los archivos se cifren antes de llegar a la nube, pero todavía no he visto un servicio que tenga la comodidad de respaldar sin fricción mi teléfono, los teléfonos de mi familia y las laptops, como lo hace mi solución de respaldo actual
    Los respaldos fuera del sitio son indispensables, e inevitablemente incluyen datos del cliente, y yo tengo que mantenerlos en secreto frente a accesos externos
    Si todo termina teniendo backdoors, ¿cómo se supone que eso sea posible?

    • En el Reino Unido pueden mandarte a la cárcel si no entregas las claves de cifrado, así que toda esa discusión deja de tener sentido
      Han ido ampliando lentamente ese poder durante los últimos 20 años
    • La comodidad normalmente tiene un costo
      Lo ideal es no tener que confiar en nadie, y solo subir archivos cifrados a un servicio de almacenamiento común
      Con Syncthing + Rclone probablemente se puede armar algo parecido manteniendo el control uno mismo
    • Seguridad y comodidad siempre están peleadas
    • Lo único en lo que se puede confiar a alto nivel es en tu propio servidor *nix
      Respaldas tus dispositivos ahí y luego cifras desde ese servidor antes de enviarlo a la nube