A la luz de la respuesta de Apple a la solicitud del FBI para acceder al iPhone del tirador de San Bernardino Syed Farook, pensé en compartir algunas de mis ideas al respecto. Parece que hay cierta confusión en la conexión de esta solicitud del FBI con el debate más amplio del gobierno sobre la provisión de puertas traseras y cifrado.
Permítanme que intente desmenuzar un poco este asunto con la esperanza de despejar parte de esa confusión:
- Apple ha presentado la petición del FBI como una solicitud para instalar una "puerta trasera" en su producto. Esto no es correcto. La petición del FBI es bastante específica y no solicita una clave universal o una puerta trasera para los productos de Apple.
- La solicitud del FBI debe interpretarse como una petición legal a Apple para que ayude a construir una herramienta de recuperación forense para un producto específico con un número de serie único.
- El teléfono en cuestión es un Apple 5C, y el método de acceso solicitado por el FBI es en realidad una explotación de una vulnerabilidad de seguridad en este producto (más antiguo). La vulnerabilidad no existe en la actual generación de iPhones de Apple.
- Es fácil argumentar que el vector de explotación que pide el FBI es una vulnerabilidad de seguridad conocida y que fue parcheada posteriormente por Apple en versiones posteriores del producto. Podría debatirse si la vulnerabilidad de seguridad inicial fue intencionada (en cuyo caso el 5C ya tiene una "puerta trasera") o si fue una omisión que se corrigió posteriormente (es decir, una debilidad de seguridad). Sea como fuere, se trata de un fallo de seguridad que no existe en versiones posteriores del iPhone.
- Como Apple ha declarado anteriormente, colaboran con frecuencia con las fuerzas del orden de todo el mundo para ayudar en casos legales. Han desarrollado numerosas herramientas y plataformas forenses para ayudar a la investigación legal. Esta solicitud actual del FBI está en la línea y el alcance de esas solicitudes.
- Es probable que Apple tema que, al acceder a esta petición -crear un parche personalizado para un teléfono vulnerable-, se abran las puertas a posteriores peticiones de las fuerzas de seguridad para que preste apoyo en investigaciones de iPhones (antiguos) igualmente vulnerables. Dada la naturaleza de la vulnerabilidad, no existe un enfoque de "llave universal", y es probable que cada solicitud legal requiera una implicación sustancial por parte de Apple. No parece que esto vaya a funcionar bien y podría resultar muy costoso.
- La actual generación de iPhones no permite (aparentemente) este vector de ataque, y no se conocen formas de recuperar datos de iPhones utilizando los mecanismos de protección suministrados.
- El debate más amplio sobre si los fabricantes de tecnología deben instalar puertas traseras en sus productos para la investigación legal es una discusión mucho mayor y más exigente, sobre todo por el hecho de que debilitar el cifrado o instalar una puerta trasera en los dispositivos simplemente facilita su explotación por parte de los delincuentes, ya que no hay garantías de que esos "secretos" puedan guardarse y, una vez descubiertos, dejarían al descubierto las "llaves del reino".
- Me preocupa que, dado que Apple ha intentado denegar la solicitud del FBI alegando el uso de "puertas traseras", en caso de perder este argumento legal, las repercusiones podrían ser amplias para todo el sector de la seguridad. Si la denegación se formulara en términos de explotación de una vulnerabilidad (previamente corregida), la perspectiva de una apelación perdida se limitaría enormemente, y los argumentos contra las puertas traseras del gobierno y las claves de las fuerzas de seguridad podrían enumerarse en su contexto correcto, en lugar de incluirse en apelaciones sobre antiterrorismo y un caso específico de un crimen horrible.
De todos modos, el debate es en gran medida discutible. Incluso si se exigiera a los vendedores que instalaran puertas traseras o incluyeran claves recuperables en el cifrado que utilizan, hay un número casi infinito de aplicaciones y complementos de software que el usuario puede instalar para asegurarse de que esas puertas traseras sean irrelevantes. Aunque fuera ilegal que las empresas estadounidenses no proporcionaran claves de puerta trasera en su hardware o software, hay muchos países en todo el mundo con empresas muy dispuestas a suministrar las herramientas complementarias para proteger los datos de consumidores y empresas.