A pesar de la firme postura de Apple sobre la privacidad, Siempre he sabido que la empresa tiene que caminar por una línea muy fina cuando se trata de cerrar las cosas con demasiada fuerza, especialmente cuando se trata de tratar con las agencias de aplicación de la ley.
Apple siempre ha señalado que todo lo almacenado en su iPhone está encriptado de forma bastante segura, hasta el punto de que es básicamente imposible acceder a él sin conocer su contraseña.
A excepción de los ataques de malware dirigidos, la única forma de ingresar a un iPhone es mediante la”fuerza bruta”de la contraseña, lo que básicamente significa conectarla a un dispositivo especializado que prueba todas las combinaciones posibles de números, y posiblemente letras, hasta que encuentre la correcta. Sin embargo, el uso de contraseñas alfanuméricas más largas hace que esto sea realmente imposible de hacer en la vida útil normal de una persona.
De hecho, el iPhone es tan seguro que ha puesto a Apple en el centro de una gran controversia sobre si las grandes empresas de tecnología deberían Se le exigirá que cree una”puerta trasera”para el gobierno y las agencias de aplicación de la ley.
EE. UU. Los legisladores, en particular, han estado tomando medidas para ilegalizar el cifrado de extremo a extremo, planteando el espectro de la explotación infantil como un fantasma para justificar su posición. Apple debería proporcionar una”clave maestra”para que las fuerzas del orden omitan el cifrado y realicen fácilmente una búsqueda justificada de cualquier iPhone que esté bajo investigación. No es de extrañar que Apple haya intentado adelantarse a la curva y apaciguar a los legisladores al encontrar un término medio.
Después de todo, si Apple no anda con cuidado, corre el riesgo de tener toda la privacidad y protecciones de seguridad que está cuidadosamente integrado en iOS y que los legisladores dejaron de existir con el pretexto de proteger a los niños.
Sin duda, este es también el pensamiento detrás de la nueva función de seguridad de comunicación de Apple que viene en iOS 15.2, particularmente porque toda la plataforma iMessage ya está estrictamente encriptada de extremo a extremo, no solo en el iPhone de cada usuario, sino también a medida que viaja a través de los servidores en la nube de Apple.
En otras palabras, salvo cualquier industria-Spyware de alta resistencia en su dispositivo, cuando envía un iMessage a alguien, no hay forma de que nadie intercepte o lea ese mensaje, aparte de los destinatarios previstos.
Desafortunadamente, por muy bueno que suene, hay algunos otros eslabones débiles en la forma en que la aplicación Mensajes almacena sus datos que podrían resultar en que otros tengan acceso a sus mensajes, y esto es especialmente cierto para los organismos encargados de hacer cumplir la ley.
Búsquedas garantizadas
Apple nunca ha ocultado que cumplirá con cualquier solicitud válida de las fuerzas del orden público para proporcionar todos los datos que pueda, que generalmente incluyen todo en su copia de seguridad de iCloud.
De hecho, durante una audiencia en el Senado hace dos años, el jefe de privacidad del usuario de Apple, Erik Neuenschwander, compartió que la compañía recibió 127.000 solicitudes de las fuerzas del orden entre 2012 y 2019 y, en la mayoría de los casos, respondió a estos en 20 minutos, generalmente entregando todos los datos pertinentes que están almacenados en sus servidores.
Para ser claros, Apple todavía no puede abrir un iPhone. Cuando los senadores acusaron a Apple de rechazar descaradamente las órdenes judiciales de”abrir”un iPhone, Neuenschwander señaló que no importa cuánto quiera hacerlo, Apple no puede hacer lo que es esencialmente imposible, que incluye romper el cifrado fuerte que ha creado para el iPhone..
Sin embargo, muchos legisladores y políticos se niegan a aceptar este punto en particular, y sostienen que se debería exigir a Apple que rediseñe sus dispositivos para que esto sea posible.
Afortunadamente para la privacidad del usuario, esos deseos aún no se han consagrado en la ley, por lo que, por ahora, agencias como el FBI deberán contentarse con todo lo que Apple pueda ofrecer.
An documento interno del FBI obtenido y compartido recientemente por Property of the People (a través de AppleInsider ) describe cómo se acumula iMessage en contra de otros sistemas de mensajería segura desde la perspectiva de la capacidad del FBI para acceder legalmente al contenido y metadatos de ellos. El documento no está clasificado, pero está etiquetado como Solo para uso oficial (FOUO) y Sensible a las fuerzas del orden (LES).
Si bien el documento detalla lo que ya sabemos, es una mirada interna interesante sobre dónde encaja iMessage junto con otros como Signal, Telegram y WhatsApp.
Cómo ¿Es seguro iMessage?
En el caso de iMessage, la vulnerabilidad clave es una que ya debería conocer y, en última instancia, se reduce a los datos que haya almacenado en sus copias de seguridad de iCloud.
Específicamente, el documento señala que el FBI puede obtener contenido de mensajes”limitado”de iMessage. Una citación”puede proporcionar información básica del suscriptor”y 25 días de búsquedas de iMessage desde y hacia un número de destino, aunque una nota al pie explica que Apple”incluye un descargo de responsabilidad de que una entrada de registro entre las partes no indica que se llevó a cabo una conversación”, y que”Estos registros de consultas también contienen errores”.
