Apple
En diciembre de 2022, Apple anunció una serie de nuevas funciones para protección de datos de usuario, entre las que destacaba la lista ampliada de datos cifrados de extremo a extremo cargados en iCloud. En la mayoría de los casos, solo el dueño tiene acceso a ella mediante una clave, ni el propio Apple puede leer tal información. Hubo también un anuncio extraoficial: la compañía mencionó que abandonaría sus controvertidos planes de usar tecnología capaz de escanear smartphones y tablets en busca de pornografía infantil.
El cifrado de las copias de seguridad de iCloud
Comencemos hablando de la innovación más interesante. Ahora los dueños de iPhone, iPad y computadoras con macOS (no todos, lo aclararemos más adelante) pueden cifrar las copias de seguridad de sus dispositivos al cargarlas en iCloud. Ahora trataremos de explicar esta complicada innovación de la forma más sencilla, aunque detallada, posible ,ya que realmente puede ser importante.
Todos los dispositivos móviles de Apple envían copias de seguridad a iCloud de forma predeterminada. Esta útil característica ayuda a restaurar todos los datos en un nuevo dispositivo tal y como estaban en el anterior en su última copia de seguridad. A veces, como cuando pierdes el teléfono o se descompone, es la única manera de acceder a fotos familiares o notas de trabajo. Quizá que tengas que pagar por esta función: Apple proporciona unos escasos 5 GB gratis de almacenamiento en la nube, que se llenan rápidamente. Al final, debes comprar más gigabytes o elegir qué datos guardar en la copia de seguridad: por ejemplo, puedes excluir música, vídeos, etc.
Apple siempre ha cifrado las copias de seguridad en sus servidores, pero tanto la empresa como el usuario tenían la clave de descifrado, por lo que las copias de seguridad solo quedaban protegidas de los ataques contra los propios servidores de la empresa. La actualización de diciembre de dichos sistemas operativos de Apple introdujo una nueva función de cifrado de extremo a extremo con la que los datos permanecen cifrados desde el remitente hasta el destinatario.
Este tipo de cifrado tiene más relevancia en las herramientas de comunicación, sobre todo en las apps de mensajería. Su presencia muestra que el desarrollador se preocupa por la confidencialidad de los datos; por ejemplo, iMessage, el mismo servicio de mensajería de Apple, ha utilizado el cifrado de extremo a extremo desde hace mucho tiempo. La utilidad del cifrado de extremo a extremo depende de su implementación. Por ejemplo, en Telegram, la mayoría de los chats no están cifrados y todos los dispositivos conectados a la cuenta pueden acceder, pero puedes crear un chat “secreto” a parte con otro usuario; este existirá solo en el dispositivo en el que iniciaste la conversación cifrada y solo tú y tu compañero podrán ver su contenido.
Volvamos por ahora a las copias de seguridad. Las copias de seguridad de Apple guardan toda la información de tu dispositivo, incluida la correspondencia de iMessage, de forma predeterminada. Lo relevante aquí es que, aunque la comunicación de iMessage está cifrada de extremo a extremo, si un atacante consigue una copia de seguridad de tu teléfono de alguna forma, podrá leer el historial de mensajes. Además, podrás acceder una gran cantidad de datos: fotos, documentos, notas, etc. Este agujero de seguridad es lo que Apple consiguió solucionar con su última actualización.
Con el cifrado de extremo a extremo de las copias de seguridad, serás el único remitente y destinatario de los datos; además, solo tú tendrás acceso a la clave para descifrarlos. Si el algoritmo se implementa correctamente, Apple, aunque quiera, no podrá descifrar tus datos. Ni siquiera alguien con tu ID de Apple que desconozca la clave de cifrado podrá robarlos.
Esta nueva configuración se llama Protección Avanzada de Datos y aparece así:
Configuración avanzada de la Protección Avanzada de Datos.
Una vez que la función está habilitada, es importante tomar en cuenta que el único responsable del acceso a tus datos serás tú: si pierdes la clave de cifrado, ni siquiera el soporte de Apple podrá ayudarte. Por ello, esta nueva configuración de privacidad será voluntaria: si decides no activarla, Apple podrá seguir haciendo copias de seguridad que intrusos podrían robar si, por ejemplo, tu ID de Apple se filtrara.
