El plan de Apple para supervisar a los usuarios

Apple planea utilizar su nuevo sistema CSAM Detection para supervisar a los usuarios e identificar a quienes almacenan pornografía infantil en sus dispositivos.

A principios de agosto de 2021, Apple presentó su nuevo sistema para identificar fotografías que contengan imágenes de abuso infantil. Aunque los motivos de Apple (combatir la diseminación de pornografía infantil) parece sin duda bien intencionado, el anuncio inmediatamente causo revuelo.

Apple ha cultivado una imagen propia como fabricante de dispositivos que se preocupa por la privacidad de los usuarios. Las funciones nuevas anticipadas para iOS 15 y iPadOS 15 que ya han recibido un golpe serio a esta reputación, pero la empresa no da marcha atrás. Esto fue lo que pasó y cómo afectará a los usuarios promedio de iPhone y iPad.

¿Qué es CSAM Detection?

Los planes de Apple se describen en  el sitio web de la empresa. La empresa desarrolló un sistema llamado CSAM Detection, el cual busca en los dispositivos de los usuarios “material de abuso sexual infantil”, también conocido como CSAM.

Si bien “pornografía infantil” es sinónimo de CSAM, el Centro Nacional para Niños Desaparecidos y Explotados (NCMEC), el cual ayuda a encontrar y rescatar a niños desaparecidos y explotados en los Estados Unidos, considera “CSAM” el término más apropiado. El NCMEC proporciona a Apple y a otras firmas de tecnología información sobre las imágenes conocidas en CSAM.

Apple introdujo CSAM Detection junto con varias otras funciones que extienden los controles parentales en los dispositivos móviles Apple. Por ejemplo, los padres recibirán una notificación si alguien envía a su hijo una foto con contenido sexual explícito en Mensajes Apple.

La revelación simultánea de varias tecnologías resultó causó algo de confusión, y muchas personas se quedaron con la impresión de que Apple ahora supervisaría a todos los usuarios todo el tiempo. Pero no es así.

Calendario de lanzamiento de CSAM Detection

CSAM Detection será parte de los sistemas operativos para móvil iOS 15 y iPadOS, los cuales estarán disponibles a los usuarios de todos los iPhone y iPad (iPhone 6S, iPad quinta generación y posteriores) este otoño. Si bien la función en teoría estará disponible en los dispositivos móviles Apple en todo el mundo, por ahora el sistema solo funcionará por completo en los Estados Unidos.

Cómo funcionará CSAM Detection

CSAM Detection funciona solo en conjunto con Fotos de iCloud, el cual es parte del servicio iCloud que carga fotos desde un smartphone o tablet a los servidores de Apple. También los vuelve accesibles en los otros dispositivos de los usuarios.

Si un usuario desactiva la sincronización de fotos en las configuraciones, CSAM Detection deja de funcionar. ¿Esto significa que las fotos se comparan con las de las bases de datos de los criminales solo en la nube? No exactamente. El sistema es complejo de manera deliberada; Apple trata de garantizar un nivel necesario de privacidad.

Como Apple explica, CSAM Detection funciona al escanear fotos en un dispositivo para determinar si sus fotos concuerdan con alguna en las bases de datos del NCMEC u otras organizaciones similares.

Diagrama simplificado de cómo funciona CSAM Detection

Diagrama simplificado de cómo funciona CSAM Detection. Fuente 

El método de detección utiliza la tecnología NeuralHash, lo que en esencia crea identificadores digitales, o hashes, para fotografías basadas en su contenido. Si un hash concuerda en la base de datos de imágenes de explotación infantil, entonces la imagen y sus hash se cargan en los servidores de Apple. Apple hace otra verificación antes de registrar oficialmente la imagen.

Otro componente del sistema, la tecnología criptográfica llamada private set intersection cifra los resultados del escaneo de CSAM Detection de manera que Apple puede descifrarlas solo si se cumple ciertos criterios. En teoría, esto debería evitar que se le diera un mal uso al sistema, es decir, debería evitar que un empleado de una empresa abuse del sistema o que entregue las imágenes a solicitud de las agencias gubernamentales.

