A principios de agosto del 2021, Apple presentó su nuevo sistema para identificar fotografías que contengan imágenes de abuso infantil. Aunque los motivos de Apple (combatir la propagación de pornografía infantil) parece sin duda bien intencionados, el anuncio inmediatamente causó revuelo.
Apple ha cultivado una imagen propia como fabricante de dispositivos que se preocupa por la privacidad de los usuarios. Las funciones nuevas anticipadas para iOS 15 y iPadOS 15 ya han recibido un golpe serio a esta reputación, pero la empresa no da marcha atrás. Esto fue lo que pasó y cómo afectará a los usuarios de iPhone y iPad.
¿Qué es CSAM Detection?
Los planes de Apple se describen en el sitio web de la empresa, que ha desarrollado un sistema llamado CSAM Detection, el cual busca en los dispositivos de los usuarios “material de abuso sexual infantil”, también conocido como CSAM.
Si bien “pornografía infantil” es sinónimo de CSAM (las siglas en inglés de Child Sexual Abuse Material), el Centro Nacional para Niños Desaparecidos y Explotados (NCMEC), que ayuda a encontrar y rescatar a niños desaparecidos y explotados en los Estados Unidos, considera “CSAM” el término más apropiado. El NCMEC proporciona a Apple y a otras firmas de tecnología información sobre las imágenes conocidas en CSAM.
Apple introdujo CSAM Detection junto con otras funciones que extienden los controles parentales en los dispositivos móviles Apple. Por ejemplo, los padres recibirán una notificación si alguien envía a su hijo una foto con contenido sexual explícito en Mensajes Apple.
La revelación simultánea de estas tecnologías causó algo de confusión y muchas personas se quedaron con la impresión de que Apple ahora supervisaría a los usuarios todo el tiempo. Pero no es así.
Calendario de lanzamiento de CSAM Detection
CSAM Detection formará parte de los sistemas operativos para móvil iOS 15 y iPadOS, los cuales estarán disponibles a los usuarios de todos los iPhone y iPad (iPhone 6S, iPad quinta generación y posteriores) este otoño. Si bien la función en teoría estará disponible en los dispositivos móviles Apple de todo el mundo, por ahora el sistema solo funcionará por completo en los Estados Unidos.
Cómo funcionará CSAM Detection
CSAM Detection funciona solo en conjunto con Fotos de iCloud, el cual es parte del servicio iCloud que carga fotos desde un smartphone o tablet a los servidores de Apple. También los vuelve accesibles en los otros dispositivos de los usuarios.
Si un usuario desactiva la sincronización de fotos en las configuraciones, CSAM Detection deja de funcionar. ¿Esto significa que las fotos se comparan con las de las bases de datos de los delincuentes solo en la nube? No exactamente. El sistema es muy complejo de manera deliberada; Apple trata de garantizar un nivel necesario de privacidad.
Como Apple explica, CSAM Detection funciona al escanear fotos en un dispositivo para determinar si sus fotos concuerdan con alguna en las bases de datos del NCMEC u otras organizaciones similares.
El método de detección utiliza la tecnología NeuralHash, lo que en esencia crea identificadores digitales, o hashes, para fotografías basadas en su contenido. Si un hash coincide con uno de la base de datos de imágenes de explotación infantil, entonces la imagen y sus hash se cargan en los servidores de Apple. Apple hace otra verificación antes de registrar oficialmente la imagen.
Otro componente del sistema, la tecnología criptográfica llamada private set intersection cifra los resultados del escaneo de CSAM Detection de manera que Apple puede descifrarlas solo si se cumplen ciertos criterios. En teoría, esto debería evitar que se le diera un mal uso al sistema, es decir, debería evitar que un empleado de una empresa abuse del sistema o entregue las imágenes a solicitud de las agencias gubernamentales.
En una entrevista del 13 de agosto con el Wall Street Journal, Craig Federighi, el Vicepresidente sénior de ingeniería del software de Apple, anunció la principal protección para el protocolo private set intersection: Para alertar a Apple, es necesario que 30 fotos coincidan con las imágenes de la base de datos del NCMEC. Como muestra el diagrama siguiente, el sistema private set intersection no permitirá que el conjunto de datos (la información sobre la operación de CSAM Detection y las fotos) sea descifrado hasta que se haya alcanzado dicho umbral. De acuerdo con Apple, debido a que el umbral para marcar una imagen es tan alto, un falso positivo es muy poco probable, una “posibilidad entre un billón”.
¿Qué sucede cuando el sistema recibe la alerta? Un empleado de Apple revisa de manera manual los datos, confirma la presencia de pornografía infantil y notifica a las autoridades. Por ahora el sistema funcionará por completo solo en los Estados Unidos, de manera que la notificación irá al NCMEC, el cual está patrocinado por el Departamento de Justicia de los Estados Unidos.
Problemas con CSAM Detection
La crítica potencial de las acciones de Apple se divide en dos categorías: cuestionar el enfoque de la empresa y escudriñar las vulnerabilidades del protocolo. Por el momento, hay poca evidencia concreta de que Apple haya cometido un error técnico (un problema que analizaremos con más detalle a continuación), aunque las quejas generales no se han hecho esperar.
Por ejemplo, la Electronic Frontier Foundation describió estos problemas con detalle. De acuerdo con la EFF, al añadir el análisis de imágenes del lado del usuario, Apple está, en esencia, integrando una puerta trasera en los dispositivos de los usuarios. La EFF lleva criticando el concepto desde el 2019.
