El Reino Unido está debilitando la seguridad en todo el mundo

 (blog.thenewoil.org)
15 puntos por GN⁺ 2025-02-25 | 4 comentarios | Compartir por WhatsApp
  • Esta semana, el Reino Unido puso en riesgo a todo el mundo
  • En 2016 se aprobó la Investigatory Powers Act, que amplió enormemente las facultades de vigilancia electrónica del Reino Unido
  • Recientemente, el Reino Unido ordenó a Apple insertar una puerta trasera de cifrado en iCloud y le prohibió revelarlo públicamente
  • Apple había rechazado solicitudes gubernamentales de puertas traseras, pero esta vez decidió eliminar por completo el cifrado de iCloud para los usuarios del Reino Unido

Protección avanzada de datos

  • El cifrado es una tecnología que hace que los datos no puedan ser leídos por personas no autorizadas
  • La mayoría de los dispositivos modernos y el tráfico de internet están cifrados, pero los proveedores de servicios aún pueden acceder a ellos
  • Algunos proveedores implementan cifrado de extremo a extremo (E2EE) para que los datos solo sean accesibles desde los dispositivos del usuario
  • El programa Protección avanzada de datos (ADP) de Apple se lanzó en 2022 y cifra con E2EE casi todos los datos de iCloud, excepto correo, contactos y calendario
  • Sin embargo, debido a la solicitud del Reino Unido, Apple eliminó ADP en ese país

Puertas traseras y Salt Typhoon

  • ¿Qué es una puerta trasera?
    • Una puerta trasera es una ruta oculta dentro del cifrado o del software creada para que el desarrollador pueda acceder directamente
    • Normalmente funciona de forma silenciosa sin el consentimiento del usuario, y es distinta del acceso de soporte técnico que se proporciona voluntariamente
  • ¿Solo las “buenas personas” pueden usar una puerta trasera?
    • Los políticos y funcionarios suelen afirmar que las puertas traseras son necesarias para “buenos fines”, pero en la práctica es un concepto imposible
    • Al igual que con una puerta trasera física, una puerta trasera en software no puede impedir la entrada de actores maliciosos
    • Los actores maliciosos pueden evadirla encontrando vulnerabilidades del software o secuestrando cuentas de usuarios mediante ataques de phishing
  • Cualquiera puede abusar de una puerta trasera
    • La amenaza interna (insider threat) es real, y existe la posibilidad de que empleados no confiables abusen de una puerta trasera
    • Por ejemplo, un ingeniero de Yahoo hackeó cuentas de usuarios y robó fotos privadas
  • Caso Salt Typhoon (hackeo de redes de telecomunicaciones en EE. UU. en 2024)
    • En 2024 se reveló que el gobierno chino hackeó redes de telecomunicaciones de Estados Unidos y de varios otros países
    • Al menos nueve grandes operadoras de telecomunicaciones en EE. UU. (Verizon, T-Mobile, AT&T, etc.) fueron atacadas, y en ese hackeo se explotó una puerta trasera diseñada para las fuerzas del orden
    • Esa puerta trasera había sido diseñada originalmente para interceptaciones autorizadas por tribunales, pero al final fue usada de la misma manera por hackers del gobierno chino
    • En el proceso, se filtraron registros de llamadas y mensajes de altos funcionarios como el presidente Donald Trump y la vicepresidenta Kamala Harris
  • La idea de “una puerta trasera que solo usarán las buenas personas” es una ficción
    • El caso Salt Typhoon es una prueba decisiva de que las puertas traseras inevitablemente pueden ser explotadas
    • Que los políticos digan que “las puertas traseras son seguras” no es más realista que decir que existen unicornios y orcos

