Las compañías de tecnología se están preparando para más ataques al cifrado después de que el gobierno del Reino Unido emitió una orden que requiere que Apple cree una puerta trasera para permitir a los funcionarios de seguridad acceder al contenido cargado en la nube por cualquier usuario de Apple o usuario de la computadora en todo el mundo.
El gobierno ha utilizado poderes bajo las leyes de vigilancia del Reino Unido para emitir una orden secreta que requiere que Apple proporcione al Reino Unido la capacidad de acceder a todo el material cifrado almacenado por cualquier usuario de Apple en sus servidores en la nube en cualquier parte del mundo, reveló el Washington Post.
La medida ejercerá presión sobre Apple para que retire el almacenamiento en la nube cifrado de los usuarios en el Reino Unido, dejando a los consumidores británicos sin la capacidad de almacenar archivos, documentos o información financiera, de una manera que les proporcionará una fuerte protección contra ataques de piratería o infracciones accidentales por la nube Proveedores.
Las personas en la industria de la tecnología le dijeron a Computer Weekly que el Reino Unido ha mostrado antipatía hacia el cifrado y que no sería sorprendente si más compañías de tecnología fueran afectadas con demandas similares de los funcionarios del Reino Unido que buscan la capacidad de acceder a los datos cifrados de los usuarios. WhatsApp y Facebook Messenger son objetivos potenciales.
El Secretario del Interior sirvió a Apple con un aviso de capacidad técnica, en enero, ordenó que le proporcionara al gobierno acceso a la puerta trasera al material almacenado por los usuarios de Apple en su servicio en la nube cifrado, reveló el Washington Post.
El aviso, emitido en virtud de la Ley de poderes de investigación de 2016, lo convierte en un delito penal para una compañía de tecnología revelar la existencia de cualquier aviso de capacidad técnica que se entregue.
La Ley de poderes de investigación otorga poderes al Gobierno para emitir avisos de capacidad técnica para eliminar o modificar la “protección electrónica” aplicada por las compañías tecnológicas a los datos de comunicaciones, según la Sección 253, Parte 5 (c).
Un portavoz del Ministerio del Interior dijo: “No hacemos comentarios sobre asuntos operativos, incluso, por ejemplo, confirmar o negar la existencia de dichos avisos”.
Matthew Hodgson, CEO de Element, una plataforma de comunicación segura utilizada por los gobiernos, dijo que la divulgación de que se había entregado un aviso de capacidad técnica no tenía precedentes.
“Esta es la primera vez que la existencia de un aviso de capacidad técnica bajo la Ley de poderes de investigación parece haber filtrado y representa una escalada aterradora en la lucha para proteger a los usuarios de la vigilancia general”, dijo.
Apple podría verse obligado a eliminar la seguridad en el Reino Unido
En evidencia del parlamento en marzo, abordando los planes del gobierno para extender la Ley de poderes de investigación de 2016, Apple advirtió que los poderes en la Ley eran “extremadamente amplios y representan un riesgo significativo para la vitalidad global de importantes tecnologías de seguridad”.
El cifrado de extremo a extremo fue una de las características de seguridad más importantes disponibles para proteger la información almacenada en la nube, asegurando que solo los usuarios, en lugar de las compañías de almacenamiento en la nube, puedan acceder a sus datos y comunicaciones personales, dijo la compañía.
Proporciona una “capa esencial de seguridad adicional” porque garantiza que los actores maliciosos no puedan obtener acceso a los datos de los usuarios, incluso si pueden violar el centro de datos de un proveedor de servicios en la nube.
La tecnología protege a los ciudadanos de la vigilancia ilegal, el robo de identidad, el fraude y las violaciones de datos y sirve como una protección invaluable para periodistas, activistas de derechos humanos y diplomáticos que pueden ser atacados por actores maliciosos, dijo la compañía.