En una entrevista del 13 de agosto con el Wall Street Journal, Craig Federighi, el vicepresidente sénior de ingeniería del software de Apple , anunció la salvaguarda principal para el protocolo private set intersection: Para alertar a Apple, es necesario concordar 30 imágenes en la base de datos del NCMEC. Como muestra el diagrama anterior, el sistema private set intersection no permitirá que el conjunto de datos (la información sobre la operación de CSAM Detection y las fotos) sea descifrado hasta que se haya alcanzado el umbral. De acuerdo con Apple, debido a que el umbral para marcar una imagen es tan alto, un falso positivo es muy poco probable, una “posibilidad en un billón.”

Una función importante del sistema CSAM Detection: para descifrar los datos, es necesario concordar una gran cantidad de fotografías

Una función importante del sistema CSAM Detection: para descifrar los datos, es necesario concordar una gran cantidad de fotografías. Fuente

¿Qué sucede cuando el sistema es alertado? Un empleado de Apple revisa de manera manual los datos, confirma la presencia de pornografía infantil, y notifica a las autoridades. Por ahora el sistema funcionará por completo solo en los Estados Unidos, de manera que la notificación irá al NCMEC, el cual está patrocinado por el Departamento de Justicia de los Estados Unidos.

Problemas con CSAM Detection

La crítica potencial de las acciones de Apple está en dos categorías: cuestionar el enfoque de la empresa y escudriñar las vulnerabilidades del protocolo. Por el momento, hay poca evidencia concreta de que Apple cometió un error técnico (un problema que analizaremos con más detalle a continuación), aunque las quejas generales no se han hecho esperar.

Por ejemplo, la Electronic Frontier Foundation describió estos problemas con amplio detalle. De acuerdo con la EFF, al añadir escaneo de imágenes del lado del usuario, Apple está, en esencia, integrando una puerta trasera en los dispositivos de los usuarios. La EFF criticó el concepto desde el 2019.

¿Por qué es algo malo? Bien, considera que tienes un dispositivo en el cual los datos están completamente cifrados (como afirma Apple) el cual comienza a notificar a personas ajenas sobre ese contenido. Ahora el objetivo es la pornografía infantil, lo que suscita un dicho común, “el que nada debe nada teme”, pero mientras exista este mecanismo, no podemos saber si no se aplicará a otro tipo de contenido.

Finalmente, esta crítica es más política que tecnológica. El problema yace en la ausencia de un contrato social que equilibre la seguridad y la privacidad. Todos, desde los burócratas, fabricantes de dispositivos y desarrolladores de software hasta activistas de derechos humanos y usuarios base, estamos tratando de definir este equilibrio.

La agencias policiales se quejan de que el cifrado generalizado complica la recopilación de evidencia y atrapar a los criminales, y esto es entendible. La preocupaciones sobre la vigilancia digital masiva también son obvias. Existen montones de opiniones, incluidas las opiniones sobre las políticas y acciones de Apple.

Problemas potenciales al implementar CSAM Detection

Una vez que dejamos atrás las preocupaciones éticas, llegamos a caminos tecnológicos rocosos. Cualquier código de programa produce vulnerabilidades nuevas. Y dejando a un lado a los gobiernos, ¿qué pasaría si un cibercriminal se aprovechara de las vulnerabilidades de CSAM Detection? La preocupación sobre el cifrado de datos es natural y válida: Si debilitas la protección de la información, incluso si lo haces con buenas intenciones, entonces cualquiera puede explotar la debilidad para otros fines.

Acaba de comenzar una auditoría independiente del código de CSAM Detection, y esta podría llevarse mucho tiempo. Sin embargo, ya hemos aprendido algunas cosas.