Por otro lado, una orden de búsqueda”puede generar copias de seguridad de un dispositivo objetivo”y”si el objetivo utiliza la copia de seguridad de iCloud, las claves de cifrado también deben proporcionarse con devolución de contenido”, es decir , como parte de la copia de seguridad, junto con iMessages si”el objetivo ha habilitado Mensajes en iCloud”.
En términos sencillos, esto significa que si está utilizando copias de seguridad de iCloud, cualquier información de Mensajes de su iPhone es vulnerable a una orden de registro, o cualquier pirata informático que tenga acceso a su cuenta de iCloud. Esto puede ocurrir de dos formas diferentes:
Si estás usando Mensajes en iCloud , tus datos de mensajería se almacenan usando un cifrado de extremo a extremo; sin embargo, la clave que se usa para descifrar esos mensajes se almacena en su copia de seguridad de iCloud. Si no está utilizando Mensajes en iCloud , sus datos de mensajería se almacenan directamente en su copia de seguridad de iCloud, sin cifrar.
En otras palabras, si no está utilizando Mensajes en iCloud, sus mensajes se almacenan en su copia de seguridad de iCloud en forma legible.
Si está utilizando Mensajes en iCloud, la clave para descifrarlos se almacena en su copia de seguridad de iCloud.
De cualquier manera, si está utilizando copias de seguridad de iCloud, su historial de iMessage es vulnerable.
Afortunadamente, puede desactivar las copias de seguridad de iCloud y hacer una copia de seguridad de su iPhone o iPad directamente en su computadora. En este caso, sus datos de Mensajes están seguros, ya que incluso si está usando Mensajes en iCloud, estos datos se almacenarán utilizando un cifrado de extremo a extremo, y la clave no se encontrará en ningún lugar de los servidores de Apple.
Por supuesto, si no está utilizando Message in the Cloud, su historial de mensajes no estará en los servidores de Apple, solo se almacenará localmente en su dispositivo y en las copias de seguridad de su computadora.
Tenga en cuenta que incluso en este caso, sus conversaciones de iMessage reales viajan a través de los servidores de Apple y las conversaciones por SMS viajan a través de la red de su operador. Si bien Apple no puede proporcionar el contenido de sus mensajes, es posible que aún pueda proporcionar un registro de con quién se ha estado comunicando.
Tenga en cuenta que los mensajes de texto SMS ni siquiera son tan seguros, y es muy probable que su operador pueda interceptar todo lo que sucede a través de esos canales.
Solo tenga en cuenta que todas las apuestas están canceladas si está utilizando un iPhone proporcionado por la empresa, ya que existen numerosas herramientas de administración que un departamento de TI corporativo puede instalar para monitorear su actividad. En muchas jurisdicciones, sin embargo, todas las comunicaciones que ocurren en el hardware de propiedad de la empresa pertenecen a la empresa, por lo que no debe tener expectativas de privacidad en esos casos de todos modos.
Otras plataformas de mensajería
El documento del FBI también proporcionó detalles sobre lo que se puede obtener de varios otros sistemas de mensajería populares, y muchos de ellos salieron antes que iMessage de Apple.
Por ejemplo, Signal, Telegram, Threema, Viber, WeChat y Wickr figuraban en la lista como”Sin contenido de mensaje”. Line y WhatsApp proporcionaron contenido “limitado”, pero solo en casos específicos.
Los usuarios de WhatsApp son vulnerables al mismo vacío legal que los usuarios de iMessage, y el FBI señala que”si el objetivo está usando un iPhone y las copias de seguridad de iCloud habilitadas, las devoluciones de iCloud pueden contener datos de WhatsApp, para incluir el contenido del mensaje”.
Line, por otro lado, puede mantener el valor de siete días de chats de texto de usuarios específicos ante una orden judicial efectiva, pero esto solo es posible cuando el usuario no ha habilitado el cifrado de extremo a extremo..
Entre las aplicaciones de mensajería enumeradas, Signal fue, como era de esperar, la más privada del grupo, con la capacidad de proporcionar solo la fecha y hora en que un usuario se registró en el servicio, y la última vez que conectado a él.
Telegram quedó en segundo lugar, con una nota de que puede revelar direcciones IP y números de teléfono a las autoridades pertinentes”para investigaciones terroristas confirmadas”, pero lo hace únicamente a su propia discreción.
Por último, WeChat puede ser un caso especial. Si bien el FBI señala que no puede obtener ningún contenido de mensaje del servicio de chat con sede en China, probablemente ese no sea el caso de las autoridades chinas. De hecho, el FBI señala que WeChat”no puede proporcionar registros de cuentas creadas en China”, pero proporcionará”información básica”como nombre, número de teléfono, correo electrónico y dirección IP para”cuentas fuera de China”.
Lo mismo podría decirse de otras plataformas de mensajería propiedad de empresas extranjeras, que podrían no estar obligadas a responder a las fuerzas del orden de los EE. UU., pero podrían estar obligadas a hacerlo por órdenes judiciales de sus propios gobiernos.
En la mayoría de los casos, estas otras plataformas de mensajería mantienen su seguridad al evitar por completo las copias de seguridad de iCloud. Los desarrolladores pueden elegir qué datos se almacenan en una copia de seguridad de iCloud, y aplicaciones como Signal se niegan deliberadamente a almacenar nada, por lo que básicamente tienes que configurarlo desde cero cuando cambias a un nuevo iPhone.
Después de todo, la mejor manera de evitar que sus datos caigan en las manos equivocadas es evitar guardarlos en primer lugar.
