En diciembre del 2022, Apple anunció una serie de nuevas funciones de protección de datos de usuario, entre las que destacaba la lista ampliada de datos cifrados de extremo a extremo cargados en iCloud. En la mayoría de los casos, solo el propietario tiene acceso a ella con una clave, ni siquiera el propio Apple puede leer esta información. También hubo un anuncio extraoficial: la compañía mencionó que abandonaría sus controvertidos planes de uso de una tecnología capaz de escanear smartphones y tablets en busca de pornografía infantil.
El cifrado de las copias de seguridad de iCloud
Para comenzar, hablemos de la innovación más interesante. Ahora los propietarios de iPhone, iPad y ordenadores con macOS (no todos, ya hablaremos de esto más adelante) pueden cifrar las copias de seguridad de sus dispositivos al cargarlas en iCloud. A continuación, intentaremos explicar esta innovación bastante complicada de la forma más simple posible, aunque detallada, ya que puede ser realmente importante.
Todos los dispositivos móviles de Apple cargan copias de seguridad en iCloud de forma predeterminada. Esta característica tan útil ayuda a restaurar todos los datos en un nuevo dispositivo tal como estaban en el antiguo en la última copia de seguridad. A veces, como cuando pierdes el teléfono o se rompe, es la única forma de acceder a fotos familiares o notas de trabajo. Es probable que tengas que pagar por esta función: Apple proporciona unos escasos 5 GB de almacenamiento en la nube de forma gratuita, que se llena rápidamente. Al final, tienes que comprar gigabytes adicionales o elegir qué datos guardar en la copia de seguridad: por ejemplo, puedes excluir música, vídeos, etc.
Apple siempre ha cifrado las copias de seguridad en sus servidores, pero de forma que tanto la empresa como el usuario tenían la clave de descifrado, por lo que las copias de seguridad solo quedaban protegidas de los ataques contra los propios servidores de la empresa. La actualización de diciembre de los sistemas operativos de Apple introdujo una nueva función de cifrado de extremo a extremo con la que los datos permanecen cifrados desde el remitente hasta el destinatario.
Este tipo de cifrado tiene más relevancia en las herramientas de comunicación, sobre todo en los mensajeros. Su presencia muestra que el desarrollador se preocupa por la confidencialidad de los datos; por ejemplo, el propio servicio de mensajería de Apple, iMessage, lleva utilizando desde hace mucho tiempo el cifrado de extremo a extremo. La utilidad del cifrado de extremo a extremo depende de su implementación. Por ejemplo, en Telegram, la mayoría de los chats no están cifrados y son accesibles en todos los dispositivos conectados a la cuenta, pero puedes crear un chat “secreto” aparte con otro usuario; este existirá únicamente en el dispositivo en el que hayas iniciado la conversación cifrada y solo tú y tu compañero podréis ver su contenido.
Ahora bien, volvamos a las copias de seguridad. De forma predeterminada, las copias de seguridad de Apple guardan toda la información de tu dispositivo, incluida la correspondencia de iMessage. Lo importante aquí es que, aunque la comunicación de iMessage está cifrada de extremo a extremo, si un atacante consigue de alguna forma una copia de seguridad de tu teléfono, podrá leer el historial de mensajes. Además, tendrá acceso a una gran cantidad de datos: fotos, documentos, notas, etc. Este agujero de seguridad es lo que ha conseguido solucionar Apple con su última actualización.
Con el cifrado de extremo a extremo de las copias de seguridad, serás el único remitente y destinatario de los datos; además, solo tú tendrás acceso a la clave para descifrarlos. Si el algoritmo se implementa correctamente, Apple no podrá descifrar tus datos, aunque quiera. Ni siquiera alguien con tu ID de Apple que desconozca la clave de cifrado podrá robarlos.
Esta nueva configuración se llama Protección Avanzada de Datos y aparece así:
Es importante tener en cuenta que, una vez que la función está habilitada, tú serás el único responsable del acceso a tus datos: si pierdes la clave de cifrado, ni siquiera el soporte de Apple podrá ayudarte. Por ello, esta nueva configuración de privacidad será voluntaria: si decides no activarla, Apple podrá seguir haciendo copias de seguridad que podrían robar unos intrusos si, por ejemplo, tu ID de Apple acabara filtrándose.
