A mediados de marzo de 2025, Apple comenzó un desafío legal a una orden del Secretario del Interior antes del Tribunal de Poderes de Investigación (IPT) en Londres. Según la información filtrada al Washington Post en febrero, un aviso de capacidad técnica (TCN) fue emitido a Apple por la secretaria del Interior, Yvette Cooper, en algún momento a fines de 2024. Supuestamente requiere que la compañía elimine la protección de datos avanzada (ADP) de los usuarios de ICLOUD destinados a la investigación por la policía, la inteligencia y los servicios de seguridad.
En efecto, aparentemente se le ha ordenado a Apple que construya un “trasero” de cifrado para ADP. En su respuesta, Apple ha anunciado que ADP actualmente no está disponible para los usuarios del Reino Unido de iCloud. ADP es opcional para los clientes de Apple y un desarrollo relativamente reciente. De manera predeterminada, los usuarios de iCloud están protegidos por el protocolo de protección de datos estándar de Apple, que cifra los datos del usuario en transmisión y almacenamiento a través de claves de cifrado almacenadas en los dispositivos Apple del usuario, como un iPhone o MacBook.
Sin embargo, con la protección de datos estándar, Apple también almacena su propio conjunto de claves de cifrado para la cuenta de cada usuario. Esto significa que los clientes pueden recuperar fácilmente datos de Apple si, por ejemplo, se pierde o roban un dispositivo, pero también significa que Apple puede descifrar los datos de cualquier usuario en respuesta a solicitudes legales de los servicios de aplicación de la ley o inteligencia. Con ADP activado, por el contrario, Apple no conserva tal clave. Solo el usuario (o un contacto de recuperación nominado) puede descifrar sus datos. Si las autoridades sirven a Apple con una orden de dirigir a la cuenta de un usuario de ADP, Apple puede responder honestamente que carece de la capacidad técnica para ejecutar la orden.
Cómo hacer y apelar un aviso de capacidad técnica
This is where the TCN comes in. Technical Capability Notices are provided for by section 253 of the Investigatory Powers Act 2016. A TCN does not in itself authorise surveillance, rather it places obligations on a communications operator to provide the capability to provide any assistance required to facilitate the interception of communications, interference with communication devices to obtain communications or data, or the acquisition of communications data, all in either targeted or bulk formas. Un TCN puede requerir “la eliminación de un operador relevante de protección electrónica aplicada por o en nombre de ese operador a cualquier comunicación o datos”.
Para emitir un TCN, el Secretario de Estado debe estar convencido de que es necesario y proporcional exigir al operador que tome las medidas prescritas, haber consultado al operador y tener en cuenta el alcance y el impacto de las obligaciones propuestas. Su evaluación debe ser aprobada por un comisionado judicial. Un operador que recibe un TCN puede pedir que el Secretario de Estado lo revise. La revisión debe incluir una consulta con una comisión judicial y con la Junta Asesora Técnica, un organismo que incluye representantes de la industria de las comunicaciones y de los servicios de inteligencia y policía, y debe ser aprobado por el Comisionado de Poderes de Investigación, actualmente Sir Brian Leveson.
Suponiendo que se han tomado todos estos pasos y se ha confirmado el TCN, el recurso final de Apple es una apelación para el Tribunal de poderes de investigación (IPT).
El procedimiento y la sustancia de la apelación
Hay dos cuestiones clave: la sustancia de la pregunta que debe responder el IPT y el procedimiento por el cual responde. Actualmente se desconoce cómo se hará esto. Nunca ha habido un atractivo público contra un TCN, aunque en teoría, puede haber habido apelaciones secretas.
Comencemos con el procedimiento. La pregunta clave es si la apelación se escuchará en un tribunal abierto, en un tribunal parcialmente abierto o completamente a puerta cerrada. El 10 de marzo de 2025, el aviso de “una solicitud en privado” que se celebrará el 14 de marzo fue incluido en el sitio web del IPT. Inusualmente, no se nombraron fiestas. ¿Por qué una audiencia privada estaría enumerada públicamente, si el público fuera excluido de asistir? Por inferencia, los activistas de la prensa y las libertades civiles supusieron que era el caso de Apple, y que el listado era efectivamente una invitación oblicua a los medios de comunicación para hacer representaciones sobre por qué la apelación debería tratarse en público. Las representaciones fueron hechas y están consideradas por el IPT al momento de escribir. Hasta ahora, no se ha comunicado ninguna determinación sobre si el caso procederá en público o en privado.
