El Ministerio del Interior del Reino Unido exigió a Apple que eliminara en secreto el cifrado en la nube para todos los usuarios. En lugar de ello, Apple eliminó el cifrado en la nube sólo para los usuarios del Reino Unido, e informó de ello públicamente.
Se trata de una seria advertencia para todos aquellos preocupados por la privacidad: Es la primera vez que uno de los Cinco Ojos presiona con éxito a una empresa para que elimine su cifrado para poder transmitir datos a las autoridades si así lo solicitan.
Apple está tomando la medida sin precedentes de retirar su herramienta de seguridad de datos de más alto nivel a los clientes en el Reino Unido, después de que el gobierno exigiera acceso a los datos de los usuarios.
La Protección Avanzada de Datos (ADP, por sus siglas en inglés) significa que solo los titulares de cuentas pueden ver elementos como fotos o documentos que han almacenado en línea a través de un proceso conocido como cifrado de extremo a extremo (E2EE).
Pero a principios de este mes, el gobierno del Reino Unido solicitó el derecho a ver los datos, a los que actualmente ni siquiera Apple puede acceder. Apple no hizo comentarios en ese momento, pero se ha opuesto constantemente a la creación de una "puerta trasera" en su servicio de cifrado, argumentando que si lo hiciera, solo sería cuestión de tiempo antes de que los malos actores también encontraran una forma de entrar.
Expertos en seguridad y derechos de los consumidores han instado a los legisladores a pedir cuentas al gobierno del Reino Unido, después de que Apple eliminara el cifrado de extremo a extremo (E2EE) en iCloud tras las demandas de acceso a los datos del Ministerio del Interior. Aunque la solicitud de acceso se realizó en secreto en virtud de la controvertida Ley de Poderes de Investigación (IPA), también denominada "Carta del Fisgón", se informó ampliamente de su realización a principios de este mes.
Sin embargo, como Apple y otras empresas tecnológicas han sostenido durante mucho tiempo, es imposible crear una "puerta trasera" E2EE para el gobierno y las fuerzas del orden sin poner en riesgo a todos los clientes. Por eso, Apple ha tomado la decisión de eliminar la función de Protección Avanzada de Datos (ADP) opcional para los clientes del Reino Unido.
Ahora, el gigante tecnológico ha decidido que ya no será posible activar ADP en el Reino Unido. Esto significa que, con el tiempo, no todos los datos de los clientes del Reino Unido almacenados en iCloud (el servicio de almacenamiento en la nube de Apple) estarán completamente cifrados.
Los datos con cifrado estándar son accesibles para Apple y se pueden compartir con las fuerzas del orden, si tienen una orden judicial. El Ministerio del Interior dijo a la BBC: "No hacemos comentarios sobre cuestiones operativas, incluyendo por ejemplo confirmar o negar la existencia de tales avisos".
En un comunicado, Apple dijo que estaba "profundamente decepcionada" de que la función de seguridad ya no estuviera disponible para los clientes británicos. "Como hemos dicho muchas veces antes, nunca hemos construido una puerta trasera o una llave maestra para ninguno de nuestros productos, y nunca lo haremos", continuó.
¿Cómo funciona el cifrado?
El servicio ADP es opcional, lo que significa que las personas deben registrarse para obtener la protección que proporciona. Desde el viernes pasado, cualquier usuario de Apple en el Reino Unido que intentaba activarlo se ha encontrado con un mensaje de error. El acceso de los usuarios existentes se desactivará en una fecha posterior.
No se sabe cuántas personas se han registrado en ADP desde que estuvo disponible para los clientes británicos de Apple en diciembre de 2022. El profesor Alan Woodward, experto en ciberseguridad de la Universidad de Surrey, dijo que se trataba de un "acontecimiento muy decepcionante" que equivalía a "un acto de autolesión" por parte del gobierno.
"Todo lo que ha logrado el gobierno del Reino Unido es debilitar la seguridad y la privacidad en línea para los usuarios del Reino Unido. Es "ingenuo" por parte del Reino Unido pensar que podían decirle a una empresa de tecnología estadounidense lo que tenía que hacer a nivel mundial".
La experta en privacidad en línea Caro Robson dijo que creía que era "sin precedentes" que una empresa "simplemente retirara un producto en lugar de cooperar con un gobierno". "Sería un precedente muy, muy preocupante si otros operadores de comunicaciones sintieran que simplemente podían retirar productos y no ser responsables ante los gobiernos", dijo a la BBC.
Apple vio esto como una cuestión de principios: si iban a concederle esto al Reino Unido, entonces todos los demás gobiernos del mundo lo querrían.
¿Qué pidió el Reino Unido?
La solicitud fue presentada por el Ministerio del Interior en virtud de la Ley de Poderes de Investigación (IPA), que obliga a las empresas a proporcionar información a las fuerzas del orden. Apple no hizo comentarios sobre el aviso y el Ministerio del Interior se negó a confirmar o negar su existencia, pero la BBC y el Washington Post hablaron con varias fuentes familiarizadas con el asunto.