Por cierto, la Protección Avanzada de Datos no se puede activar en un dispositivo agregado recientemente a tu ID de Apple, dado que, si alguien obtuviera tu ID de Apple y activara el cifrado de extremo a extremo en tu smartphone, perderías el acceso a tus datos. Incluso aunque lograras restaurar el acceso a tu cuenta, ¡no tendrías la clave de cifrado! Por tanto, si acabas de comprar un nuevo dispositivo Apple, solo podrás habilitar la Protección Avanzada de Datos desde el anterior.
El cifrado de extremo a extremo de otros datos
Esta nueva función de Apple no se limita solo a las copias de seguridad de los smarpthones, tablets y portátiles. Las fotos y las notas también se cifrarán. Es posible que esta lista crezca, pero por ahora Apple habla de una fuerte protección para 23 categorías de datos, sin especificar cuáles. Anteriormente, el cifrado de extremo a extremo se usaba en 14 categorías, incluidos las conversaciones de iMessage, las contraseñas de los llaveros y todos los datos relacionados con la salud, como las lecturas de los sensores del Apple Watch.
Lo que sí sabemos es con qué aplicaciones no se utilizará el cifrado de extremo a extremo: correo, calendarios y contactos de iCloud. Según Apple, esto es para garantizar la compatibilidad con los sistemas de otros desarrolladores.
Las claves de seguridad de hardware para la autenticación del ID de Apple
Incluso con el cifrado de extremo a extremo implementado, el acceso a muchos tipos de datos en tu iPhone, iPad o Mac seguirá siendo a través de tu ID de Apple. Por tanto, si un atacante logra acceder a él, podrá restaurar tu copia de seguridad en su dispositivo (que es lo que impide la Protección Avanzada de Datos) y rastrear tu ubicación usando Buscar Dispositivos.
Una forma habitual de robar las credenciales del ID de Apple es el phishing. Después de robar tu iPhone, los ladrones no pueden revenderlo sin más, a no ser que lo hagan por partes. Deben introducir tu ID de Apple para desvincular el teléfono y que un nuevo propietario pueda registrarse. Una forma muy sencilla de engañarte es cuando intentas encontrar tu teléfono desesperadamente usando, por ejemplo, Buscar mi iPhone. Imagínate que comienzas a recibir mensajes de texto extraños aparentemente de Apple en el número de contacto que especificaste, con un enlace para iniciar sesión con tu ID de Apple, pero, en lugar de la web de Apple, te redirigen a una imitación e introduces tus credenciales, que caen directamente en manos de los ciberdelincuentes. Por desgracia, a veces ni siquiera la autenticación en dos pasos (que requiere un código adicional) ayuda. La página de phishing puede considerar este método de protección y solicitarte un código de verificación único.
Un hardware de clave de seguridad (un dispositivo aislado como una memoria USB) reduce en gran medida la probabilidad de caer en el phishing. En este caso, para la autenticación del ID de Apple, coloca el código NFC cerca del dispositivo o insértalo en el conector Lightning o USB-C. Todos los datos se intercambian de forma cifrada y solo con los servidores de Apple. Es casi imposible que un sitio de phishing falso imite con éxito este tipo de autenticación.
Una protección adicional para iMessage
Otra innovación menos relevante está relacionada con el mensajero nativo de Apple. Después de la actualización, te avisará si un tercero puede ver los mensajes que compartas con otro usuario. Aún se desconocen los detalles, pero se espera que la función contrarreste los ataques más sofisticados, como los de intermediario. Si eso llegara a suceder, recibirías una advertencia sobre posibles escuchas en el chat. Además, los usuarios de la Verificación de Claves de Contactos en iMessage podrán comparar el código de verificación (i) cuando se encuentren con la persona con la que están conversando, (ii) en FaceTime o (iii) en otra aplicación de mensajería.
La Verificación de Claves de Contactos en iMessage resultará útil para las posibles víctimas de los ciberataques más sofisticados y costosos: periodistas, políticos, celebridades, etc. Por otro lado, al usuario común es más probable que acabe resultándole molesto. En cualquier caso, estará disponible para todos.
¿Cuándo estarán disponibles las nuevas funciones?