¿Qué argumentará el gobierno?
Jugar al defensor del diablo, espero que el gobierno argumenta en contra de las audiencias públicas, sobre la base de que el IPT no debe celebrar audiencias públicas cuando hacerlo comprometería el secreto de los sensibles asuntos de seguridad nacional. En tales casos, el Tribunal solo puede celebrar audiencias públicas en la medida en que existe una pregunta legal abstracta para aclarar. El gobierno argumentará que los hechos en el caso de Apple son altamente sensibles, que involucran no solo poderes de investigación secretos sino también relaciones diplomáticas con los Estados Unidos. También pueden argumentar que el poder de hacer un TCN está claramente establecido en la legislación y el código de práctica que acompaña. Los detalles de tal evaluación de proporcionalidad dependen de los hechos y, por lo tanto, son una cuestión de seguridad nacional que se argumentará solo en audiencias cerradas. La razón por la que los medios están interesados es que los hechos son dramáticos y estaban sujetos a una fuga no autorizada a la prensa.
Razones importantes para escuchar el caso en público
Hay razones abrumadoramente importantes por las que las audiencias sobre la ley deben celebrarse en público. Según la información filtrada al Washington Postel TCN requiere que Apple, de alguna forma o forma, elimine selectivamente el cifrado. Desde una perspectiva técnica, es imposible entender cómo tal movimiento no hace que todo el sistema ADP sea vulnerable a los actores maliciosos. La creación de una instalación para las autoridades del Reino Unido para acceder a algunos datos cifrados hace que los datos cifrados de todos no sean seguros y establezca un precedente peligroso. El Reino Unido puede tener un sistema legal compatible con los derechos humanos, pero ¿otros estados, ¿quién ahora pedirá el mismo nivel de acceso? ¿Y por qué la ley importa cuando las debilidades técnicas insertadas en el sistema se aplicarán por igual en cada jurisdicción? Estas preguntas van al corazón de cómo se debe evaluar la proporcionalidad en el caso. Por lo tanto, la ley debe aclararse antes de aplicarse.
¿Es proporcional la orden de la oficina en casa contra Apple?
Pasando a la sustancia, la pregunta se convierte en si ordenar a Apple que comprometa la integridad del sistema ADP es proporcional a satisfacer las necesidades de seguridad nacional y la prevención o detección de delitos graves. El gobierno probablemente argumentará que el TCN simplemente requiere que Apple facilite la ejecución de órdenes legales que están en sí mismas sujetas a una cuidadosa necesidad y controles de proporcionalidad. En teoría, esto asegura que tales poderes solo se puedan usar juiciosamente de manera limitada y específica.
Los abogados del gobierno también pueden señalar que la protección de datos estándar todavía se aplica, y eso es suficiente para proteger a la gran mayoría de los datos de los usuarios. En efecto, la posición del gobierno es que los proveedores de servicios comerciales no tienen derecho a proporcionar a los clientes un cifrado perfecto que no se pueda deshabilitar cuando sea absolutamente necesario. Si se revoca el TCN, los objetivos legítimos de la vigilancia estatal, incluidos terroristas y abusadores de niños, “se oscurecerán”.
Equilibrio entre privacidad y seguridad nacional
Los gobiernos siempre argumentan que deben tener acceso a las comunicaciones. Sin embargo, aunque no hay duda de que los actores maliciosos y los agentes extranjeros confían en el cifrado, también lo hacen millones de personas inocentes, incluidos abogados, periodistas, empresas y cualquier persona que tenga el deber de cuidar los secretos de otras personas. ¿Cómo se debe evaluar ese saldo? No es solo Apple la que necesita saber la respuesta. Como señalé en un artículo de 2019, un TCN en teoría podría ordenar a los proveedores de comunicación para otorgar a las autoridades del Reino Unido los medios en secreto para deshabilitar o modificar el funcionamiento de los protocolos de cifrado aplicados en nombre de los usuarios.
