Reino Unido sigue intentando imponer una puerta trasera en el cifrado de los usuarios de Apple
(eff.org)- El gobierno del Reino Unido volvió a exigir a Apple la introducción de una puerta trasera en su servicio de copias de seguridad cifradas
- Aunque esta exigencia ahora se limita solo a los usuarios del Reino Unido, el riesgo de fondo no cambia
- En lugar de introducir una puerta trasera, Apple decidió retirar la función Advanced Data Protection en el Reino Unido
- La exigencia gubernamental de una puerta trasera supone una afectación a la seguridad y la privacidad de todos los usuarios, además de aumentar el riesgo de hackeos
- Este tipo de medidas crea un precedente internacional y se conecta con la vulneración de derechos humanos fundamentales
Intento del gobierno británico de introducir una puerta trasera en el cifrado de Apple
Según un reporte de Financial Times, recientemente el gobierno del Reino Unido volvió a exigir a Apple la implementación de una puerta trasera en su servicio de copias de seguridad cifradas. La diferencia frente a ocasiones anteriores es que esta vez la exigencia solo aplicaría a los usuarios del Reino Unido, pero la gravedad del problema en esencia no cambia.
"Technical Capability Notice (TCN)" y fundamento legal
La exigencia actual del gobierno británico se basa en la autoridad de la Investigatory Powers Act para emitir una "Technical Capability Notice (TCN)".
Desde que se introdujo esta ley por primera vez, ya se había advertido que podía usarse de forma indebida para exigir la vigilancia de usuarios de grandes empresas tecnológicas como Apple.
Suspensión de Advanced Data Protection
En enero de este año, tras la emisión de una TCN por parte del gobierno británico, Apple quedó ante la disyuntiva de crear una puerta trasera de cifrado o desactivar Advanced Data Protection (la función que ofrece cifrado de extremo a extremo completo) en el Reino Unido.
Apple rechazó introducir una puerta trasera y en su lugar optó por retirar esa función dentro del Reino Unido.
Cambio en el alcance de la exigencia y sus efectos
La orden inicial apuntaba a los datos de todos los usuarios de Apple, pero en agosto, según autoridades de inteligencia de Estados Unidos, el Reino Unido afirmó haber retirado esa exigencia.
Sin embargo, la razón por la que Apple no volvió a introducir la función fue que, en realidad, el contenido de la orden se modificó para limitar el alcance a los usuarios del Reino Unido.
Amenazas a la seguridad y a los derechos humanos
Que el gobierno insista repetidamente en exigir una puerta trasera reduce la seguridad y la libertad de los usuarios del Reino Unido.
Incluso una puerta trasera diseñada para uso gubernamental o judicial termina ampliando riesgos de seguridad como hackeos, robo de datos personales y fraude.
También se señala que este tipo de exigencias podría extenderse al conjunto de las empresas y convertirse en un precedente peligroso, además de abrir la puerta a demandas similares por parte de gobiernos autoritarios.
La preocupación aumenta porque, poco después de que el gobierno británico introdujera recientemente un sistema obligatorio de identidad digital, surgió una controversia relacionada con el acceso a los servidores vinculados.
Próximos pasos y cuestión de derechos
La audiencia del litigio relacionado estaba prevista para enero de 2026, pero este cambio en la orden podría provocar modificaciones en el proceso legal.
Apple mantiene la postura de que debe seguir rechazando este tipo de exigencias de puerta trasera.
Los intentos de debilitar el cifrado de extremo a extremo para un país específico terminan, en última instancia, en una vulneración de la privacidad y de los derechos humanos fundamentales de todos los usuarios.
2 comentarios
Da un sabor amargo pensar que esto no les pasa solo a otros. En nuestro país también estamos tan ocupados peleando entre izquierda y derecha que no se forma bien un debate público entre la ciudadanía, y tampoco se responde como corresponde a los disparates que hacen los políticos.
Comentarios de Hacker News
Se pregunta qué significa “usuarios del Reino Unido”, si se refiere a usuarios configurados con la App Store del Reino Unido o a quienes usan un método de pago británico; también pregunta si un estadounidense que vive en el Reino Unido podría demandar a Apple en un tribunal de EE. UU. por incumplimiento de contrato. Además, le resulta confuso cómo podrían desactivar Advanced Data Protection (ADP) sin un consentimiento explícito, ya que para descifrar los datos existentes el usuario tendría que proporcionar directamente la clave secreta, así que cree que sería difícil hacerlo sin consentimiento. También se pregunta si quizá el iPhone podría descifrar durante varias horas todo el archivo de iCloud en el dispositivo y luego volver a subirlo sin cifrado.
Si eso llegara a pasar, probablemente sería más factible que el teléfono enviara la clave secreta directamente a Apple.
También es natural que un ciudadano estadounidense que reside en el Reino Unido esté sujeto a la ley británica. Sobre la desactivación de ADP, recuerda discusiones anteriores donde se decía que las claves solo estaban en el dispositivo del usuario y Apple no podía acceder a ellas, así que no había forma de desactivarlo sin perder los datos. De hecho, antes lo desactivó personalmente por ese mismo riesgo de ADP.
En el Reino Unido la policía puede obligar a los ciudadanos a entregar la contraseña de su teléfono, y negarse incluso puede llevar a una pena de prisión. Con Apple renunciando al cifrado de la nube, cada vez se acerca más a una realidad tipo 1984. En Francia pasó algo parecido: intentaron obligar a poner puertas traseras en mensajeros cifrados como Signal y WhatsApp, pero no prosperó. Lamentablemente, la gente común no percibe con fuerza la importancia de la privacidad. Siente que falta educación sobre cómo la democracia y la libertad empiezan con la privacidad; en la escuela, las clases de civismo solo enseñaban cómo funcionan las instituciones políticas, pero no había un debate ni una enseñanza real sobre qué es la libertad, lo fácil que es perderla y cómo se consigue.
