El cierre en falso de la batalla legal FBI-Apple por el iPhone de San Bernardino
El fin de este enfrentamiento judicial, una vez que el gobierno de EEUU ha conseguido entrar en los datos del iPhone de un asesino sin ayuda de la compañía, abre nuevas dudas en la guerra seguridad-privacidad.
30 marzo, 2016 00:56Noticias relacionadas
- Apple y las dos caras del cifrado
- El FBI logra entrar en el iPhone de San Bernardino, pero el dilema legal sobre el cifrado sigue abierto
- La ayuda que el FBI necesita para desbloquear iPhones viene de Israel
- El FBI dice ahora que no necesita ayuda de Apple para desbloquear iPhones
- Tim Cook: "Tenemos una responsabilidad con los datos y la privacidad que no vamos a eludir"
- Lo que está en juego en el pulso entre Apple y el FBI
La batalla legal entre el Departamento de Justicia de EEUU y Apple por el acceso a los datos de un iPhone ha supuesto, en realidad, un capítulo más en una guerra que se viene recrudeciendo desde hace años: la búsqueda de un equilibrio entre la privacidad digital de los ciudadanos y la seguridad pública frente a fenómenos como el terrorismo.
Con el anuncio de que el FBI ha podido desbloquear sin ayuda de Apple el iPhone de uno de los autores de la masacre de San Bernardino, se cierra el caso judicial abierto contra la compañía para obligarla a prestar asistencia al FBI, pero se abre un interrogante clave: ¿Qué va a hacer el gobierno con la información sobre cómo se crackea el teléfono?
El planteamiento es el siguiente: si el Departamento de Justicia o el FBI desvela cómo ha accedido al iPhone, Apple trabajará enseguida para cerrar lo que considerará un "agujero de seguridad"; ello complicará futuros intentos de desbloquear teléfonos y, muy probablemente, terminará enfrentándose a una nueva acción judicial similar a la que se ha cerrado ahora. En caso contrario, si la técnica de entrada a los datos del teléfono permanece en secreto, quedaría en evidencia que el dispositivo es vulnerable y se pondría en entredicho la seguridad de los productos de la compañía, una de las más importantes de EEUU.
"En principio, y de acuerdo con el Vulnerabilities Equities Process, las agencias implicadas deberían ponderar los riesgos de la vulnerabilidad detectada para tomar una decisión", comenta a EL ESPAÑOL Sergio Carrasco, ingeniero, informático y abogado especializado en nuevas tecnologías. "Ya en 2013, un panel de expertos en seguridad reunidos por la Casa Blanca recomendaba hacer públicas las vulnerabilidades para que los desarrolladores las solventaran, sobre todo por los riesgos que suponen para usuarios legítimos que cuentan con expectativas de seguridad del sistema", recuerda este experto. Este argumento es el que enarbolan organizaciones como Electronic Frontier Foundation para que se haga pública la técnica usada para entrar en el smartphone.
Además, este abogado recuerda que "para que los datos obtenidos en el proceso fueran válidos -aunque aún no se sabe si se ha obtenido información útil más allá de la que ya se obtuvo en la cuenta de iCloud del asesino-, dicho método deberá ser presentado al juez, con lo que difícilmente podrán alegar que un tercero ha accedido pero desconocen el método utilizado". "Un argumento de este tipo supondría que la prueba fuera invalidada por no presentar las suficientes garantías ni permitir la defensa adecuada del acusado", apunta.
Por su parte, Yago Jesús, experto en seguridad informática del sitio especializado Security by Default, recordó a este diario que, desde su punto de vista, el descubrimiento y la explotación de una vulnerabilidad que permita acceder al contenido del iPhone "no supone ninguna novedad". "Desde hace mucho tiempo existe un mercado privado de vulnerabilidades cuyo principal -y a veces único- cliente son organizaciones gubernamentales". En estos mercados se pueden compran exploits para todo tipo de plataformas (Windows, Mac, Linux ...) o software, añade este especialista. "Es un mercado que mueve mucho dinero, y sirva como ejemplo la compañía VUPEN -de la que WikiLeaks tiene información- o Zerodium", apunta.
"El sistema de bloqueo del iPhone ha sido anteriormente bypaseado (rodeado) de muchas y diversas formas", recuerda Jesús, que añade: "No es descabellado pensar que existan más vulnerabilidades que no se hayan hecho públicas y que circulen en mercados privados".
En cualquier caso, Carrasco cree que "se trata de una vulnerabilidad importante y, tan pronto como se ha hecho público el acceso, Apple habrá iniciado un estudio profundo sobre las posibles vías de acceso antes de que se haga público el método concreto utilizado". "Es algo que daña su imagen como fabricante de dispositivos seguros y su respuesta será, seguro, lo más rápida posible", añade.