En primer lugar, desde la versión 14.3 de iOS (y Mac OS) existe  un código que permite comprar las fotos con un “modelo”. Es completamente posible que el código sea parte de CSAM Detection. Las herramientas para experimentar con un algoritmo de búsqueda para concordar imágenes ya encontraron algunas colisiones. Por ejemplo, de acuerdo con el algoritmo NeuralHash de Apple, las dos imágenes a continuación tienen el mismo hash:

De acuerdo con el algoritmo NeuralHash de Apple, estas dos fotos concuerdan

De acuerdo con el algoritmo NeuralHash de Apple, estas dos fotos concuerdan. Fuente

Si es posible sacar una base de datos de hashes de fotos ilegales, entonces es posible crear imágenes “inocentes” que detonen una alerta, lo que significa que Apple podría recibir suficientes alertas falsas para que CSAM Detection sea insostenible. Esta la razón más probable por la que Apple separó la detección, con parte del algoritmo que solo funciona en el extremo del servidor.

También existe este análisis del protocolo private set intersection de Apple. La queja es, en esencia, que incluso antes de alcanzar el umbral de alerta, el sistema PSI transfiere bastante información a los servidores de Apple. El artículo describe un escenario en el que las agencias policiales solicitan los datos a Apple, y sugiere que incluso las alertas falsas podrían resultar en una visita de la policía.

Por ahora, lo anterior son solo pruebas iniciales de una revisión externa de CSAM Detection. Su éxito dependerá en gran manera de que la empresa, famosa por ser tan reservada, proporcione transparencia respecto al funcionamiento de CSAM Detection, en particular su código fuente.

Qué significa CSAM Detection para el usuario promedio

Los dispositivos modernos son tan complejos que no es fácil determinar qué tan seguros son en realidad, es decir, qué tanto cumplen con las promesas de sus fabricantes. Lo que la mayoría de nosotros puede hacer es confiar (o desconfiar) de la empresa con base en su reputación.

Sin embargo, es importante recordar este punto clave: CSAM Detection opera solo si los usuarios suben fotos en iCloud. La decisión de Apple fue deliberada y anticipó alguna de las objeciones a la tecnología. Si no cargas fotos en la nube, nada se enviará a ningún lado.

Tal vez recuerdes el famoso conflicto entre Apple y el FBI en el 2016, cuando el FBI le pidió a Apple ayuda para desbloquear un iPhone 5C que le pertenecía al perpetrador de un tiroteo masivo en San Bernardino, California. El FBI quería que Apple escribiera software que permitiría al FBI a travesar la protección de contraseña del teléfono.

La empresa reconoció que acceder a la solicitud no solo resultaría en el desbloqueo de este teléfono en particular, sino de cualquier teléfono, y se negó. El FBI desistió y terminó hackeando el dispositivo con ayuda externa, al explotar las vulnerabilidades del software, y Apple conservó su reputación como empresa que lucha por los derechos de sus clientes.

Sin embargo, la historia no es tan simple. Apple sí entregó una copia de los datos de iCloud. De hecho, la empresa, tiene acceso a prácticamente cualquier dato de usuario cargado en la nube. Cierta información, como contraseñas llavero e información de pago, se almacena con cifrado de extremo a extremo, pero la mayoría de la información se cifra solo para protección contra acceso no autorizado, es decir, contra un hack de los servidores de la empresa. Esto significa que la empresa puede descifrar los datos.

Las implicaciones son, tal vez, el giro de trama más interesante en la historia de CSAM Detection. La empresa podría, por ejemplo, solo escanear todas las imágenes en Fotos de iCloud (como lo hacen Facebook, Google, y muchos otros servicios en nube). Apple crea un mecanismo más elegante que ayudaría a repeler acusaciones de vigilancia masiva de los usuarios, pero en su lugar, atrajo aún más críticas, por escanear los dispositivos de los usuarios.

Básicamente, el escándalo no cambia nada para el usuario promedio. Si te preocupa la protección de tus datos, deberías ver con ojo crítico cualquier servicio de nube. Los datos que almacenes en tu dispositivo aún son seguros. Las acciones recientes de Apple siembran dudas bien fundadas. Pero todavía no sabemos si la empresa se mantendrá en este camino.

Consejos