Apple planteó la preocupación de que la IPA “pretenda” aplicar fuera de los huéspedes del Reino Unido, lo que permite al Reino Unido reclamar el derecho de imponer “requisitos secretos a los proveedores ubicados en otros países y que se aplican a sus usuarios a nivel mundial”.
“Estas disposiciones podrían usarse para obligar a una empresa como Apple, que nunca construiría una puerta trasera en sus productos, para retirar públicamente las características de seguridad críticas del mercado del Reino Unido, privando a los usuarios del Reino Unido de estas protecciones”, escribió.
A las empresas de tecnología les preocupa que proporcionar acceso a la puerta trasera al almacenamiento encriptado haría imposible cumplir con las regulaciones de protección de datos y cumplimiento, incluidos GDPR, presionando más sobre ellos para retirar los servicios del Reino Unido.
Los cinco aliados del Reino Unido han tenido una visión más amplia del cifrado. En un aviso el año pasado, los Estados Unidos, australiano y Nueva Zelanda, recomendaron un uso amplio de cifrado, incluido el cifrado de extremo a extremo, para mitigar las amenazas de China, que se infiltraron en las redes de telecomunicaciones estadounidenses en el ataque de ‘tifón de sal’.
La batalla del Reino Unido contra el cifrado
El Reino Unido, que en particular no agregó su nombre al Asesor de Salt Typhoon, ha luchado contra una batalla de larga data con las compañías tecnológicas sobre el cifrado. El año pasado, la Agencia Nacional del Crimen destacó a Meta para las críticas sobre sus planes para introducir el cifrado de extremo a extremo en sus servicios de Messenger e Instagram de Facebook.
Y en 2024, el gobierno no logró aliviar las preocupaciones de la industria de que la “cláusula de espía” en el proyecto de ley de seguridad en línea, cuyo objetivo es tomar medidas enérgicas contra el abuso infantil y otro contenido dañino en línea, debilitaría fundamentalmente los servicios cifrados de extremo a extremo.
Afirmaciones de un ministro junior de la Cámara de los Lores, que “el gobierno no hay intención de debilitar la tecnología de cifrado utilizada por las plataformas”, hizo poco para tranquilizar a las empresas tecnológicas.
Precedente peligroso
Jurgita Miseviciute, Jefa de Política Pública de Proton, un proveedor de comunicaciones cifrado, dijo que el movimiento contra Apple crearía un precedente peligroso.
“Las puertas traseras al cifrado que solo dejan que los buenos hayan imposibles. Independientemente de la intención, el cifrado comprometido crea vulnerabilidades que seguramente serán explotadas no solo por las autoridades más allá del Reino Unido, sino también por actores maliciosos “, dijo.
“Eliminar el acceso al cifrado de extremo a extremo en el Reino Unido para los archivos de las personas sería un gran paso atrás que crearía un sistema de dos niveles, Erode Trust y expone a los usuarios británicos a la vigilancia y las amenazas cibernéticas”, agregó.
Matthew Hodgson, CEO de Element, dijo que el compromiso de la red de telecomunicaciones de los EE. UU. By Salt Typhoon mostró que las puertas posteriores de vigilancia eran una “idea catastróficamente defectuosa”.
“Apple debería retirarse del Reino Unido en lugar de cumplir con esta orden, y dejar en claro que convertirse en cómplice en un estado de vigilancia es una línea que no cruzarán”, dijo.
Robin Wilton, director senior de la Sociedad de Internet, una organización global sin fines de lucro, dijo que fue “más que decepcionante” que el gobierno del Reino Unido estuviera utilizando la Ley de poderes de investigación para romper el cifrado de extremo a extremo para el servicio en la nube de Apple.
“Es sorprendente que solo unos días después de que la Oficina de Auditoría Nacional del Reino Unido haya publicado un informe de que la” amenaza cibernética para el gobierno del Reino Unido es severa “, el gobierno del Reino Unido lanzaría un intento de debilitar la seguridad y la privacidad de un servicio que sus ciudadanos, incluidos Los empleados del gobierno confían en los que confían ”, agregó.