El problema de las puertas traseras en un contexto más amplio

  • Incluso si se reconoce que estuvo mal que el Reino Unido forzara a Apple a crear una puerta trasera, esto no afecta solo a los usuarios británicos
  • Este caso no debe entenderse como un incidente aislado, sino como parte de un patrón más grande
  • PGP y las guerras del cifrado (Crypto Wars)
    • PGP (Pretty Good Privacy) fue lanzado en 1991 y desde entonces fue tratado como un arma y regulado por el gobierno de EE. UU.
    • Cuando un tribunal dictaminó que “el código es libertad de expresión”, la tecnología de cifrado pudo difundirse ampliamente
    • Gracias a ese fallo, hoy tecnologías como TLS y AES se han vuelto comunes, haciendo posible las compras en línea seguras y el almacenamiento seguro de datos
    • Este caso hizo famosa a la EFF (Electronic Frontier Foundation), y su representante legal en ese momento fue Cindy Cohn, actual directora de la EFF
  • Las guerras del cifrado continúan
    • En Estados Unidos, la controversia sobre la introducción de puertas traseras también sigue
      • Durante la administración Trump, el fiscal general William Barr apoyó firmemente las puertas traseras
      • La administración Biden también respaldó indirectamente el debilitamiento del cifrado en 2022 con la Kids Online Safety Act
      • La postura de Biden frente a proyectos más duros como la EARN IT Act y la STOP CSAM Act no está clara
  • Aumento de amenazas a la seguridad digital también en Europa
    • Chat Control: en Europa se propuso una ley para obligar a las apps de mensajería (como WhatsApp) a detectar material de abuso sexual infantil (CSAM)
    • Apple también intentó en el pasado introducir un sistema similar, pero lo retiró por fallas técnicas y por el potencial de abuso
    • Sin embargo, estos intentos siguen repitiéndose y reapareciendo
  • El gobierno británico incluso intentó retratar como criminales a los usuarios de cifrado mediante la campaña #NoPlaceToHide
    • Los intentos de eliminar el anonimato en línea y los programas masivos de vigilancia de redes sociales están expandiendo políticas que vulneran la privacidad por todo el mundo
    • La exigencia del Reino Unido a Apple no es solo para sus propios ciudadanos, sino que puede convertirse en otro ataque a la privacidad digital global y en un precedente exitoso

Qué se puede hacer

  • Considerando Salt Typhoon y los casos de filtración de datos, quienes impulsan puertas traseras parecen carecer de comprensión técnica o tener la intención deliberada de imponerlas
    • Que el gobierno británico considere el cifrado una amenaza e intente debilitarlo termina volviendo vulnerables los datos de los usuarios y da a otros países una justificación para hacer lo mismo
  • Se especula que la retirada de Apple del mercado británico podría ser una estrategia para una respuesta legal, pero no hay pruebas confiables de ello
    • Si Apple emprende una batalla legal y gana, podría ser un punto de inflexión importante para la protección de la privacidad
    • Como ocurrió antes con el cifrado PGP y el caso de Phil Zimmermann, una victoria legal podría sentar un precedente para proteger la privacidad digital
    • Las medidas de un país, especialmente si es una potencia, afectan también a otros países y normalmente lo hacen en una dirección negativa
  • Medidas que pueden tomar los usuarios
    • Dejar de usar iCloud:
      • Aunque Advanced Data Protection (ADP) de Apple todavía está disponible en algunos países, confiar todos los datos a la nube no es una opción confiable
      • Fotos, calendarios, notas y almacenamiento en la nube pueden trasladarse a servicios alternativos más confiables
      • Lista de servicios alternativos que priorizan la privacidad y la seguridad
    • Guardar en el dispositivo los datos que no se pueden duplicar fácilmente, o simplemente no usarlos
      • Servicios como datos de salud, notificaciones y billeteras digitales pueden guardarse en el dispositivo o incluso evitarse por completo
      • Se reconoce la comodidad de Apple Wallet, pero también hay estudios que muestran que usar efectivo puede ser más eficaz para administrar el presupuesto
      • Incluso sin analizar datos de sueño, en muchos casos basta con mantener una higiene básica del sueño
    • Participación política
      • Las leyes de protección de la privacidad pueden ser una defensa importante para proteger los datos (por ejemplo, en la UE donde aplica el GDPR casi no existen sitios de búsqueda de información personal)
      • Si eres ciudadano británico, deberías contactar a tu representante y expresar tu oposición al technical capability notice relacionado con Advanced Data Protection de Apple
      • También puedes buscar apoyo en organizaciones del Reino Unido como Big Brother Watch y Privacy International