Consecuencias imprevistas
Yago Jesús cree que "es muy probablemente ese método para desbloquear el teléfono de Apple terminará conociéndose y, por tanto, acabará solucionado (o parcheado)", más que nada debido a la "presión mediática". "Apple no puede permitir que las cosas queden así ya que su imagen queda seriamente dañada", asegura este experto, que puntualiza: "Probablemente se descubra en una investigación paralela o por un tercero independiente, no directamente por el FBI".
Mientras, Sergio Carrasco afirma que es importante saber si el acceso finalmente ha sido posible a través de la contratación de un tercero privado por parte del FBI, en este caso, la empresa israelí Cellebrite. "Si esto es así, nada va a impedir a otros países acudir a sus servicios para conseguir acceder a este tipo de dispositivos y, recordemos, no todos los países respetan los Derechos Humanos ni cuentan con legislaciones adecuadas", apunta este expeto, que señala: "Al final, es un método que podrá ser utilizado por cualquiera que contrate sus servicios y no sólo por los buenos en este caso tan controlado y específico".
En resumen, es prácticamente seguro que la técnica utilizada para saltarse el bloqueo del dispositivo termine, de una forma u otra, en manos de Apple, que en cualqier caso ya ha anunciado en varias ocasiones que trabaja para implementar nuevos y más eficaces sistemas de protección en sus futuros dispositivos.
El cierre de este caso, por tanto, sólo el problema a futuros litigios que, sin duda, se producirán tarde o temprano.
Tira y afloja
El origen de esta batalla tiene lugar en la investigación de la masacre de San Bernardino (California), un tiroteo en el que 14 personas murieron y otras 22 resultaron heridas el pasado 2 de diciembre. El FBI solicitó ayuda a Apple para acceder al teléfono -un iPhone 5c- de Syed Rizwan Farook, uno de los asesinos. Los investigadores consideraban fundamental acceder a cualquier dato relacionado con el tirador, considerado terrorista.
Apple alegó que no existía una forma de saltarse el sistema de autoborrado del teléfono, una medida de seguridad adicional para los datos del usuario del dispositivo que se activa después de 10 intentos fallidos consecutivos de entrar al smartphone mediante el código secreto.
Ante la falta de colaboración de la compañía, el Departamento de Justicia acudió a los tribunales amparándose en la llamada All Writs Act, una normativa del siglo XVIII. La jueza Sheri Pym del Tribunal de Distrito en Los Ángeles ordenó que la compañía proporcionara "asistencia técnica razonable" para que los investigadores pudieran desbloquear esos datos, algo a lo que la compañía también se negó. El propio director ejecutivo de la compañía, Tim Cook, aseguraba en una carta abierta a sus clientes: "El Gobierno de EEUU nos ha pedido algo que simplemente no tenemos, algo cuya creación consideramos demasiado peligroso […] Nos han pedido construir una puerta trasera para el iPhone".
Una puerta trasera, en este contexto, es un código diseñado para "rodear" la seguridad de un sistema. Apple alertó que, una vez creada, "la técnica podría ser utilizada una y otra vez, en cualquier dispositivo", como una llave maestra. Estaba en juego la seguridad de sus clientes, pero también estaba en juego algo más: su imagen como compañía fabricante de dispositivos seguros. Enseguida muchas de las grandes tecnológicas comenzaron a mostrar su apoyo a Apple en su pulso con el gobierno: si el éste tenía éxito, nada podría impedir una acción similar contra cualquiera de ellas.
La semana pasada, el Departamento de Justicia anunciaba que estaba trabajando con "un tercero" -algunas fuentes aseguran que se trata de Cellebrite- para tratar de desbloquear el teléfono sin necesidad de asistencia de la compañía de la manzana, por lo que solicitó un retraso en la audiencia judicial en un tribunal federal prevista para tratar de este asunto.
Al final, este mismo lunes el gobierno de EEUU anunció que ya había podido acceder al dispositivo por su cuenta, por lo que solicitó al juez que anulara la orden que obligaba a Apple a ayudar al FBI. Ello ha puesto fin a esta demanda en concreto, pero el enfrentamiento entre quienes defienden la seguridad pública y los que abogan por priorizar la privacidad no ha hecho más que aumentar. Y conviene recordar que, según el fiscal de Manhattan Cyrus Vance -muy crítico con el sistema de bloqueo del iPhone-, sólo en en su oficia hay 175 iPhones bloqueados por cifrado y esperando una resolución.
El propio Departamento de Justicia ha indicado que seguirá buscando maneras y nuevas vías para obtención de información, incluso a través de los tribunales, cuando sea necesario. Según la portavoz Melanie Newman, "sigue siendo una prioridad para el gobierno asegurar que la policía pueda obtener la información digital crucial para proteger la seguridad nacional y la seguridad pública, ya sea con la cooperación de las partes interesadas o bien a través del sistema judicial, si fracasa la cooperación". Por si quedaba alguna duda.