Provocó una feroz reacción de los defensores de la privacidad, que lo calificaron de "ataque sin precedentes" a los datos privados de las personas.
La semana pasada, Will Cathcart, director de WhatsApp, respondió a una publicación en X en la que expresaba su preocupación por la solicitud del gobierno: "Si el Reino Unido fuerza una puerta trasera global en la seguridad de Apple, hará que todos en todos los países estén menos seguros. La orden secreta de un país corre el riesgo de ponernos a todos en peligro y debería detenerse".
Dos políticos estadounidenses de alto rango dijeron que se trataba de una amenaza tan grave para la seguridad nacional estadounidense que el gobierno estadounidense debería reevaluar sus acuerdos de intercambio de inteligencia con el Reino Unido a menos que se retirara.
No está claro que las acciones de Apple aborden por completo esas preocupaciones, ya que la orden IPA se aplica en todo el mundo y ADP seguirá operando en otros países.
Uno de esos políticos estadounidenses, el senador Ron Wyden, dijo a BBC News que la retirada de Apple de las copias de seguridad cifradas de extremo a extremo del Reino Unido "crea un precedente peligroso que los países autoritarios seguramente seguirán".
El senador Wyden cree que la medida "no será suficiente" para que el Reino Unido abandone sus demandas, que "amenazarían seriamente" la privacidad de los usuarios estadounidenses.
En su declaración, Apple dijo que lamentaba la acción que había tomado. "Mejorar la seguridad del almacenamiento en la nube con cifrado de extremo a extremo es más urgente que nunca. Apple mantiene su compromiso de ofrecer a sus usuarios el máximo nivel de seguridad para sus datos personales y tiene la esperanza de poder hacerlo en el futuro en el Reino Unido".
Rani Govender, directora de políticas de seguridad infantil en línea de la NSPCC, dijo que quiere que las empresas tecnológicas como Apple se aseguren de que están equilibrando la seguridad de los niños y los usuarios con la privacidad. "Mientras Apple busca cambiar su enfoque de cifrado, les pedimos que se aseguren de que también implementen más medidas de seguridad infantil, para que los niños estén adecuadamente protegidos en sus servicios", dijo a BBC News.
La organización benéfica para niños del Reino Unido ha dicho que los servicios cifrados de extremo a extremo pueden obstaculizar los esfuerzos de seguridad y protección infantil, como la identificación del intercambio de material de abuso sexual infantil (CSAM).
Pero Emily Taylor, cofundadora de Global Signal Exchange, que proporciona información sobre estafas en la cadena de suministro, dijo que el cifrado tenía más que ver con la protección de la privacidad del consumidor y que no es lo mismo que la web oscura donde generalmente se distribuye CSAM.
"El problema con este debate de larga data, un debate de suma cero sobre el cifrado y la protección infantil, es que las empresas de tecnología pueden parecer increíblemente insensibles, pero ese no es el punto", dijo al programa Today de Radio 4. "El cifrado es algo que usamos todos los días; ya sea para comunicarnos con nuestro banco o en aplicaciones de mensajería que están cifradas de extremo a extremo, el cifrado es una forma de privacidad en un mundo en línea que, por lo demás, es muy inseguro".
Un "desastre" para el Reino Unido
Mike Salem, asociado en el Reino Unido del Consumer Choice Center, pidió a los partidos de la oposición que expresaran su descontento y exigieran al gobierno que explicara su razonamiento. "El gobierno del Reino Unido ha sentado un precedente y ha creado una nueva reputación que subraya la erosión de las libertades personales y la privacidad en una era digital en la que estos valores son más necesarios que nunca", dijo.
"Este es un día muy triste para el principio básico de la privacidad del consumidor en el siglo XXI, al privar a los usuarios de las herramientas que dejan a los ciudadanos del Reino Unido expuestos a los gobiernos, los delincuentes y los piratas informáticos maliciosos. El hecho de que esto se haya hecho sin debate, supervisión o advertencia previa a los usuarios de Apple del Reino Unido es extremadamente preocupante", dijo Salem.
David Ruiz, defensor senior de la privacidad en Malwarebytes, describió la noticia como un "desastre" para el Reino Unido y uno con posibles consecuencias globales. "Exigir acceso a los datos del mundo es una maniobra imperialista tan descarada que me sorprende que no haya venido de los EE. UU. Esto puede envalentonar a otros países, particularmente a los de los Cinco Ojos, a hacer una demanda similar a Apple", argumentó.
"En resumen, la pérdida del cifrado de extremo a extremo es mala, sí. Pero el impacto global de esta demanda tiene un potencial extremadamente peligroso e idiota", concluyó Ruiz.
Fuente: BBC