Apple elimina el cifrado en la nube para los usuarios del Reino Unido, pero hay un atisbo de esperanza

Reino Unido exigió a Apple que eliminara su cifrado en la nube y Apple cumplió, pero sólo parcialmente.

UK vs Apple: In the ongoing crypto wars, Apple should have fought for people's right to privacy and encryption. They didn't.

El Ministerio del Interior del Reino Unido exigió a Apple que eliminara en secreto el cifrado en la nube para todos los usuarios. En lugar de ello, Apple eliminó el cifrado en la nube sólo para los usuarios del Reino Unido, e informó de ello públicamente. Se trata de una seria advertencia para todos aquellos preocupados por la privacidad: Es la primera vez que uno de los Cinco Ojos presiona con éxito a una empresa para que elimine su cifrado para poder transmitir datos a las autoridades si así lo solicitan. Dadas las crecientes ciberamenazas, esta medida sin precedentes de Apple resulta chocante.


Lo que es aún más chocante es que la medida de Apple no podía ir lo suficientemente lejos: La solicitud emitida a Apple en virtud de la Ley de Poderes de Investigación exige que Apple permita el acceso a los datos en la nube de todos sus usuarios globales. El cambio actual sólo afecta a los nuevos usuarios del Reino Unido. Los usuarios existentes en el Reino Unido recibirán en algún momento un aviso de que tienen que desactivar el cifrado de extremo a extremo o perderán el acceso a sus cuentas. Como Apple no tiene una clave de puerta trasera, el usuario tiene que desactivar el cifrado de extremo a extremo por sí mismo.

Así que, aunque Apple sigue argumentando que no se trata de una puerta trasera, los usuarios británicos deben sentirse terriblemente engañados. Sus datos en la nube de Apple ya no pueden cifrarse de extremo a extremo, lo que los expone a un mayor riesgo de violación de datos, ataques maliciosos y acceso gubernamental.

Sin embargo -y esto hay que decirlo a favor de Apple-, la empresa de grandes tecnologías no hizo una puerta trasera secreta en su servicio, dando al Ministerio del Interior del Reino Unido pleno acceso sin que nadie lo supiera. Dado que el código fuente de Apple no se publica como código abierto, habría sido posible que la empresa cambiara en secreto el código y no se lo dijera a nadie. El hecho de que Apple accediera parcialmente a la petición británica de una puerta trasera de forma abierta nos deja un poso de esperanza. El Ministerio del Interior británico no consiguió lo que quería: Poder vigilar a todo el mundo en secreto.

Aunque Apple luchó con éxito contra una petición similar del gobierno estadounidense hace diez años, ahora ha tenido que ceder a la presión política sentando un precedente horrible. El cifrado de extremo a extremo es la única herramienta que tenemos para proteger nuestros datos. Todos sabemos que una puerta trasera sólo para los buenos no es posible.

En Tuta, mantenemos nuestro compromiso de luchar por tu derecho a la privacidad. ¡Unámonos y demostremos a los políticos que no está bien que invadan nuestros datos privados!

Análisis de lo sucedido

El gobierno del Reino Unido había estado presionando una vez más a favor de la vigilancia masiva al exigir en secreto a Apple que creara una puerta trasera en sus copias de seguridad cifradas de extremo a extremo en la nube. Esta exigencia, denunciada por una filtración a The Washington Post, tiene consecuencias devastadoras para la privacidad digital en todo el mundo. La exigencia llegó a través de una Notificación de Capacidad Técnica en virtud de la controvertida Ley de Poderes de Investigación de 2016, también conocida como la Carta de los Fisgones. Si Apple hubiera cumplido en su totalidad, habría socavado las protecciones de cifrado y privacidad para todos los usuarios de Apple, no solo para los del Reino Unido.

Cinco ojos: ¿quién se queda primero con los datos?

