Por Jeremy Cook
En diciembre de 2022, Apple anunció su programa de protección avanzada de datos, lo que aumenta el número de servicios con capacidad de cifrado de extremo a extremo de 14 a 23. Los servicios de datos cifrados ahora incluyen respaldo en iCloud, fotos y notas. El cifrado de datos para correo, contactos y calendario de iCloud no se incluyó como parte de esta implementación, según la necesidad de interactuar con otros sistemas que se habrían considerado incompatibles.
Si bien la seguridad ha estado a la vanguardia de las ofertas de Apple desde antes de 2022, lo que es innovador sobre este anuncio (y controversial en algunos contextos) es que Apple ya no tiene un acceso definitivo a sus datos. Antes, Apple almacenó claves de seguridad y podría cifrar sus datos según sea necesario. Esta política permitió a Apple recuperar datos si por algún motivo perdiera el acceso y entregarlos si lo exigiera la ley. Por otro lado, también permitiría en teoría a un hacker o empleado malicioso acceder a datos cifrados de extremo a extremo para fines nefastos.
Una respuesta a esta amenaza potencial es almacenar claves de cifrado solo en el dispositivo del usuario. Incluso el servicio que maneje estos datos (es decir, Apple) no puede verlos sin la clave. El cifrado de extremo a extremo no es una idea nueva. Sin embargo, como Apple, la empresa de mayor valor del mundo (por capitalización de mercado en el momento de la redacción de este documento), ahora la pone en práctica en mayor detalle, ahora es de conocimiento público.
Los datos son suyos
Si bien existen algunas compensaciones, el hecho de que Apple nunca ha accedido a sus datos significa que son para que usted los vea solamente. Incluso si sus políticas cambiaran con posterioridad o si Apple por algún motivo decidiera que acceder a sus datos fuera necesario en una emergencia, ya no tienen manera de acceder a ellos. Según el contexto, esto podría incluir sus datos de exploración, información que lo identifique como persona, datos de ubicación, fotos, video y cualquier otra cosa que escoja almacenar.
Otra cosa importante es tener en cuenta que el cifrado de datos por sí solo no oculta el origen o el destino de los datos al transferirlos. Las transferencias pueden indicar a Apple o a otras partes interesadas información sobre sus interacciones, pero el contenido mismo está protegido.
Seguridad general de los datos
Si bien los datos cifrados correctamente en teoría están protegidos de ataques, el peligro a través de otros vectores aún es una amenaza. Considere la aplicación Signal, quizás el servicio de mensajería con mayor foco en la privacidad disponible, que anunció en agosto de 2022 que había sufrido un ataque de phishing. La vulneración dio al atacante acceso temporal a la consola de asistencia de Twilio. Twilio proporciona servicios de verificación de número de teléfono para Signal y la vulneración potencialmente afectó a cerca de 1900 cuentas. Si bien el atacante no pudo leer ningún mensaje debido a la estricta configuración de cifrado de Signal, podría haber sido posible volver a registrar una cuenta y suplantar a la víctima.
Puede tener la mejor protección del mundo (tecnología de cifrado), pero si alguien lo engaña para compartir la clave o combinación, aún se puede abrir. Como alternativa, si deja las claves en un lugar vulnerable debido al uso de prácticas de seguridad deficientes, como contraseñas repetidas o débiles, los ataques son mucho más fáciles. Desde el punto de vista del fabricante de un dispositivo, si alguien puede acceder al diseño de la "protección", se puede atacar a la seguridad desde ese ángulo.
Compensaciones prácticas al cifrado de extremo a extremo
Sin considerar motivos morales sobre quién debe acceder a qué cosa, hay una gran compensación práctica al cifrado de extremo a extremo sin descuidos. Si por algún motivo pierde su clave de cifrado, perderá sus datos para siempre. Usted es el responsable final, no Apple ni nadie más.
Dicho eso, para habilitar la protección avanzada de datos, Apple exige que implemente un método de respaldo (un contacto de recuperación o contraseña impresa) que le permita acceder a sus datos si pierde su dispositivo. Sin embargo, ¿qué sucede si no ha actualizado su contacto de recuperación o si perdió la contraseña impresa? O ¿qué sucede si guardó la contraseña en su billetera, que se fue en la lavadora? Ninguna de esas cosas debiera suceder, pero podría pasar si no es cuidadoso.
Seguridad de extremo a extremo a través de la protección avanzada de datos
¿Es el cifrado de extremo a extremo a través de la protección avanzada de datos de Apple u otros medios algo bueno? La capacidad de implementarlo lo es ciertamente. La pregunta es si lo implementa usted mismo (y cómo hacerlo) requerirá especial cuidado. Asegúrese de no perder el código de respaldo y de mantenerse en buenos términos con sus contactos de confianza.
Para agregar seguridad criptográfica a su próximo proyecto de microcontrolador , revise el autenticador DS28E50 y el coprocesador DS2477. Detalles sobre cómo se configura esto se encuentran en este artículo.
Ver Productos relacionados
