Es sabido por muchos el compromiso de Apple con la seguridad. Las actualizaciones que la firma ha traído a España y al resto del mundo en los últimos años así lo prueban, y no falta el día en el que la compañía va un paso más allá. Ahora, hace un triplete integrando 3 nuevas características clave: verificación de contactos en Mensajes, compatibilidad con claves de seguridad físicas para iniciar sesión y más importante aún, cifrado de extremo a extremo en las copias de seguridad de iCloud.
Así lo expone Apple en un comunicado en su web, detallando cada una de estas funciones que llegarán, todas y cada una de ellas enfocada a la gestión de la seguridad. Por ejemplo, los usuarios podrán solicitar una clave de seguridad física para iniciar sesión en su cuenta de Apple, lo que podría ahorrar muchos quebraderos de cabeza a los que prefieren este método de seguridad.
De todas quizás la más importante es la de las copias de seguridad en iCloud. Y es que el cifrado de extremo a extremo permite, al menos sobre el papel, que ni siquiera Apple pueda leer los datos de dichas copias de seguridad, protegiendo todavía más sus datos. Además, el cifrado de extremo a extremo también lo pone difícil a terceros para que estos accedan a dichos datos.
Verificación de clave de contacto
2022 ha sido la era en la que Pegasus ha estado más presente que nunca. El propio comunicado de Apple hace un guiño a este problema que ha afectado a personalidades de la información y el activismo importantes. Recordemos que Pegasus se suele transmitir mediante técnicas de phishing, y en estas se incluyen los SMS y las aplicaciones de mensajería como iMessage (Mensajes en España)
La verificación de contactos añade una capa de seguridad adicional a las conversaciones de Mensajes, asegurando al usuario que le están enviando los mensajes a las personas correctas. Por ejemplo, si agentes externos como "atacantes cubiertos por el estado" según Apple logran añadir sus dispositivos a los de otras cuentas para intentar espiar las conversaciones, Mensajes lo notificará.
Básicamente, ambos contactos en una conversación se les enseñará un código que les ayude a verificar sus identidades. Si este código cambia (probablemente por el ataque de una amenaza externa) Mensajes lo notificará a los dos usuarios. Así, sabrán que la persona con la que están hablando siguen siendo las mismas. Los usuarios podrán verificar dichos códigos tanto en FaceTime como en llamada, o en persona.
Claves de seguridad físicas
Aunque los ID de Apple ya permiten desde el año 2015 usar la verificación en dos pasos, existen soluciones de hardware de terceros para ayudar a aumentar esta protección y así usar claves de seguridad físicas. Ahora, Apple por fin permitirá usar claves de seguridad de este tipo para que usuarios, según Apple "de perfil público" puedan evitar "amenazas preparadas a sus cuentas". Está orientada a usuarios tales como "celebridades, periodistas y miembros del gobierno", entre otros.
De esta forma, los usuarios podrán optar por la función Security Keys para requerir una clave de seguridad de hardware como uno de los dos pasos de la verificación en dos pasos. Se consigue un beneficio añadido; conseguir que un atacante consiga el segundo factor mediante phishing al necesitar sí o sí la clave de seguridad física.
Cifrado de extremo a extremo
Aunque Apple ha recordado la utilidad de Data Protection, el sistema de cifrado de archivos disponible de forma local en dispositivos Apple, la compañía ha admitido que se necesitan ciertas mejoras para aumentar todavía más la seguridad en la nube Lo hace con Advanced Data Protection, que aplica el famoso cifrado de extremo a extremo a las copias de seguridad de la nube de iCloud, que integra la mayoría de datos de los usuarios de dispositivos Apple.
Hasta ahora, solo algunos datos gestionados por la firma estaban cifrados de extremo a extremo, como los datos de salud, la información de pago o las contraseñas almacenadas. Ahora, este cifrado de extremo a extremo se aplica en todas las copias de seguridad. Un cifrado que permite que las claves se almacenen únicamente en los dispositivos de un usuario y no en los centros de datos de la compañía, protegiéndolo en caso de ataque a estas infraestructuras.
En 2021 WhatsApp hizo lo propio protegiendo de extremo a extremo las copias de seguridad de su nube. Con este sistema, sobre el papel ni siquiera Apple puede acceder al contenido de dichas copias, ya que dichas claves no son compartidas con nadie. Apple asegura que este es el "nivel más alto de seguridad de datos en la nube de Apple".
[Apple limita AirDrop tras su uso masivo en las protestas de China]
La compañía de Cupertino asegura que esta novedad puede mantener seguros los datos de estas copias de seguridad "incluso en el caso de una brecha de datos en la nube". Apple admite que la decisión de incluir este cifrado llega por el creciente aumento de las brechas de seguridad, que se ha triplicado entre 2013 y 2021, según expone la firma.
Eso sí, dos anotaciones importantes. La primera es que habrá ciertas partes de iCloud que no estarán protegidas por cifrado de extremo a extremo, como es la información de Calendario, Contactos e iCloud Mail. Además, si se activa esta opción, la web de iCloud estará inaccesible por defecto; se podrá activar dicho acceso temporal dándole a Apple y al navegador acceso a las claves de cifrado.
Apple explica que tanto la verificación de contacto de Mensajes y el uso de claves de seguridad físicas para cuentas de Apple estarán disponibles "globalmente en 2023", llegando antes la segunda. Para el cifrado de extremo a extremo en copias de seguridad de iCloud, ya está disponible para los miembros del programa de betas de Apple, y estará disponible para el resto del mundo a principios de 2023.