¿Por qué imponer "backdoors" en el cifrado no es una buena idea?

De -

 

¿Por qué imponer "backdoors" en el cifrado no es una buena idea?



Recientemente se ha retomado una creciente presión de gobiernos y otros entes para tener acceso a las comunicaciones y datos cifrados, con fines de “mantener las capacidades de investigación y perseguir a los delincuentes”. Esto se ha convertido en uno de los debates más álgidos en materia de privacidad y seguridad digital. En particular, la reciente medida impuesta por el Reino Unido—que exige a las empresas tecnológicas la creación de "backdoors" en sus sistemas de cifrado—ha encendido las alarmas en la comunidad internacional. La respuesta de Apple, que optó por retirar su función de Protección Avanzada de Datos (ADP) en el territorio británico en lugar de construir una puerta trasera, es el más reciente ejemplo de esta discusión y de los riesgos que esta política puede traer a los usuarios.

El cifrado de extremo a extremo es una herramienta que garantiza que la información transmitida y almacenada sólo pueda ser leída por quienes la envían y la reciben. Esta tecnología impide que terceros, incluidos incluso los propios proveedores de servicios (de mensajería, telefonía, internet), accedan al contenido de mensajes, archivos y otros datos que son compartidos. Sin embargo, gobiernos de distintos países sostienen que el cifrado dificulta la investigación de actividades criminales, desde terrorismo hasta abuso infantil.

En enero de 2025 el gobierno británico emitió una “notificación de capacidad técnica” bajo la Ley de Poderes de Investigación (Investigatory Powers Act o IPA), exigiendo a Apple que facilitara el acceso a las copias de seguridad en iCloud a través de una puerta trasera que permitiera a las autoridades de seguridad acceder a datos cifrados de usuarios incluso fuera del Reino Unido. La naturaleza extraterritorial de esta medida implica que, si se implementara, incluso los datos de usuarios fuera de esa jurisdicción estarían vulnerables, erosionando así la confianza en la seguridad digital en todo el mundo.

Ante la exigencia del gobierno británico, Apple tomó una decisión alineada con antecedentes como el caso de San Bernardino (https://www.theverge.com/2021/4/14/22383957/fbi-san-bernadino-iphone-hack-shooting-investigation). Optaron por desactivar su función de Protección Avanzada de Datos (ADP) en el Reino Unido para los nuevos usuarios, y estableció que los actuales tendrían que desactivarla para seguir utilizando iCloud.ft.com. ADP es una función opcional que ofrece cifrado de extremo a extremo para una amplia gama de datos, garantizando que ni siquiera Apple pueda acceder a ellos. Al eliminar esta función en el territorio británico, la empresa ha evitado la creación de una puerta trasera que, según ellos, pondría en riesgo la seguridad y la privacidad de todos los usuarios.

En un comunicado, Apple expresó:

"Estamos profundamente decepcionados de que la protección proporcionad por ADP no esté disponible para nuestros clientes en el Reino Unido, dado el continuo aumento de las violaciones de datos y otras amenazas a la privacidad"

Apple ha reiterado que jamás construirá una llave maestra o puerta trasera en sus productos, argumentando que la integridad del cifrado es esencial para proteger a sus usuarios contra ciberdelincuentes, espionaje y otros riesgos. Este firme compromiso se remonta a la disputa del caso de San Bernardino en 2016 con el FBI, cuando se negaron a desbloquear el iPhone de un sospechoso de terrorismo, priorizando siempre la privacidad del usuario theguardian.com.

La idea de crear una puerta trasera en el cifrado, a pesar de estar pensada para facilitar la investigación de delitos, tiene implicaciones mucho más amplias y peligrosas. Cualquier debilidad intencionada en el sistema—por muy bien intencionada que sea—puede ser explotada por actores maliciosos, desde hackers y cibercriminales hasta regímenes autoritarios. Ya que cuando creas una puerta trasera en realidad estás creando una “vulnerabilidad controlada”, pero el control de esa vulnerabilidad, aunque nazca solo en manos de una institución que la usará para hacer cumplir la ley, es muy difícil, si no imposible, que no caiga en manos de alguien que lo utilice para romperla.

Esta preocupación es compartida por numerosos defensores de la privacidad y organizaciones como la Electronic Frontier Foundation, manifestando que el debilitamiento del cifrado no solo afecta a los delincuentes, sino que expone a todos los ciudadanos a riesgos de espionaje, robo de identidad y fraudes.