Conclusión

  • Entre quienes valoran la privacidad no hay quienes defiendan el crimen
  • Pero sacrificar las libertades civiles de toda la ciudadanía para detener a unos pocos criminales es un enfoque desequilibrado
  • Muchas políticas que vulneran la privacidad se impulsan con el pretexto de “proteger a los niños”, pero eso no constituye una protección real
    • Se necesita un entorno en el que niños y adolescentes puedan crecer con libertad y aprender de sus errores
    • No deberíamos vivir en un mundo donde los errores en entornos digitales permanezcan para siempre y terminen restringiendo la libertad individual
    • La solución real no debe ser política, sino medidas técnicas de protección
  • Prohibir el cifrado no protege: al contrario, genera más riesgo
  • Cómo responder a las violaciones de privacidad del gobierno británico:
    • Migrar a servicios seguros fuera del alcance de la ley británica
    • Expresar oposición al gobierno como votante

Lecturas relacionadas

4 comentarios

 
ryudaewan 2025-02-26

Entendía que el Partido Laborista del Reino Unido estaba más a la izquierda que los conservadores, pero vaya~
 
colus001 2025-02-25

En Rusia también reprimieron duro a Telegram, pero cuando toca hacer la guerra al final usan Telegram; y el gobierno de Corea también lo pintó como el eje del mal, pero luego se reveló que ellos mismos usaban Telegram, e incluso Signal. No existe en el mundo algo como una seguridad que solo me favorezca a mí, así que también da la impresión de que quizá les falta comprensión sobre la tecnología.
 
unsure4000 2025-02-25

Creo que el ataque de los políticos a la seguridad no es más ni menos que una actitud de “yo sí la voy a usar”. Si andan con varios asesores y aun así no pueden entender una tecnología de este nivel, eso ya es negligencia en el trabajo.
 
GN⁺ 2025-02-25
Comentarios en Hacker News

  • "Apple ha dejado claro que rechazará las solicitudes de puertas traseras del gobierno"

    • Hay que considerar que en EE. UU. no puede rechazarlo ni revelarlo sin una orden judicial
    • Leyes como la SCA y las NSL impiden que las empresas divulguen solicitudes del gobierno

  • "Buen artículo. Los 'buenos' que se acercan usando la ley pueden ser los malos"

    • Existen casos de actores individuales que abusan del poder
    • Gobiernos represivos pueden controlar los datos personales

  • "El Manifiesto Cypherpunk de 1993 se siente lejano"

    • Incluso los tecnólogos ya no luchan por la privacidad

  • "Creo que Apple debió adoptar una postura más firme"

    • Se argumenta que debió haber expuesto las cuentas de iCloud de los políticos británicos
    • Apple ahora está manejando la privacidad de una manera más madura

  • "Si permites una puerta trasera, los adversarios más confiables serán los primeros en infiltrarse"

    • Otros países o exempleados podrían acceder primero

  • "Vi el titular del artículo y pensé que era clickbait"

    • Pero en realidad se valora porque ofrece formas para que los usuarios comunes protejan sus datos

  • "La opinión de un exministro conservador también es interesante"

    • Enfatiza que actores maliciosos pueden atacar dispositivos personales
    • Resulta poco convincente defender las puertas traseras como herramienta para resolver el problema del CSAM

  • "¿Apple no está haciendo cifrado del lado del cliente?"

    • Parece que el Reino Unido está intentando frenar la privacidad

  • "No confío en la motivación del proyecto de ley del gobierno"

    • El Reino Unido históricamente ha encubierto el abuso infantil
    • Se afirma que mientras exista cifrado E2E, las agencias MI* no podrán cumplir su misión

  • "El ejemplo de Salt Typhoon no parece relevante"

    • Lo más importante es que es muy probable que se filtren los registros de conexión a internet"