Por cierto, la Protección Avanzada de Datos no se puede activar en un dispositivo agregado recientemente a tu ID de Apple, ya que, si alguien obtuviera tu ID de Apple y activara el cifrado de extremo a extremo en tu smartphone, perderías el acceso a tus datos. Y aunque pudieras restaurar el acceso a tu cuenta, ¡no tendrías la clave de cifrado! Por ende, si compraste un nuevo dispositivo Apple, solo podrás habilitar la Protección Avanzada de Datos desde el anterior.
El cifrado de extremo a extremo de otros datos
Esta nueva función de Apple no se limita solo a las copias de seguridad de los smarpthones, tablets y computadoras. Las fotos y las notas también se cifrarán. Es posible que la lista crezca, pero al momento Apple habla de una fuerte protección para 23 categorías de datos, sin decir cuáles. Antes, el cifrado de extremo a extremo se usaba en 14 categorías, incluidos las conversaciones de iMessage, las contraseñas de los llaveros y todos los datos relacionados con salud, como las lecturas de los sensores del Apple Watch.
Lo que sí sabemos es con qué aplicaciones no se utilizará el cifrado de extremo a extremo: correo, calendarios y contactos de iCloud. Esto para garantizar la compatibilidad con los sistemas de otros desarrolladores, de acuerdo con Apple.
Las claves de seguridad de hardware para la autenticación del ID de Apple
Incluso con el cifrado de extremo a extremo activado, el acceso a muchos datos en tu iPhone, iPad o Mac seguirá siendo mediante tu ID de Apple. Por ende, si un atacante acceda, podrá restaurar tu copia de seguridad en su dispositivo (que es lo que impide la Protección Avanzada de Datos) y rastrear tu ubicación usando Buscar Dispositivos.
Una forma usual de robar las credenciales del ID de Apple es el phishing. Después de robar tu iPhone, los ladrones no pueden solo revenderlo, a menos que lo hagan por partes. Deben introducir tu ID de Apple para desvincular el teléfono y que un nuevo propietario pueda registrarse. Una forma muy sencilla de engañarte es cuando intentas encontrar desesperadamente tu teléfono usando Find my Phone. Imagina que comienzas a recibir mensajes de texto extraños supuestamente de Apple en el número de contacto que especificaste, con un enlace para iniciar sesión con tu Apple ID, pero, en lugar de la web de Apple, te llevan a una imitación e introduces tus datos, los cuales caen directo en manos de los ciberdelincuentes. Desgraciadamente, a veces ni siquiera la autenticación en dos pasos (que requiere un código adicional) ayuda. La página de phishing puede considerar este método de protección y solicitarte un código de verificación único.
Un hardware de clave de seguridad (un dispositivo aislado tipo memoria USB) reduce en gran medida la probabilidad de caer en el phishing. En este caso, para la autenticación del ID de Apple, coloca el código NFC cerca del dispositivo o insértalo en el conector Lightning o USB-C. Todos los datos se intercambian de forma cifrada y solo con los servidores de Apple. Es casi imposible que un sitio de phishing falso imite con éxito una autenticación de este tipo.
Pantalla de inicio de sesión de la cuenta del ID de Apple que requiere una clave de seguridad física.
Una protección más para iMessage
Una innovación menos relevante se relaciona con la mensajería de Apple. Tras la actualización, te avisará si un tercero puede ver los mensajes que compartas con otro usuario. Todavía se desconocen los detalles, pero se espera que la función contrarreste los ataques más sofisticados, como los de intermediario. Si eso llega a pasar, recibirías una advertencia sobre posibles escuchas en el chat. Además, los usuarios de la Verificación de Claves de Contactos en iMessage podrán comparar el código de verificación (i) cuando se encuentren con la persona con la que están conversando, (ii) en FaceTime o (iii) en otra aplicación de mensajería.
La Verificación de Claves de Contactos en iMessage permite a los usuarios comprobar que se comunican solo con quien quieren.
La Verificación de Claves de Contactos en iMessage será útil para posibles víctimas de ciberataques más sofisticados y costosos: periodistas, políticos, celebridades, etc. Al usuario común, por otro lado, es más probable que le resulte molesto. En cualquier caso, estará disponible para todos.