Esta medida tomada por el Reino Unido ya sentó un precedente que ha motivado a otros gobiernos como Suecia (https://therecord.media/sweden-seeks-backdoor-access-to-messaging-apps ) y Francia (https://www.laquadrature.net/en/warondrugslaw/ ) a imponer requisitos similares. Si un país logra forzar la creación de backdoors, es muy probable que otros sigan su ejemplo. Esto no solo erosionaría el derecho a la privacidad en los países afectados, sino que también alteraría el equilibrio entre seguridad nacional y derechos individuales en el ámbito global.

Por todo esto, imponer backdoors en el cifrado, aunque se justifique como una medida para combatir actividades delictivas, resulta en una peligrosa erosión de la seguridad y privacidad, tanto en los medios digitales, como en todas las actividades del mundo físico que hacemos dependiendo de ellos. Esto debilita la confianza de los usuarios y abre la puerta a potenciales ataques de actores malintencionados.

Meredith Whittaker, presidenta de la Signal Foundation, creadores de uno de los servicios de mensajería enfocada en privacidad más respetados del mundo ha mencionado que “No existe una puerta trasera segura" Calificado las propuestas legislativas al respecto como ejemplos de "pensamiento mágico", en las que se cree que se puede equilibrar el acceso gubernamental con la protección de la privacidad, sin entender las implicaciones técnicas reales.

Apple, al retirar la función de Protección Avanzada de Datos en el Reino Unido, envía un mensaje que esperemos sea replicado por otros desarrolladores de tecnología: la privacidad de sus usuarios no debe ser opcional, no debemos sacrificar la integridad de los sistemas de cifrado para cumplir con demandas que, a largo plazo, comprometerían la seguridad global.

Por otro lado, este enfrentamiento también resalta la urgencia de buscar soluciones que permitan a las autoridades cumplir con sus objetivos de seguridad sin poner en riesgo los derechos fundamentales de la ciudadanía. Las decisiones que se tomen al respecto tendrán repercusiones profundas para el futuro de la seguridad y privacidad a nivel mundial. Mientras que algunos argumentan que el acceso a la información es vital para la seguridad nacional, otros sostenemos que la creación de vulnerabilidades deliberadas en los sistemas de cifrado abre la puerta a abusos tanto estatales como de actores externos.

Este equilibrio se ha buscado de distintas maneras, por ejemplo, hay quien ha propuesto la creación de un sistema “muy restringido” mediante el cual únicamente con una orden judicial, que haya pasado por un escrutinio riguroso y con la intervención de un organismo independiente de supervisión, se permita a las autoridades acceder a datos cifrados de forma puntual, limitada y con trazabilidad. Esto significaría que, en casos concretos y debidamente justificados, se pudiera desbloquear el acceso a información específica. Pero ¿cómo hacer esto sin comprometer la fortaleza del cifrado para todos los usuarios? ¿Quién sería un ente “imparcial” que pueda llevar la supervisión y control de esas acciones? Sabemos que a nivel mundial existen gobiernos completos que a ojos de otros gobiernos sus acciones son criminales y terroristas.

Otros han propuesto esquemas y servicios de mensajería que establezcan abiertamente a qué gobiernos o entidades les conferirían capacidades de supervisión o apertura de cifrado, incluso usando certificados con un tiempo de caducidad. Así “por lo menos podrías elegir que tipo de ente podría acceder a tu información”.  Pero ¿Por cuánto tiempo?,¿Todo aquel en quien confiabas hace 5 años sigue siendo de confianza para ti?. Además que esto llevaría a segmentaciones mucho más fuertes en los ecosistemas conectados, lo que parece incompatible con actual estado de comunicación global.

No es una solución sencilla, por lo tanto requiere de análisis e implementaciones profundas, tanto a nivel técnico como político, una solución apresurada puede traer consecuencias graves para la privacidad y seguridad, así que hacerlo en este momento me parece que puede no ser la mejor idea.

 

 

 

Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

¿Cómo saber si mi certificación ISO 27001 es legítima?

De -
Imagen
Ante el crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, en ocasiones existen dudas sobre cómo validar la legitimidad y vigencia de un certificado. Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, hay que señalar que la forma correcta es ISO/IEC 27001 y su nombre es “Sistema de Gestión de Seguridad de la Información – Requisitos” y su versión vigente es la 2013. La norma ISO 27000, propiamente ISO/IEC 27000, es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc, que forman parte de esta amplia familia. Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organism...
Leer más