El propio concepto de la nube de Apple, es decir, guardar juntos los datos de muchísimas personas en la computadora de alguien más, ya era un gran problema desde el principio. Suele citar la frase: "la nube = la computadora de otra persona".
Pide una fuente sobre si los ciudadanos del Reino Unido realmente están obligados a entregar sus contraseñas.
Al ver este tipo de exceso por parte del gobierno, el hecho más importante es que no existe en absoluto una opinión pública democrática que lo respalde. Perder tiempo buscando solo una explicación racional de por qué estos ataques se repiten no sirve de mucho; lo verdaderamente importante es averiguar por qué quieren esos poderes, quién los pidió y por qué deberían recibir un trato especial. Los políticos (como Starmer) en realidad no tienen interés en este tema. Hay que rastrear quién convence a otros de crear herramientas para inutilizar la democracia. Hay que empezar por encontrar quién redactó realmente el texto original de la ley, y averiguar no qué diputado en particular, sino qué persona dentro del personal o de una red fue quien lo elaboró.
Dice que cada vez que el gobierno se excede siempre terminan echándole la culpa a otros.
Está claro que detrás de todo esto están los organismos de seguridad. Durante décadas se han repetido las mismas campañas mediáticas; antes eran los tabloides y ahora se trasladaron al entorno online. La polémica sobre la OSA (Official Secrets Act) es parecida. Hay artículos ilógicos, textos sin fuentes reales, y como dentro del gobierno existen muchísimos grupos de interés, al público le da igual. Muchas veces no es el gobierno como tal, sino funcionarios que se coordinan con los medios para filtrar información o incluso publicar notas dirigidas directamente contra sus propios ministros. Y tampoco hay forma de que los cargos electos cambien esta situación.
Como residente del Reino Unido, espera que Apple rechace las exigencias desmedidas del gobierno. Cree que, en vez de ceder como en China, sería mejor retirarse del mercado británico.
Si esperas que una megacorporación valuada en billones de dólares libre las batallas políticas por ti, es una expectativa equivocada. Al final, la gente elige al gobierno y el gobierno fija la política; o bien se concluye que el gobierno ya no tiene legitimidad y hay que cambiar el sistema.
Un CEO no puede ir a la cárcel por tantísimos clientes. Solo quedan dos opciones: que la ley esté del lado del gobierno, o no confiarle los datos a las empresas en primer lugar.
Si esperas que Apple rechace la solicitud del gobierno, en realidad el año pasado el gobierno de EE. UU. ya presionó al Reino Unido para evitar que se debilitara la seguridad de los estadounidenses. Quiere que Apple de verdad resista, pero por los precedentes cree que probablemente se limitará a publicar una breve postura en su blog oficial.
Retirarse del mercado británico no le aporta mucho beneficio a la empresa. Apple es precisamente la compañía que cooperó dócilmente con la vigilancia en China mientras obtenía enormes ganancias.
Si un OEM puede insertar una puerta trasera mediante una actualización OTA, entonces el problema al final está en nuestros hábitos respecto al software. Mientras no exijamos a los dispositivos una supervisión y una rendición de cuentas reales, estos ataques desde arriba serán imposibles de detener. Criticar al Reino Unido no es la solución de fondo; este es un ejemplo de lo peligroso que es confiar ciegamente en una caja negra.
En realidad ni siquiera "poseemos" nuestros dispositivos; solo tenemos una licencia y ni siquiera contamos con acceso root. Gente como Stallman llevaba mucho tiempo advirtiendo sobre esto, pero los trataban de paranoicos. Ya desde la aparición de los smartphones era evidente que íbamos en esta dirección.
Si una empresa puede meter actualizaciones OTA en un dispositivo bloqueado con trusted computing, eso no es una puerta trasera sino una puerta principal completa. Por eso cree que la acción política no sirve de nada. Los usuarios jamás podrían saber si Apple y el gobierno del Reino Unido ya están colaborando.
Si esto avanzara con éxito, probablemente ni siquiera nos daríamos cuenta.
La razón por la que este tema volvió a salir a la superficie es que la cobertura anterior fue muy deficiente. El Reino Unido retiró, por presión del gobierno de EE. UU., su exigencia de acceso a los datos de todos los usuarios, pero nunca retiró su exigencia sobre los datos de los usuarios del Reino Unido.
Hoy en día todos están demasiado ocupados siguiendo en redes sociales cualquier cosa relacionada con Trump, y por eso ignoran las cosas realmente extrañas que están ocurriendo en el Reino Unido. Por ejemplo, hay casos de personas arrestadas por cuestiones de lenguaje en internet. Hace 20 años esto habría sido tema diario en Slashdot y sitios similares, pero ahora a la gente le interesa menos.
En el artículo Apple dice que eliminó esa función en el Reino Unido, pero queda la duda de a qué tipo de acceso a datos está apuntando realmente el gobierno británico.
ADP es una función en la que Apple no posee las claves de cifrado. Ahora parece que el Reino Unido quiere que Apple tenga la capacidad de descifrar los datos cifrados de respaldo de iPhone (copias recuperables que incluyen contraseñas del dispositivo, información personal, etc.). Si son datos fuera de ADP, Apple sí puede descifrarlos, así que eso sería lo que buscan.
Como ADP sigue activo para los usuarios que lo habilitaron antes de que se prohibiera la función, el gobierno del Reino Unido podría estar apuntando a la información de esos usuarios existentes.
La discusión relacionada continúa en este enlace.