¿Cuándo estarán disponibles las nuevas funciones?
La Protección Avanzada de Datos, la función más útil, se lanzó el 13 de diciembre del 2022. Para usarla, debes actualizar todos los dispositivos vinculados a tu ID de Apple. Los requisitos mínimos del sistema operativo son:
- iPhone — iOS 16.2 o posterior
- iPad — iPadOS 16.2 o posterior
- Mac — macOS 13.1 o posterior
- Apple Watch — watchOS 9.2 o posterior
- Apple TV — tvOS 16.2 o posterior
- HomePod speakers — versión 16.0 o posterior
- Computadoras Windows con iCloud para Windows — versión 14.1 o posterior
Si un único dispositivo no es compatible con la versión correcta (por ejemplo, iPhone 7 y anteriores o iPads de cuarta generación y anteriores), no podrás habilitar la Protección Avanzada de Datos hasta que lo desvincules de tu cuenta. Por cierto, la versión actual de macOS, Ventura, es compatible con la mayoría de los dispositivos lanzados a partir del 2017.
Apple no ha publicado fechas de lanzamiento para el resto de funciones, solo asegura que llegarán a lo largo de este año.
El abandono de la tecnología para el escaneo de dispositivos en busca de pornografía infantil
Por último, otro cambio importante que no se anunció con mucha parafernalia: un portavoz de Apple mencionó brevemente en una entrevista que la compañía había dejado de lado la implementación de la detección de CSAM, sobre la cual ya habíamos hablado en otra ocasión. Recordemos que, en agosto de 2022, Apple anunció una tecnología para detectar pornografía infantil en sus dispositivos. El término legal más correcto que Apple usó es Contenido de abuso sexual infantil (CSAM por sus siglas en inglés). La idea era que todos los dispositivos de Apple llevaran a cabo un escaneo de las imágenes para que, si alguna coincidía con la base de datos de imágenes de pornografía infantil, se notificara a la empresa y esta pudiera alertar a las fuerzas de seguridad.
Aunque Apple insistió en que la detección de CSAM no violaría la privacidad de los usuarios comunes sin contenido ilegal en sus dispositivos, dicha iniciativa fue muy criticada. Las promesas de Apple de “probabilidad mínima de falsos positivos” no ayudaron: en cualquier caso, esta función resultó ser muy poco transparente y, por primera vez, se implementó directamente en el dispositivo, no en el sistema en la nube que gestiona Apple, sino en el teléfono o Tablet. Los críticos de Apple, como la organización estadounidense sin ánimo de lucro, Electronic Frontier Foundation, señalaron con toda razón que el noble objetivo de prevenir la propagación de la pornografía infantil podría transformarse fácilmente en un escaneo de cualquier tipo de contenido en los dispositivos.
Avances en la privacidad de datos
Que Apple introdujera el cifrado de extremo a extremo en los datos de usuario más confidenciales y abandonado el uso de la controvertida tecnología de escaneo muestra que la compañía realmente ve por la privacidad del usuario. Además, la activación de la Protección Avanzada de Datos reducirá en gran medida las posibilidades del robo de datos en caso de que alguien atacara iCloud. Por otro lado, aunque lo pidieran, Apple no podría entregar tus datos a los cuerpos de seguridad, algo que sí puede hacer actualmente con respecto a todas las cuentas con información en la nube.
No olvidemos que, además, los ciberdelincuentes encontrarán tarde o temprano una nueva técnica de ataque. Incluso en la tecnología de cifrado de extremo a extremo pueden surgir vulnerabilidades y las innovaciones de Apple siempre se someten a las pruebas más estrictas tanto por parte de los investigadores de seguridad como por los ciberdelincuentes. Pero es importante recordar que por muy cifrados que estén tus datos, esto no ayudará si alguien obtiene acceso a tu dispositivo Apple cuando está desbloqueado.
Y, aunque estas innovaciones de Apple sean muy útiles, pueden ser inconvenientes para el usuario. Por ejemplo, si se te olvida tu clave, tus datos se perderán para siempre y, si pierdes tu único dispositivo Apple, es posible que tengas problemas para restaurar tus datos a uno nuevo. Por ende, la recomendación es que pienses bien si estas nuevas funciones se adaptan a tus necesidades.
Consejos