Apple, en una declaración muy precisa emitida a los medios (incluyéndome a mí) esta mañana:
Apple ya no puede ofrecer Protección Avanzada de Datos (ADP) en el Reino Unido a nuevos usuarios y los usuarios actuales del Reino Unido eventualmente necesitarán desactivar esta función de seguridad. ADP protege los datos de iCloud con cifrado de extremo a extremo, lo que significa que los datos solo pueden descifrarse por el usuario que los posee, y solo en sus dispositivos de confianza. Estamos muy decepcionados de que las protecciones proporcionadas por ADP no estarán disponibles para nuestros clientes en el Reino Unido dada la creciente cantidad de filtraciones de datos y otras amenazas a la privacidad de los clientes. Mejorar la seguridad del almacenamiento en la nube con cifrado de extremo a extremo es más urgente que nunca. Apple sigue comprometido en ofrecer a nuestros usuarios el más alto nivel de seguridad para sus datos personales y tenemos la esperanza de poder hacerlo en el futuro en el Reino Unido. Como hemos dicho muchas veces antes, nunca hemos creado una puerta trasera o una llave maestra para ninguno de nuestros productos o servicios y nunca lo haremos.
El contexto de esto es la noticia que se dio a conocer hace dos semanas, por Joseph Menn en The Washington Post y Tim Bradshaw en Financial Times, que (citando el reporte de Menn, con énfasis añadido):
Funcionarios de seguridad en el Reino Unido han exigido que Apple cree una puerta trasera que les permita recuperar todo el contenido que cualquier usuario de Apple en todo el mundo ha subido a la nube, personas familiarizadas con el asunto le dijeron al Washington Post. La orden no divulgada del gobierno británico, emitida el mes pasado, requiere una capacidad general para ver material totalmente encriptado, no solo asistencia para descifrar una cuenta específica, y no tiene precedentes conocidos en las principales democracias. […]
La oficina del Secretario de Interior ha entregado a Apple un documento llamado aviso de capacidad técnica, ordenándole proporcionar acceso bajo la amplia Ley de Poderes Investigativos del Reino Unido de 2016, que autoriza a la aplicación de la ley a obligar a las empresas a prestar asistencia cuando sea necesario para recopilar pruebas, dijeron las personas. La ley, conocida por los críticos como la Ley del Espía, convierte en un delito revelar que el gobierno ha hecho tal demanda. Un portavoz de Apple declinó hacer comentarios.
Por definición, el cifrado de extremo a extremo no puede tener una puerta trasera secreta, por lo que el cumplimiento de esta orden del Reino Unido requeriría, en términos generales, que Apple abandonara el cifrado de extremo a extremo, no solo para los usuarios en el Reino Unido sino para todos los usuarios en todos los países a nivel mundial. Más insidiosamente y escandalosamente, aparentemente están prohibidos por ley en el Reino Unido, bajo severas penas (prisión), de siquiera informar al público sobre esta demanda, o, si cumplieran, de decir al público lo que han hecho. El Reino Unido espera que Apple les dé acceso secreto a todos los datos de iCloud sin que Apple le diga a nadie, incluido, creo, incluso al gobierno de EE. UU., que le han otorgado al gobierno del Reino Unido este asombroso acceso.
En lugar de cumplir, Apple está optando por retirar la Protección Avanzada de Datos del Reino Unido. Para los usuarios del Reino Unido que aún no estaban utilizando ADP, la capacidad de habilitarlo ya había sido desactivada antes de que se enviara la declaración de Apple. Este informe de BBC News tiene una captura de pantalla de lo que ven los usuarios del Reino Unido si intentan habilitarlo hoy.
Vuelva a leer la declaración de Apple arriba, que he citado en su totalidad, incluido el hipervínculo. Lo que destaca es que Apple no ofrece ninguna explicación, ni siquiera una pista, del porqué la compañía “ya no puede ofrecer Protección Avanzada de Datos (ADP) en el Reino Unido a nuevos usuarios y los usuarios actuales del Reino Unido eventualmente necesitarán desactivar esta función de seguridad”. En cuestiones relacionadas con la seguridad y la privacidad, Apple siempre explica sus políticas y características lo mejor que puede. El hecho de que Apple no haya ofrecido ni una pista sobre por qué están haciendo esto es una declaración implícita de algún modo: están dejando claro de la mejor manera que pueden que están bajo una orden judicial que les impide siquiera reconocer que están bajo una orden judicial, al no decirnos por qué ya no pueden ofrecer ADP en el Reino Unido. Este tipo de confirmación implícita entre líneas de que están bajo una orden judicial es el único tipo de confirmación que legalmente pueden ofrecer, bajo riesgo de prisión.
La habilitación de ADP está controlada desde el lado del servidor, por lo que Apple pudo deshabilitar la capacidad para que los usuarios del Reino Unido activen ADP sin necesidad de una actualización de software en los dispositivos. Pero es una pregunta abierta cómo se desarrollará esto para los usuarios en el Reino Unido que ya tienen habilitado ADP. Apple no puede desactivar ADP de forma remota. Con un momento de reflexión, puedes darte cuenta de por qué no pueden: sería inútil. De la misma manera que Apple no puede tener su propia clave para descifrar los datos de un usuario con ADP, tampoco pueden tener la capacidad de desactivar ADP.
Sin embargo, habilitar ADP es reversible. Después de activarlo, un usuario puede revertirlo a la protección estándar, desactivándolo. Pero deben confirmarlo manualmente. Sospecho que lo que Apple va a hacer para los usuarios del Reino Unido con ADP ya habilitado es comenzar a emitir advertencias, instruyéndolos a desactivarlo manualmente, antes de algún plazo límite. Una vez que pase ese plazo, creo que Apple tendrá que dejar de permitir el acceso a iCloud para cuentas protegidas con ADP en el Reino Unido. Eso no dejará los datos de esos usuarios desprotegidos, simplemente perderán acceso a la sincronización hasta que desactiven ADP y vuelvan a la protección estándar.
La conclusión es que el gobierno británico está actuando como un estado autoritario tiránico. No es una exageración. Y la sorprendente amplitud de su orden, pudiendo espiar secretamente, sin notificar siquiera que tienen la capacidad, no solo a sus propios ciudadanos sino a cada usuario de Apple en todo el mundo, sugiere una creencia delirante de que el Imperio Británico aún perdura. Es simultáneamente enojosamente ofensivo, matemáticamente ignorante (en cuanto a la naturaleza del cifrado de extremo a extremo), peligroso (como lo demostró el reciente ataque Salt Typhoon que China llevó a cabo con éxito para espiar comunicaciones no E2EE en los Estados Unidos) y risiblemente ingenuo en cuanto al poder y posición real del Reino Unido en el mundo.
Apple está, con razón y rectitud, diciéndoles que se vayan al demonio.