La función más útil, la Protección Avanzada de Datos, ya se lanzó el 13 de diciembre del 2022. Para usarla, debes actualizar todos los dispositivos vinculados a tu ID de Apple. Los requisitos mínimos del sistema operativo son:
- iPhone — iOS 16.2 o posterior
- iPad — iPadOS 16.2 o posterior
- Mac — macOS 13.1 o posterior
- Apple Watch — watchOS 9.2 o posterior
- Apple TV — tvOS 16.2 o posterior
- HomePod speakers — versión 16.0 o posterior
- Ordenadores Windows con iCloud para Windows — versión 14.1 o posterior
Si un único dispositivo no es compatible con la versión correcta (por ejemplo, iPhone 7 y anteriores o iPads de cuarta generación y anteriores), no podrás habilitar la Protección Avanzada de Datos hasta que lo desvincules de tu cuenta. Por cierto, la versión actual de macOS, Ventura, es compatible con la mayoría de los dispositivos lanzados desde el 2017.
Apple no ha publicado las fechas de lanzamiento del resto de funciones, solo afirma que llegarán a lo largo de este año.
El abandono de la tecnología para el escaneo de dispositivos en busca de pornografía infantil
Por último, otro cambio importante que no se ha anunciado tan a bombo y platillo: un portavoz de Apple mencionó brevemente en una entrevista que la compañía había dejado de lado la implementación de la detección de CSAM, sobre la cual ya habíamos hablado en otra ocasión. Recordemos que, en agosto del 2022, Apple anunció una tecnología para detectar pornografía infantil en sus dispositivos. El término legal más correcto que usó Apple es Contenido de abuso sexual infantil (CSAM por sus siglas en inglés). La idea era que todos los dispositivos de Apple llevaran a cabo un escaneo de las imágenes para que, si alguna coincidía con la base de datos de imágenes de pornografía infantil, se notificara a la empresa y esta pudiera alertar a las fuerzas de seguridad.
Aunque Apple insistió en que la detección de CSAM no violaría la privacidad de los usuarios comunes sin contenido ilegal en sus dispositivos, la iniciativa recibió muchas críticas. Las promesas de Apple de “probabilidad mínima de falsos positivos” no ayudaron: en cualquier caso, esta función resultó ser muy poco transparente y, por primera vez, se implementó directamente en el dispositivo, no en el sistema en la nube que gestiona Apple, sino en el teléfono o tablet. Los críticos de Apple, como la organización estadounidense sin ánimo de lucro, Electronic Frontier Foundation, señalaron con toda la razón que el noble objetivo de prevenir la propagación de la pornografía infantil podría transformarse fácilmente en un escaneo de cualquier tipo de contenido en los dispositivos.
Avances en la privacidad de datos
Que Apple haya introducido el cifrado de extremo a extremo en los datos de usuario más confidenciales y abandonado el uso de la controvertida tecnología de escaneo muestra que a la compañía realmente le importa la privacidad del usuario. Además, la activación de la Protección Avanzada de Datos reducirá en gran medida las posibilidades del robo de datos en caso de que alguien atacara iCloud. Por otro lado, aunque lo solicitaran, Apple no podría entregar tus datos a los cuerpos de seguridad, algo que sí puede hacer actualmente con respecto a todas las cuentas que cargan información en la nube.
Además, no debemos olvidar que, de cualquier forma, los ciberdelincuentes encontrarán tarde o temprano una técnica de ataque. Incluso en la tecnología de cifrado de extremo a extremo pueden surgir vulnerabilidades y las innovaciones de Apple siempre se someten a las pruebas más estrictas tanto por parte de los investigadores de seguridad como por los ciberdelincuentes. Pero es importante recordar que por muy cifrados que estén tus datos, esto no ayudará si alguien obtiene acceso a tu dispositivo Apple mientras está desbloqueado.
Y, aunque estas innovaciones de Apple resultan muy útiles, pueden causar inconvenientes al usuario. Por ejemplo, si olvidas la clave de cifrado, tus datos se perderán para siempre y, si pierdes tu único dispositivo Apple, es posible que tengas problemas para restaurar tus datos a uno nuevo. Por lo tanto, te recomendamos que pienses bien si estas nuevas funciones se adecuan a tus necesidades.