No es la primera vez que un gobierno intenta debilitar el cifrado con el pretexto de la seguridad nacional. De hecho, la alianza Five Eyes (Cinco Ojos), formada por Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda, es conocida por querer introducir puertas traseras en el cifrado.

En la guerra de las criptomonedas, que comenzó en el momento en que PGP se puso a disposición de todo el mundo a principios de los 90, los gobiernos de todo el mundo han intentado obligar a las empresas tecnológicas a crear servicios de comunicación menos seguros para que las autoridades policiales puedan convertir a las empresas en sus pequeños (o grandes) ayudantes a la hora de perseguir a los delincuentes. El problema es que cuando un método de comunicación es menos seguro, lo es para todos, no sólo para los delincuentes. En cualquier caso, los cinco ojos se turnan para intentar obligar a las empresas a socavar el cifrado de extremo a extremo. Parece que quien primero se haga con los datos ayudará a los demás países a conseguir lo mismo.

Comic, der zeigt, wie Apple-CEO Tim Cook das iPhone entsperrt, während das FBI, Hacker, repressive Regime und andere in der Schlange stehen, um Zugriff auf die entschlüsselten Daten zu erhalten. Comic, der zeigt, wie Apple-CEO Tim Cook das iPhone entsperrt, während das FBI, Hacker, repressive Regime und andere in der Schlange stehen, um Zugriff auf die entschlüsselten Daten zu erhalten. Cómic que muestra al CEO de Apple, Tim Cook, desbloqueando el iPhone mientras el FBI, los hackers, los regímenes represivos y otros hacen cola para acceder a los datos descifrados. En una versión actualizada de este cómic, el Reino Unido debería interponerse entre Apple y el FBI.

La protesta pública frenó la vigilancia generalizada

Incluso la UE ha intentado introducir el escaneo del lado del cliente en múltiples ocasiones, pero hasta ahora no lo ha llevado a cabo, sobre todo debido a la oposición, también de Alemania, que famosamente dijo “No hay persecución a cualquier precio” y la UE no debe introducir el escaneo del lado del cliente.

En relación con Apple, los EE.UU. también han tratado de obligar a Apple a socavar su cifrado en 2015/2016. En aquel entonces, Apple se negó a introducir el escaneo del lado del cliente debido a la protesta pública.

Tenemos que tener en cuenta que una vez que se socava el cifrado, la vigilancia general -la monitorización de todos los ciudadanos- se hace posible. Cualquier puerta trasera para las fuerzas del orden se convertiría inevitablemente en una puerta trasera para los actores maliciosos y los regímenes autoritarios.

¿Puede el Reino Unido decidir sobre tu seguridad?

Cuando a Apple se le presentó por primera vez la noticia de que el Reino Unido está planeando solicitar acceso por la puerta trasera, Apple dijo, según el Washington Post:

“No hay ninguna razón por la que el [gobierno] del Reino Unido deba tener autoridad para decidir por los ciudadanos del mundo si pueden beneficiarse de las probadas ventajas de seguridad que se derivan del cifrado de extremo a extremo”.

Pero, ¿tiene el Reino Unido esa potestad?

Una fuente desconocida ha declarado al Washington Post que el gobierno británico está exigiendo a Apple que proporcione a las fuerzas de seguridad del Reino Unido acceso a las copias de seguridad cifradas en la nube de usuarios de todo el mundo, independientemente de que sean ciudadanos británicos o no. Esto se ha hecho a través de un aviso de capacidad técnica notificado en virtud de la Ley de Poderes de Investigación del Reino Unido de 2016, también conocida como la Carta de los Fisgones, la ley de vigilancia más extrema de una democracia. Este mecanismo legal obliga a las empresas a ayudar a las fuerzas de seguridad proporcionando acceso a las comunicaciones cifradas, y también hace ilegal que revelen tales demandas al público.

