PyE
Apple está desechando su función de cifrado de seguridad más avanzada para los datos de la nube en Gran Bretaña, dijo la compañía el viernes, una respuesta sin precedentes a las demandas gubernamentales de acceso a los datos del usuario.
El cambio afecta una característica llamada Advanced Data Protection (ADP), que extiende el cifrado de extremo a extremo en una amplia gama de datos en la nube. Apple dijo que ya no está disponible en Gran Bretaña para los nuevos usuarios, y aquellos que intentan convertirlo en recibir un mensaje de error a partir del viernes, y que los usuarios actuales eventualmente deberán deshabilitar esta función de seguridad.
El movimiento significa que las copias de seguridad de iCloud en Gran Bretaña ya no tendrán ese nivel de cifrado, lo que permite a Apple acceder en ciertos casos en los datos del usuario que de otro modo no podría, como copias de iMessage, y entregarlo a las autoridades si se ven legalmente obligados. Con el cifrado de extremo a extremo habilitado, incluso Apple no puede acceder a los datos.
«La decisión de Apple de deshabilitar la característica para los usuarios del Reino Unido podría ser la única respuesta razonable en este momento, pero deja a esas personas a merced de los malos actores y los priva de una tecnología clave que presenta la privacidad», dijo Andrew Crocker, litigios de vigilancia Director de la Electronic Frontier Foundation.
Los gobiernos y los gigantes tecnológicos han sido encerrados durante mucho tiempo en una batalla sobre un fuerte cifrado para proteger las comunicaciones de los consumidores, que las autoridades ven como un obstáculo modificado para los programas de vigilancia masiva y lucha contra el crimen. Pero tal demanda de Gran Bretaña sería particularmente radical.
Los primeros planes para permitir que los usuarios de Apple cifre completamente las copias de seguridad de sus dispositivos para el servicio iCloud de la compañía se retiraron en 2018 o alrededor de 2018 después de que el FBI se quejó en privado, Reuters informó previamente, pero la compañía finalmente avanzó con el plan en 2022.
«El acceso legal a la evidencia digital y la información de amenazas se está erosionando rápidamente», dice la Oficina Federal de Investigación de los Estados Unidos en su sitio web, citando «cifrado a prueba de orden judicial».
Apple ha dicho durante mucho tiempo que nunca construiría una llamada puerta trasera en sus servicios o dispositivos cifrados, porque una vez que se crea uno, podría ser explotado por los piratas informáticos además de los gobiernos, un sentimiento resonado por expertos en seguridad.
«En última instancia, una vez que existe una puerta, es solo cuestión de tiempo antes de que se encuentre y use maliciosamente. Eliminar ADP no es solo una concesión simbólica sino un debilitamiento práctico de la seguridad de iCloud para los usuarios del Reino Unido», dijo el profesor Oli Buckley, profesor de ciberseguridad en la Universidad de Loughborough en Gran Bretaña.
Los datos que se cifraron antes de que Apple lanzara su servicio de protección a fines de 2022, como contraseñas y servicios de mensajería de iMessage y FaceTime, permanecerán encriptados.
«Estamos gravemente decepcionados de que las protecciones proporcionadas por ADP no estén disponibles para nuestros clientes en el Reino Unido dado el aumento continuo de las violaciones de datos y otras amenazas a la privacidad del cliente», dijo Apple en un comunicado.
El cambio no afecta el cifrado de datos almacenados directamente en sus dispositivos, pero en la era de grandes colecciones de fotos, enormes historiales de mensajería y actualizaciones de teléfonos regulares, muchos usuarios les resulta práctico almacenar todos sus datos solo en su dispositivo.
El almacenamiento solo para dispositivos también significa que si el dispositivo se pierde o se daña, todos los datos de un usuario podrían desaparecer, lo que impulsa a muchos, si no la mayoría de los consumidores, optan por alguna forma de copia de seguridad en la nube que ahora será más fácil para las autoridades británicas de acceder.
Preocupaciones de seguridad
Las agencias de aplicación de la ley con frecuencia se han dirigido a los servicios de Apple, incluidos iMessage a través de copias de seguridad de iCloud, que no se cifraron de extremo a extremo antes de que Apple ofreciera protección de datos avanzada.
Esas copias de seguridad, que pueden contener fotos y otra información confidencial y son ampliamente utilizadas, ya no pueden estar encriptadas de extremo a extremo para los usuarios del Reino Unido, dijo Apple.
Si bien Apple no puede deshabilitar ADP para los usuarios existentes, ya que no contiene claves de cifrado, le pedirá a los usuarios que apaguen la función ellos mismos.
Un portavoz de la Ministerio del Interior de Gran Bretaña declinó hacer comentarios sobre si se había emitido dicha orden. «No hacemos comentarios sobre asuntos operativos, incluso, por ejemplo, confirmar o negar la existencia de tales avisos», dijo el portavoz.
El Washington Post informó este mes que Gran Bretaña emitió a Apple un aviso de capacidad técnica, que requiere acceso bajo la Ley de Poderes de Investigación de 2016, que permite a la policía obligar a las empresas a ayudar a la recolección de pruebas.
Los avisos de capacidad técnica (TCNS) no otorgan acceso general a los datos personales de los usuarios, según el sitio web del gobierno. Incluso con un TCN en su lugar, todavía se requieren autorizaciones separadas para permitir el acceso a los datos.
Australia tiene una ley similar y podría seguir el ejemplo de Gran Bretaña, dijo Joseph Lorenzo Hall, un distinguido tecnólogo del grupo sin fines de lucro Internet Society.
«Lo único que vemos con los países de la Commonwealth es que el segundo hace algo, los otros tienden a hacer eso. Por lo tanto, esperaría que Australia emita un aviso de capacidad técnica que probablemente refleje esto, dadas sus propias leyes».
Hall también señaló que el sistema operativo Android de Alphabet también ofrece copias de seguridad cifradas.
Las acciones de Apple terminaron en gran medida sin cambios el viernes.
La compañía ha resistido durante mucho tiempo los esfuerzos del gobierno para debilitar el cifrado, incluso en 2016 cuando las autoridades estadounidenses intentaron obligarlo a desbloquear el iPhone de un tirador de San Bernardino.
Los esfuerzos para subvertirlo se remontan a la década de 1990, cuando la administración del ex presidente de los Estados Unidos, Bill Clinton, propuso por primera vez agregar un chip físico al hardware de la computadora que le daría a los policías y espías una forma de espiar las comunicaciones encriptadas.
El esfuerzo se fundó y desde entonces se ha convertido en un número creciente de servicios de consumo, incluidos los iMessage de Apple, las reuniones de zoom, WhatsApp de Meta y la señal de la aplicación centrada en la privacidad.
Algunos funcionarios estadounidenses han alentado el uso de servicios encriptados a raíz del hack de typhoon de sal de diciembre en las empresas de telecomunicaciones estadounidenses.
Meredith Whittaker, presidenta de Signal, que anteriormente amenazó con dejar a Gran Bretaña por preocupaciones similares, calificó el movimiento de Gran Bretaña «técnicamente analfabeto» y dijo que perjudicaría los esfuerzos del país para cultivar su sector tecnológico.
«No se puede ser amigable con la tecnología mientras erosiona la base de la ciberseguridad sobre la cual depende la tecnología robusta. El cifrado no es un lujo: es un derecho humano fundamental esencial para una sociedad libre que también sustenta la economía global», dijo Whittaker .
(Informes adicionales de Arsheeya Bajwa, Zaheer Kachwala y Juby Babu en Bengaluru; Edición de Sayantani Ghosh, Peter Henderson y Marguerita Choy)