Eso no fue una especulación inactiva: en 2018, dos directores de GCHQ discutieron abiertamente un enfoque que vería plataformas encriptadas como WhatsApp modificar la función de notificaciones en el dispositivo de un objetivo para que un participante de la aplicación de la ley pudiera ser agregado en secreto a un chat aparentemente seguro sin que el objetivo se diga. Todas las transmisiones a través de la aplicación permanecerían encriptadas, pero el contenido sería interceptado. Se desconoce si tal capacidad se había desarrollado realmente, pero me parecía poco probable que los riesgos desproporcionados para todos los usuarios que tales modificaciones de software crearían.
¿Pero es eso correcto? No sabemos cuál es la medida de proporcionalidad en un asunto tan importante. El Tribunal debe aclarar estas preguntas de vital importancia en público.
¿Cuáles son las opciones de IPT?
Espero que el IPT determine en breve si se sienta en público o no considerará la cuestión sustantiva de la proporcionalidad en relación con el TCN de Apple. Suponiendo que el gobierno mantiene una postura de estricto ni conformar ni negar (NCND), hay al menos cuatro resultados amplios posibles:
1. Apple gana: el IPT acuerda escuchar argumentos en tribunales abiertos sobre una base hipotética y determina, como una cuestión de derecho, que la eliminación de cifrado a través de puertas traseras como la reportada en este caso es inherentemente desproporcionada. El público confiaría en que cualquier orden hipotético que debilite los sistemas de cifrado generalmente sería ilegal y que el ADP, si se reactiva en el Reino Unido, es seguro. El cifrado fuerte está efectivamente protegido por la ley.
2. El gobierno gana: el IPT escucha argumentos en tribunales abiertos y determina que requerir que los proveedores de servicios faciliten la eliminación del cifrado en respuesta a las órdenes específicas es, en principio, siempre proporcional. Esto implicaría que el atractivo de Apple fallaría en privado. Los clientes del Reino Unido, y otros en todo el mundo, perderían la confianza en los sistemas de cifrado basados en la nube, porque los TCN podrían emitirse en secreto a otras plataformas, lo que requiere que su cifrado se elimine selectivamente a pedido.
3. Un resultado ambiguo: el IPT escucha argumentos de manera abierta y pública determina cómo se debe evaluar la proporcionalidad de un TCN hipotético, pero lo hace de manera abierta. No es posible inferir cómo se decidirá la evaluación objetiva en privado, con solo Apple y el gobierno presentes para los argumentos de hecho y la determinación.
4. Un resultado completamente secreto: el IPT decide que no se deben tener audiencias abiertas porque no hay puntos de derecho para determinar y el caso no puede discutirse en público sin dañar la seguridad nacional. Realiza la apelación completamente en privado. Permanecemos en la oscuridad en cuanto a cómo se revisa la proporcionalidad y cómo se resuelve el asunto.
A la larga, la opción uno es el mejor y más seguro resultado. Cualquier otra cosa significaría que seguiría una especie de paranoia estructural. Incluso si ADP fuera reactivado para los usuarios del Reino Unido, no sabríamos con certeza si tiene integridad porque Apple ganó en privado, o si el TCN se implementó a través de una puerta trasera secreta según lo previsto y ahora hay una versión poco confiable de ADP.
Con el tiempo, la erosión de la confianza en los servicios encriptados y el riesgo potencial de vulnerabilidades sistémicas sería corrosiva para la confianza pública y en el Reino Unido como una sociedad libre y abierta, particularmente porque la política toma un giro cada vez más autoritario y antidemocrático. Los ojos del mundo están en lo que este cuerpo judicial secreto y único hace a continuación.
Bernard Keenan es profesor de derecho en UCL. Su investigación se centra en la vigilancia, los derechos humanos y el poder estatal junto con el desarrollo de la tecnología digital