Debilitar el cifrado no refuerza la seguridad

Al parecer, el Ministerio del Interior del Reino Unido ha dado a Apple una orden secreta por la que se exige a la empresa que inutilice su oferta de almacenamiento de datos cifrados más potente para permitir a las fuerzas de seguridad del país acceder a las copias de seguridad de los datos de los usuarios durante las investigaciones. La orden, emitida el mes pasado, afectaría a los clientes de Apple no sólo en el Reino Unido, sino en todo el mundo, y sentaría un peligroso precedente que otros países podrían utilizar para justificar exigencias similares.

La orden, de la que informa The Washington Post, supone un importante desafío para el acceso de los consumidores a una encriptación fuerte y es el último capítulo de una larga y sórdida historia de resistencia de los gobiernos a la encriptación de los datos en reposo y en tránsito. Dependiendo de lo imprecisas que se quieran ser con las definiciones y de lo atrás que se busque, se pueden encontrar docenas de ejemplos de este tipo de comportamiento en las últimas décadas por parte de gobiernos de todo el mundo, incluidas democracias como el Reino Unido y Estados Unidos. La mayoría de esos ejemplos tienen que ver con los esfuerzos por poner en peligro el cifrado de los datos en tránsito, como las puertas traseras en los servicios de mensajería segura o la absurda propuesta del chip Clipper.

Pero la orden del Reino Unido se refiere a los datos en reposo, concretamente a los datos almacenados por los usuarios de Apple en sus copias de seguridad de iCloud. Y aún más concretamente, los datos almacenados por los usuarios que han activado la Protección Avanzada de Datos, el servicio de copia de seguridad cifrada de alto nivel de Apple, una opción que permite a los usuarios tomar el control de sus propias copias de seguridad y garantiza que sólo ellos, y no Apple, tienen posesión de las claves para descifrar esas copias de seguridad. Esta opción anula uno de los principales métodos que utilizan las fuerzas de seguridad para acceder a los datos del iPhone de los usuarios: una orden de registro de la copia de seguridad de iCloud. El servicio ADP no está disponible en todos los países, pero sí en el Reino Unido y Estados Unidos, entre muchos otros.

La orden obligaría a Apple a crear un método para que las fuerzas del orden pudieran acceder a esas copias de seguridad -lo que anularía por completo el propósito del servicio- o... ¿qué? ¿Dejar de hacer negocios en el Reino Unido? Esto último es lo más probable, pero no aborda el problema principal, que son los continuos esfuerzos de los gobiernos por debilitar o desactivar el cifrado y los servicios cifrados. Estos esfuerzos son contraproducentes en el mejor de los casos y activamente perjudiciales en el peor.

Sobre las posibles repercusiones de esta orden, Thorin Klosowski, de la Electronic Frontier Foundation, escribió: "No hay compromiso tecnológico entre una encriptación fuerte que proteja los datos y un mecanismo que permita al gobierno un acceso especial a estos datos. Cualquier "puerta trasera" construida para el gobierno pone a todo el mundo en mayor riesgo de piratería, robo de identidad y fraude. No existe un mundo en el que, una vez construidas, estas puertas traseras sólo sean utilizadas por gobiernos abiertos y democráticos. Estos sistemas pueden ser, y rápidamente serán, utilizados por los gobiernos más represivos de todo el mundo para leer las comunicaciones de manifestantes y disidentes."

La encriptación moderna es un milagro. Ir a leer El Libro del Código o cualquier cosa que Matthew Green ha escrito si usted necesita algunos antecedentes. El hecho de que algo de esto funcione es increíble. Unas matemáticas increíblemente espeluznantes son esencialmente la base de la seguridad de la Internet moderna. Se ha tardado casi cien años en llegar a este punto, y podría deshacerse en el espacio de unos pocos días. Los criptógrafos e informáticos llevan décadas advirtiendo de los peligros de estas ideas, y los ingenieros de seguridad han trabajado diligentemente para desarrollar criptosistemas y productos resistentes y defendibles. Estos sistemas son la base de nuestras plataformas bancarias, de comercio electrónico y de comunicaciones.

Y, sin embargo, los esfuerzos por obstaculizar estos sistemas no cesan. No existe ningún escenario en el que el debilitamiento de la encriptación conduzca al fortalecimiento de un país.