La orden del Reino Unido va más allá de dirigirse a cuentas concretas. Exige una capacidad general para cambiar el código de Apple de tal manera que ya no sólo el usuario pueda descifrar sus datos, sino que Apple tenga el poder de descifrar todos los datos de los usuarios y reenviarlos a las autoridades a petición de éstas, sentando un peligroso precedente para la privacidad digital mundial.

El poder del Reino Unido parece no tener límites. El WaPo informa de que

”Una de las personas informadas de la situación, un consultor que asesora a Estados Unidos en materia de cifrado, dijo que se prohibiría a Apple advertir a sus usuarios de que su cifrado más avanzado ya no proporcionaba plena seguridad. La persona consideró chocante que el gobierno del Reino Unido pidiera ayuda a Apple para espiar a usuarios no británicos sin el conocimiento de sus gobiernos.”

Esto es tanto más problemático cuanto que el código de Apple es propietario y no se publica como código abierto. Esto significa que un cambio en cómo se realiza el cifrado en los clientes de Apple podría pasar desapercibido para el público durante mucho tiempo.

Precedente para la vigilancia masiva

El cumplimiento parcial por parte de Apple de la petición del Reino Unido de abrir una puerta trasera a su cifrado ha sentado un peligroso precedente para las empresas tecnológicas de todo el mundo. Puede que el Reino Unido haya sido el primero en emitir una orden tan amplia, pero sin duda no será el último. Una vez que exista una puerta trasera, otros gobiernos harán cola para exigir el mismo acceso. China, Rusia y otros regímenes con un historial cuestionable en materia de derechos humanos seguirán sin duda su ejemplo.

Además, dentro de la llamada alianza de inteligencia “Cinco Ojos”, existe un largo historial de acuerdos de intercambio de información. Esto significa que el Reino Unido puede compartir cualquier dato que reciba de Apple con los otros países de los cinco ojos, pero también significa que es muy probable que los otros miembros de esta alianza exijan las mismas capacidades de vigilancia. En consecuencia, esto podría erosionar la privacidad digital en todas partes.

Enfrentarse a la oposición

Nada más conocerse la noticia de que Reino Unido exigía una puerta trasera para el cifrado de Apple, la oposición ha empezado a dar la voz de alarma, incluso en Estados Unidos: el senador Ron Wyden (Oregón), demócrata en el Comité de Inteligencia del Senado, declaró al Washington Post:

“Que Trump y las empresas tecnológicas estadounidenses permitan que gobiernos extranjeros espíen en secreto a los estadounidenses sería inconcebible y un desastre sin paliativos para la privacidad de los estadounidenses y nuestra seguridad nacional”.

Sus preocupaciones están justificadas, dado que los países de los Cinco Ojos han cooperado frecuentemente en programas de vigilancia, como se ha visto en las revelaciones de Edward Snowden. Una puerta trasera ordenada por el Reino Unido no se limitará a las autoridades británicas: pronto será explotada por los servicios de inteligencia de todas las naciones aliadas.

Meredith Whittaker de Signal, una de las mejores alternativas a WhatsApp dijo a WaPo:

“El uso de avisos de capacidad técnica para debilitar el cifrado en todo el mundo es una medida escandalosa que posicionará al Reino Unido como un paria tecnológico, en lugar de un líder tecnológico. Si se aplica, la directiva creará una peligrosa vulnerabilidad de ciberseguridad en el sistema nervioso de nuestra economía global.”

Matthias Pfau, CEO de Tuta Mail, añade:

“Hemos visto demandas de encriptación de datos una y otra vez. También hemos visto estas demandas derrotadas una y otra vez. Junto con la comunidad de la privacidad nos unimos y defendemos nuestro derecho a la privacidad. Los gobiernos no deben obligar a las empresas tecnológicas a debilitar la seguridad de la que todos dependemos, sobre todo ahora que las ciberamenazas no dejan de aumentar. Luchamos por el derecho a la privacidad de nuestros usuarios con cifrado de extremo a extremo, y seguiremos haciéndolo, pidan lo que pidan los gobiernos”.

