En un evento celebrado durante la batalla entre Apple y el FBI sobre el desbloqueo del iPhone de un terrorista de San Bernardino, el CEO de Apple, Tim Cook, prometió: "No rehuiremos nuestra responsabilidad" de proteger los datos de clientes, incluso ante las extralimitaciones gubernamentales.

Pero el próximo paso obvio para la empresa podría resultar difícil de dar sin perjudicar a sus clientes.

Apple es capaz de acceder al contenido de los datos alojados en su servicio de almacenamiento de datos en la nube, iCloud. Esta capacidad no concuerda con las afirmaciones de Cook de que no quiere que su empresa sea capaz de acceder a los datos de sus clientes, como sus mensajes móviles.

La compañía no ha negado los informes que afirman que ya trabaja para cambiar justo esto, y se espera que la empresa haga mención de su tecnología de seguridad en su Conferencia Global para Desarrolladores la próxima semana, al igual que hizo en el evento de iPhone celebrado en marzo.

Pero rediseñar el servicio iCloud para que sólo un cliente pueda acceder a sus datos aumentaría el riesgo de que la gente pierda para siempre el acceso a sus fotos y mensajes al olvidarse de su contraseña. Apple no podría reestablecer las contraseñas de sus clientes para ayudarlos.

Crédito: Andrea Chronopoulos.

"Es una elección muy difícil para una empresa que afirma que sus productos 'simplemente funcionan'", dice el principal tecnólogo de la Unión para las Libertades Civiles de Estados Unidos (ACLU, por sus siglas en inglés), Chris Soghoian, en referencia a una de las citas más recurrentes del fundador de Apple, Steve Jobs.

Cook se ha jactado de cómo la encriptación incorporada en los iPhones y el sistema iMessage de Apple protege la seguridad de las personas al garantizar que sólo ellas puedan acceder a sus datos. El director del FBI, James Comey, se ha quejado de lo mismo.

Pero el diseño de iCloud implica que Apple puede leer gran parte de los datos de sus clientes, y podría ayudar a los gobiernos a hacerlo también. El servicio iCloud está habilitado por defecto en los dispositivos Apple (aunque se puede deshabilitar), y guarda copias de seguridad automáticamente de los mensajes, las fotos y más contenidos en los servidores de la empresa. Allí los datos están protegidos con encriptación, de la que Apple tiene la clave. El enfrentamiento entre la empresa  y el FBI sólo se produjo porque las copias de seguridad que Apple entregó a la agencia de seguridad procedentes del iPhone del tirador de San Bernardino (EEUU) Syed Farook acabaron seis semanas antes del tiroteo, porque él las había deshabilitado.

Apple podría impedir el acceso a los datos de iCloud por parte de las fuerzas del orden y de la propia empresa al encriptar las copias de seguridad de iCloud de cada usuario con una contraseña que sólo el usuario controle, tal vez la misma que desbloquea su iPhone.

La empresa no ha negado informaciones del Financial Times y el Wall Street Journal que afirman que trabaja en un diseño así. Las contraseñas y datos de tarjeta bancaria almacenados mediante una prestación de iCloud llamada Keychain (Llavero) ya están protegidos de esta manera. Pero adoptar este enfoque impediría a Apple poder restablecer la contraseña de un usuario cuando se le haya olvidado. Los datos en efecto se habrían desvanecido para siempre.

Probablemente a Apple le resulte poco práctico adoptar ese enfoque para los datos de todos sus usuarios, como ya hizo con las protecciones de seguridad integradas en los iPhone, según el director de Estrategia de Silent Circle, Vic Hyder, que ofrece servicios seguros de mensajería, llamadas e intercambio de datos para corporaciones (ver TR10: 'Smartphones' ultraprivados).

"Coloca el control en manos del cliente, pero también la responsabilidad. Esto probablemente será una opción, pero no la configuración que se aplique por defecto", afirma Hyder.

Soghoian de la ACLU se muestra de acuerdo. El experto afirma: "Creo que probablemente lo ofrecerán como una opción, pero intentarán no dar demasiada visibilidad a esa prestación", dice. "Hay más gente que olvida sus contraseñas que personas investigadas por el FBI", añade.

El profesor adjunto del Escuela Politécnica Federal en Lausana (Suiza), Bryan Ford, cree que Apple podría tomar medidas para reducir el riesgo de pérdidas accidentales de datos.

La prestación de cifrado de discos FileVault para ordenadores de la empresa ofrece la opción de imprimir una clave de recuperación. Se podría emplear un mecanismo similar para la encriptación de iCloud, según Ford.

Apple también podría desplegar otras medidas para protegerse. Por ejemplo, la gente podría tener la opción de distribuir copias adicionales de llaves de encriptación a personas de confianza, quienes podrían ayudar a recuperar los datos en caso de extraviarse la contraseña original. Para impedir que ninguna de ellas abuse de este proceso, se podría requerir que se coordinen, por ejemplo tres o cuatro de ellas, para desbloquear los datos.

La criptografía necesaria para tal diseño ya está bien estudiada, afirma Ford, quien diseñó recientemente un sistema similar pero más complejo para ayudar a empresas como Apple impedir que sus actualizaciones de software sean pirateadas (ver Miles de testigos repartidos por el mundo protegerían la seguridad de las tecnológicas).

El cofundador y CEO de SpiderOak, Alan Fairless, que ofrece a las empresas un servicio de almacenaje de datos totalmente encriptado, cree que las empresas como Apple algún día pondrán a disposición de los clientes unos servicios de almacenamiento de datos en la nube verdaderamente seguros.

Los servicios de mensajería encriptados hasta hace poco eran complejos y difíciles de utilizar, pero ahora han logrado una amplia adopción gracias a Apple y Whatsapp, señala. Encriptar los datos almacenados presenta un reto mayor, pero Apple ha demostrado estar dispuesta a gastar importantes sumas en las tecnologías de encriptación, por ejemplo al añadir más chips a los iPhones, explica Fairless. Pero también cree que Apple y sus clientes aún no están preparados para que las copias de seguridad de iCloud encriptadas representen la configuración predeterminada. "Llevará un tiempo que las tecnologías de consumo se pongan al día", concluye.