EL HACK DE APPLE: UN PROBLEMA DISEÑADO PARA PROTEGERNOS

Apple security

EL HACK DE APPLE: UN PROBLEMA DISEÑADO PARA PROTEGERNOS

El FBI se las arregló para ordenar a Apple a cooperar rompiendo su propia seguridad, pero cuando surja el próximo caso, y lo hará, si la compañía se niega a ayudar, el resultado tendrá implicaciones de largo alcance.

Independientemente del hecho de que el FBI se haya salido con la suya ordenando a Apple a que ayude al FBI a descifrar la contraseña de un iPhone utilizado por un sospechoso de asesinato en San Bernardino, el problema central no se resolvió y hay algunas razones convincentes por las que Apple, y otros que se encuentran en una situación similar, deberían simplemente decir no a tales órdenes.

El corazón del problema es este: el problema no es sobre este teléfono en esta situación. Lo que podría haber sucedido si Apple hubiera cumplido podría haber afectado a todos los teléfonos (y a todos los dispositivos) en cada situación.

Las empresas como Apple toman en serio la seguridad. Han tenido que hacerlo por muchas razones. La nueva realidad es que los dispositivos móviles como teléfonos, computadoras portátiles y tabletas ya no son solo personales. Son nuestra libreta de direcciones, nuestro calendario, nuestro diario, nuestra herramienta de correo electrónico, todo en uno. Al mismo tiempo, también se han convertido en dispositivos comerciales.

Con el aumento de las políticas de “traiga su dispositivo propio” – BYOD (Bring Your Own Device) y las soluciones de gestión de dispositivos móviles – MDM (Mobile Device Management), las empresas dicen: “Está bien utilizar su propio dispositivo para transmitir, abrir y trabajar en documentos de la empresa que a veces son delicados, siempre y cuando éstos sean seguros “, según lo dispuesto por legislaciones como HIIPA y Sarbanes-Oxley. Las empresas hacen esto porque confían en las características de seguridad inherentes en su dispositivo y, gracias a los cambios realizados por Apple en su software después del incidente de Snowden, los datos en sus dispositivos solo se consideraban accesibles para alguien que tiene el código de acceso del dispositivo. Apple diseñó específicamente su seguridad, por lo que ni siquiera ellos podían descifrarla.

El FBI quería que Apple creara un iOS personalizado que, en esencia, eliminaría o anularía estas salvaguardas.

En un nivel, puede parecer razonable, incluso justificado, que el gobierno haga esta solicitud legal de interceptación ya que es para seguridad pública. El problema es la pendiente resbaladiza que crea. Este caso puede haber sido relativamente claro, pero ¿qué pasa la próxima vez, y las próximas? ¿Qué pasa si el código personalizado se ha creado y luego se pone en las manos equivocadas? El problema más importante aquí es el hecho de que, una vez creado, esta solución de código de acceso puede ser impuesta una y otra vez. Pocos esperan que sea la última vez que se llame a Celllebrite para acceder a los datos de un iPhone, y no solo por parte del FBI.

La solicitud creó un poderoso precedente sobre el derecho del gobierno a invadir la privacidad de sus ciudadanos y el derecho de las compañías a crear software seguro. No es difícil prever un momento en el futuro cercano en el que las autoridades podrían obligar a las empresas de tecnología como Apple a implementar software por el aire – OTA (Over The Air) que compartiría la ubicación, el audio y el video de los dispositivos de sus clientes. La legislación ya está despertando en los Estados Unidos y el Reino Unido sobre la privacidad de los datos, y está causando que algunas empresas consideren cosas como la ventaja jurisdiccional como parte de sus estrategias comerciales centrales. Más legislación no es necesariamente la respuesta, ya que la sociedad en su conjunto quiere que la información sea más segura.

Las implicaciones son de gran alcance. Tener una puerta trasera construida o dejar la “llave debajo del tapete” socava las empresas y la seguridad de las transacciones, ya sean comerciales o personales. Afecta a casi todos los tipos de negocios en todas las economías occidentales. Y también significa que los gobiernos claramente no están viendo la importancia de la seguridad personal, y eso tiene un impacto significativo para las empresas y la sociedad.

Entonces, ¿qué significa este caso para el futuro de los datos y su seguridad? Si Apple u otra organización se ve obligada a proporcionar una puerta trasera, las empresas se verán obligadas a rediseñar versiones futuras de sus productos, haciéndolos menos seguros. Apple ya se ha movido en la otra dirección con la introducción de Secure Enclave en dispositivos A7. Secure Enclave aísla las protecciones de seguridad del iOS, por lo que es aún más difícil acceder a los datos cifrados o implementar ataques de fuerza bruta, pero, aun así, no es imposible. Nada de lo que se discutió en este caso habría protegido al periodista que habló sobre su propia sensación de violación cuando su correo electrónico fue hackeado al usar Wi-Fi gratis en un avión recientemente.
La industria estaba observando de cerca el caso de Apple debido al precedente que se esperaba establecer en varios frentes. El sentimiento general era que, si esto le puede suceder a Apple, le puede suceder a cualquier compañía. Es una delgada línea entre proteger la seguridad física de las personas y comprometer su seguridad personal. Apple estaba haciendo esto por todos nosotros, asumiendo que nuestros datos privados deberían seguir siendo así: privados.

Resultó que este no era el caso que creó el precedente que esperábamos, pero llegará, cuando una empresa diga no a puertas traseras, y no puede ser hackeada, pero que el gobierno esté obligado por ley a cooperar, y las ramificaciones de tal caso se sentirá en los próximos años.

Por Chris Peel, Vice Presidente de Ingeniería, Echoworx

Este artículo apareció originalmente en SC Magazine