Curiosamente, la agencia estadounidense CISA acaba de emitir su más enérgico respaldo a favor del cifrado debido al pirateo chino de proveedores de telecomunicaciones estadounidenses que permite a China vigilar las llamadas y mensajes no cifrados de muchos ciudadanos estadounidenses, incluidos políticos. Este ataque a Estados Unidos demuestra por qué la encriptación de extremo a extremo es más necesaria que nunca en el mundo en línea actual.

Sólo el cifrado de extremo a extremo puede protegernos del robo de datos y de ataques malintencionados.

Interesante momento para el Reino Unido

También merece la pena analizar el momento elegido por el Reino Unido para presentar su demanda en el contexto de acontecimientos geopolíticos más amplios. Cabe señalar que Apple intentó introducir la función de cifrado de extremo a extremo para su almacenamiento en la nube ya durante el primer mandato del presidente Donald Trump - pero se echó atrás debido a las quejas de que la compañía no ayudaría a las fuerzas del orden con la persecución de criminales como asesinos o traficantes de drogas. Apple introdujo entonces el cifrado opcional en la nube en 2022, y ahora vuelve a estar bajo presión, poco después de que Trump se haya convertido de nuevo en presidente de los Estados Unidos.

Podría tratarse de un esfuerzo coordinado entre el Reino Unido y la administración estadounidense? Es posible que Estados Unidos esté apoyando tácitamente este movimiento, utilizando al Reino Unido como campo de pruebas para ver si los gigantes tecnológicos cumplirán con las órdenes de vigilancia de barrido. Dado que las agencias de inteligencia de Estados Unidos, en particular el FBI, llevan mucho tiempo intentando acceder por la puerta de atrás a las comunicaciones cifradas, no sería sorprendente que Washington estuviera alentando discretamente este paso entre bastidores. Funcionarios de la administración Trump declinaron hacer comentarios cuando el Washington Post les preguntó.

La guerra de las criptomonedas continúa, pero la privacidad debe ganar

Esta es solo la última batalla en las continuas guerras criptográficas, la lucha de décadas entre los gobiernos y los defensores de la privacidad sobre el futuro del cifrado. Desde los años 90, las fuerzas de seguridad han presionado para que se abran puertas traseras en las comunicaciones cifradas, esgrimiendo el terrorismo y la explotación infantil como justificaciones. Sin embargo, una y otra vez, los expertos en seguridad han demostrado que debilitar el cifrado para un fin lo debilita para todos los fines. Una vulnerabilidad creada para uso gubernamental será inevitablemente explotada por malos actores, incluidos ciberdelincuentes y regímenes extranjeros hostiles.

En Tuta, siempre hemos advertido de estos peligros. Nuestros debates anteriores sobre la vigilancia gubernamental, como la forma en que los gobiernos explotan las leyes de vigilancia y por qué es importante el cifrado, muestran lo fundamental que es un cifrado fuerte para proteger los datos sensibles de los ciudadanos y las empresas. Si permitimos que un gobierno fuerce una puerta trasera en las comunicaciones seguras, sólo será cuestión de tiempo que otros sigan su ejemplo.

La privacidad de miles de millones de usuarios está en juego.

La lucha por la encriptación está lejos de terminar. Los gobiernos seguirán presionando para conseguir más poderes de vigilancia, pero el público debe contraatacar. La privacidad es un derecho humano fundamental, y la encriptación es la herramienta más poderosa que tenemos para protegerla. La encriptación es esencial cuando queremos proteger nuestro derecho a la intimidad y nuestro derecho a la libertad de expresión.

En Tuta seguimos luchando por tu derecho a la privacidad con cifrado de extremo a extremo, sin puertas traseras, eso es una garantía.

Ilustración de un teléfono con el logotipo de Tuta en su pantalla, junto al teléfono hay un escudo ampliado con una marca de verificación en él que simboliza el alto nivel de seguridad debido al cifrado de Tuta.