En su último intento de erosionar las protecciones de un cifrado fuerte, el gobierno del Reino Unido ha ordenado en secreto a Apple que construya una puerta trasera que permita a los funcionarios de seguridad británicos acceder a los datos de almacenamiento en la nube cifrados de los clientes de Apple en cualquier parte del mundo.
La Orden Secreta, emitida bajo la Ley de Poderes de Investigación del Reino Unido de 2016 (conocida como la Carta de los Snoopers), tiene como objetivo socavar una función de Apple optada que proporciona cifrado de extremo a extremo (E2EE) para copias de seguridad de iCloud, llamada Protección de datos avanzados. La función de copia de seguridad cifrada solo permite a los clientes de Apple acceder a la información de su dispositivo almacenada en iCloud, ni siquiera Apple puede acceder a ella.
Si bien el gobierno del Reino Unido declinó hacer comentarios a TechCrunch en el informe, los funcionarios británicos han argumentado durante mucho tiempo que E2EE hace que sea más difícil reunir evidencia digital para enjuiciamientos penales y recopilar inteligencia para la seguridad nacional.
La función de copia de seguridad cifrada de Apple, una vez habilitada, cierra una escapatoria que la policía ha utilizado para obtener acceso a los datos almacenados en la nube. Estos datos eran imposibles de descifrar en la mayoría de los iPhones modernos que tienen habilitado el cifrado de dispositivos.
El Washington Post, que informó por primera vez la historia, dijo que Apple probablemente dejará de ofrecer la función de cifrado de iCloud a los usuarios en el Reino Unido en respuesta a la orden secreta, en lugar de romper el cifrado de los usuarios a nivel mundial.
Apple advirtió previamente que sus servicios de comunicación cifrados, FaceTime e iMessage, podrían estar en riesgo en el Reino Unido, respondiendo a los planes para aumentar los poderes de vigilancia del gobierno.
Ramificaciones mundiales
Si Apple despojara a sus clientes del Reino Unido de su encriptación avanzada de iCloud, las consecuencias no se detendrían en las fronteras del país.
Rebecca Vincent, quien dirige el grupo de campaña de privacidad y libertades civiles Big Brother Watch, advirtió que la orden “draconiana” del gobierno del Reino Unido no haría más seguros a los ciudadanos, sino que “erosionaría los derechos fundamentales y las libertades civiles de toda la población”.
Si bien aún no está claro cómo funciona el pedido del Reino Unido en la práctica, eliminar la protección de datos avanzados solo pondría a disposición los datos en la nube de los ciudadanos del Reino Unido para la aplicación de la ley, las noticias de la orden provocaron preocupaciones de que la seguridad para millones de propietarios de dispositivos de Apple en todo el mundo podría debilitarse.
Los defensores de la seguridad y la privacidad también dicen que el Reino Unido podría establecer un precedente global peligroso de que los regímenes autoritarios y los ciberdelincuentes estarán ansiosos por explotar, cualquier puerta trasera desarrollada para el uso del gobierno inevitablemente sería explotado por los piratas informáticos y otros gobiernos.
Thorin Klosowski, un activista de la privacidad de la Electronic Frontier Foundation, con sede en Estados Unidos, también advirtió en una publicación de blog que las demandas del Reino Unido tendrán ramificaciones globales que hacen que la orden secreta sea una “emergencia para todos nosotros”. James Baker en el Grupo de Derechos Abiertos dijo la semana pasada que los planes son “aterradores … y harían que todos sean menos seguros”.
Una lección de seguridad no aprendida
El efecto influyente que podría tener la orden del gobierno del Reino Unido en los ciudadanos de todo el mundo ha provocado críticas en medio de temores de que pueda poner al Reino Unido en desacuerdo con algunos de sus aliados más cercanos.
La noticia se produce solo semanas después de que las autoridades de seguridad de los Estados Unidos instaron a los estadounidenses a usar aplicaciones de mensajería cifradas para evitar que sus comunicaciones sean interceptadas por naciones adversas. El aviso siguió a los informes de una campaña de piratería sigilosa de años de espías del gobierno chino destinado a piratear la infraestructura crítica de los Estados Unidos, así como a los gigantes del teléfono y Internet.
La Asociación de la Industria de Computación y Comunicaciones, un grupo de la industria tecnológica de EE. UU. Que representa las industrias de TI y telecomunicaciones, dijo que los hacks llevados a cabo por el llamado grupo “Typhoon” de piratas informáticos respaldados por chinos deja en claro que “cifrado de extremo a extremo puede ser la única salvaguardia entre los datos personales y comerciales confidenciales de los estadounidenses y los adversarios extranjeros “.
“Las decisiones sobre la privacidad y la seguridad de los estadounidenses deben tomarse en Estados Unidos, de manera abierta y transparente, no a través de órdenes secretas del extranjero que requieren llaves que se dejan bajo los felpudos”, dijo la CCIA.
Chris Mohr, presidente de la Asociación de Industria de Software e Información con sede en EE. UU., También emitió una advertencia similar, llamando a la orden del Reino Unido “mal aconsejada y peligrosa”.
“Particularmente a raíz del tifón de sal, necesitamos políticas para hacer que la información sea más segura (no menos)”, dijo Mohr, refiriéndose al grupo respaldado por China que dirigió a las compañías telefónicas. “Hacemos un llamado a la administración Trump y al Congreso de los Estados Unidos que tomen una posición firme en contra de este inquietante desarrollo”.
Los hacks chinos que se dirigieron a los gigantes telefónicos e internet, incluidos AT&T y Verizon, es el ejemplo más reciente de por qué las demandas de puerta trasera del gobierno del Reino Unido en Apple son defectuosas.
Salt Typhoon llevó a cabo las infracciones de telecomunicaciones, que se dice que es uno de los mayores hacks en la historia reciente, al abusar de una puerta trasera legalmente obligatoria requerida por las empresas de telecomunicaciones para darles a las agencias de la ley e inteligencia acceso a los datos de sus clientes a pedido.
“La lección se repetirá hasta que se aprenda: no hay una puerta trasera que solo deje entrar a los buenos y mantener fuera de los malos”, según la Electronic Frontier Foundation. “Es hora de que todos reconozcamos esto, y tomemos medidas para garantizar una seguridad y privacidad reales para todos nosotros”.