¿Por qué es algo malo? Bien, imagínate que tienes un dispositivo en el que los datos están completamente cifrados (como afirma Apple) y que comienza a notificar a personas ajenas sobre ese contenido. Ahora el objetivo es la pornografía infantil, lo que suscita un dicho común, “el que nada debe, nada teme”, pero mientras exista este mecanismo, no podemos saber si no se aplicará a otro tipo de contenido.
Finalmente, esta crítica es más política que tecnológica. El problema yace en la ausencia de un contrato social que equilibre la seguridad y la privacidad. Todos, desde los burócratas, fabricantes de dispositivos y desarrolladores de software hasta activistas de derechos humanos y usuarios, estamos tratando de definir este equilibrio.
Las agencias policiales se quejan de que el cifrado generalizado complica la recopilación de evidencias y el hecho de atrapar a los delincuentes, y esto es entendible. La preocupación sobre la vigilancia digital masiva también resulta obvia. Existen montones de opiniones, incluidas las opiniones sobre las políticas y acciones de Apple.
Problemas potenciales al implementar CSAM Detection
Una vez que dejamos atrás las preocupaciones éticas, llegamos a caminos tecnológicos tormentosos. Cualquier código de programa produce vulnerabilidades nuevas. Y, dejando a un lado a los gobiernos, ¿qué pasaría si un ciberdelincuente se aprovechara de las vulnerabilidades de CSAM Detection? La preocupación sobre el cifrado de datos es natural y válida: Si debilitas la protección de la información, incluso aunque lo hagas con buenas intenciones, cualquiera podría explotar la debilidad para otros fines.
Acaba de comenzar una auditoría independiente del código de CSAM Detection y alargarse en el tiempo. Sin embargo, ya hemos aprendido algunas cosas.
En primer lugar, desde la versión 14.3 de iOS (y Mac OS) existe un código que permite comparar las fotos con un “modelo”. Es completamente posible que el código forme parte de CSAM Detection. Las herramientas para experimentar con un algoritmo de búsqueda para comparar imágenes ya encontraron algunas colisiones. Por ejemplo, de acuerdo con el algoritmo NeuralHash de Apple, las dos imágenes a continuación tienen el mismo hash:
Si es posible sacar una base de datos de hashes de fotos ilegales, entonces es posible crear imágenes “inocentes” que detonen una alerta, lo que significa que Apple podría recibir suficientes alertas falsas para que CSAM Detection sea insostenible. Esta es la razón más probable por la que Apple separó la detección, dejando que parte del algoritmo funcione únicamente en el extremo del servidor.
También existe este análisis del protocolo private set intersection de Apple. La queja es esencialmente que, incluso antes de alcanzar el umbral de alerta, el sistema PSI transfiere bastante información a los servidores de Apple. El artículo describe una situación en la que las agencias policiales solicitan los datos a Apple y sugiere que incluso las alertas falsas podrían acabar en una visita de la policía.
Por ahora, lo anterior son solo pruebas iniciales de una revisión externa de CSAM Detection. Su éxito dependerá en gran parte de que la empresa, famosa por ser tan reservada, proporcione transparencia respecto al funcionamiento de CSAM Detection, en particular su código fuente.
Qué significa la CSAM Detection para el usuario promedio
Los dispositivos modernos son tan complejos que no es fácil determinar la eficacia real de su seguridad, es decir, si cumplen con las promesas de sus fabricantes. Lo que la mayoría de nosotros puede hacer es confiar (o desconfiar) de la empresa teniendo en cuenta su reputación.
Sin embargo, es importante recordar este punto clave: CSAM Detection opera solo si los usuarios suben fotos en iCloud. La decisión de Apple fue deliberada y anticipó alguna de las objeciones a la tecnología. Si no cargas fotos en la nube, no se enviará nada a ningún lado.
Tal vez recuerdes el famoso conflicto entre Apple y el FBI en el 2016, cuando el FBI le pidió a Apple ayuda para desbloquear un iPhone 5C que le pertenecía al autor de un tiroteo masivo en San Bernardino, California. El FBI quería que Apple escribiera software que permitiera al FBI atravesar la capa de protección con contraseña del teléfono.
La empresa reconoció que acceder a esta solicitud no solo resultaría en el desbloqueo de este teléfono en particular, sino de cualquier otro, y se negó. El FBI desistió y terminó hackeando el dispositivo con ayuda externa, explotando las vulnerabilidades del software, y Apple conservó su reputación como empresa que lucha por los derechos de sus clientes.
Sin embargo, la historia no es tan simple. Apple sí entregó una copia de los datos de iCloud. De hecho, la empresa tiene acceso a prácticamente cualquier dato de usuario cargado en la nube. Cierta información, como contraseñas de llavero e información de pago, se almacena con cifrado de extremo a extremo, pero la mayoría de la información se cifra solo para protección contra acceso no autorizado, es decir, contra un hack de los servidores de la empresa. Esto significa que la empresa puede descifrar los datos.
Las implicaciones son, tal vez, el giro de trama más interesante en la historia de CSAM Detection. La empresa podría, por ejemplo, solo escanear todas las imágenes en Fotos de iCloud (como lo hacen Facebook, Google y muchos otros servicios en la nube). Apple ha creado un mecanismo más elegante que ayudaría a repeler acusaciones de vigilancia masiva de los usuarios, pero en su lugar, ha atraído aún más críticas, por escanear los dispositivos de los usuarios.
Básicamente, el escándalo no cambia nada para el usuario promedio. Si te preocupa la protección de tus datos, deberías ser crítico con cualquier servicio de nube. Los datos que almacenes en tu dispositivo aún son seguros. Las acciones recientes de Apple siembran dudas bien fundadas, pero todavía no sabemos si la empresa se mantendrá en este camino.