Apple, FBI y la privacidad por seguridad

El 2 de diciembre de 2015 en San Bernardino – Estados Unidos, un atentado extremista terminó con la vida de 16 personas y dejó 24 heridas, los autores fueron identificados como un matrimonio estadounidense de origen pakistaní, Syed Farook (28 años) y Tashfeen Malik (27 años), ellos, abrieron fuego contra los asistentes a un banquete del departamento de salud del condado, en un auditorio donde se hallaban al menos cien personas.

Syed Farook y Tashfeen Malik, autores de este tiroteo, fueron abatidos por la policía, Syed trabajaba como empleado público en el departamento de salud del condado de San Bernardino desde hacía cinco años y era compañero de trabajo de las víctimas, Syed y Tashfeen podrían tener contacto con otros grupos extremistas, Syed y Tashfeen podrían tener información sobre próximos atentados, Syed y Tashfeen no sobrevivieron al atentado, pero Syed tenía un iPhone 5C.

Es aquí donde empieza la disyuntiva entre Apple, el FBI y la justicia estadounidense, el sistema de encriptación y seguridad del iPhone, en este caso el de Syed, protege los datos almacenados en el teléfono, datos como ubicaciones, imágenes, correos, conversaciones de chat, entre otros, que podrían ayudar al FBI, contra la lucha del terrorismo.

El FBI tiene ese iPhone en su poder, pero el sistema de seguridad de estos dispositivos no permite errar la contraseña más de diez veces, ya que al cometer el undécimo error, toda la información del teléfono se borra de manera definitiva, es por este motivo que el FBI se puso en contacto con Apple para desbloquear el cifrado recibiendo un no como respuesta.

Apple no iba a dejar que nadie, ni siquiera el FBI, comprometa la seguridad de sus usuarios, desde el punto de vista de la compañía fabricante del iPhone, acceder a las peticiones del FBI, dejaba precedentes que podrían afectar la privacidad de sus usuarios en el futuro, además de abrir la puerta a una serie de vulnerabilidades que afectarían directamente al grado de seguridad de sus dispositivos.

La negativa de la empresa fue rotunda, no iban a liberar el cifrado del equipo, tampoco iban a modificar el SO para permitir intentos que por “fuerza bruta” pudieran dar con la clave del aparato. Sin embargo varias semanas, tras órdenes judiciales, y encuentros en la corte, finalmente, el iPhone del atacante de San Bernardino pudo ser vulnerado, el FBI logró penetrarlo, y lo había logrado, sin ayuda de Apple:

Hemos logrado acceder exitosamente a la información guardada en el iPhone de (Syed) Farook”, señaló el Departamento de Justicia de EE.UU. en la petición en la que pide terminar con el proceso legal que había iniciado contra Apple. Ya no requerimos la ayuda de Apple”.

Pero es en este punto donde empieza el verdadero debate sobre la seguridad, 6 semanas, poco menos de 2 meses es lo que le tomó al FBI acceder a la información del teléfono, ¿Qué herramientas usaron para ello?, ¿Quién los asesoró?, pero por sobre todo ¿Pueden volver a hacerlo con otros dispositivos?

¿Cómo accedió el FBI a la información?

Hasta el día de hoy, solo existen teorías sobre cómo el FBI logró vulnerar la seguridad del iPhone, nadie puede obligar al FBI a revelar su procedimiento y lo más probable es que nunca lo haga, sin embargo, trascendió que se hizo a través de una “tercera parte”, es decir, una compañía externa.

Analistas y miembros de la industria piensan que la llave maestra o superclave para vulnerar el sistema de seguridad iOS de Apple, no existe y es muy poco probable que haya podido ser fabricada por una compañía externa, lo más probable, según los expertos, es que haya sido un ataque de software, algo que en la industria se denomina, Análisis Forense de teléfonos celulares.

No es lo mismo que el común desbloqueo de un iPhone que puede realizar una empresa telefónica o un proveedor informal. Ese desbloqueo lo que hace es volver el iPhone a su estado original, es decir, borrando toda la información existente.

Lo que hacen las empresas de Análisis Forense es desbloquear el aparato pero manteniendo la información contenida en él.

Según Jerónimo García, director de la consultora en servicios informáticos Sidertia Solutions, lo más probable es que hayan usado un “exploit” (herramienta de software diseñada para aprovecharse de una falla en un sistema informático) que explote una vulnerabilidad desde el gestor de arranque del sistema del teléfono, es decir, tomar ventaja de una pequeña ventana en el arranque del sistema para tomar control del mismo y por tanto poder evitar la limitación de la contraseña.

Otro método que podría haber usado el FBI es clonar una imagen del teléfono, es decir, una copia física del dispositivo para probar contraseñas, de esta manera, si se sobrepasa el límite de intentos y el equipo borra toda información en él, quedan mucho más copias idénticas para segur probando contraseñas diferentes y dar con la correcta por fuerza bruta.

¿Quién ayudó al FBI, quien puede desbloquear un iPhone?

Como era de suponer, el FBI ha manifestado públicamente que no va a identificar la “tercera parte” que logró acceder a la información, sin embargo, analistas del sector han puesto la mirada en Cellebrite, una compañía de origen israelí con oficinas en distintas partes del mundo, entre ellas EE.UU, y de hecho fue Cellebrite quien ha confirmado que tienen varios contratos y trabajan estrechamente hace buen tiempo con el FBI.

Seguridad sobre el tapete

La controversia sobre acceso a los datos que involucran dispositivos móviles, a raíz del triste evento en San Bernardino, trae temas a tratar sobre los derechos a la privacidad y la seguridad de nuestros dispositivos.

Surgen preguntas lógicas sobre el tema, ¿Acaso el mensaje que se ha dado a todo el mundo es que el FBI va a tener capacidad para poder acceder a los datos de cualquier ciudadano en su dispositivo Apple o de otras empresas de dispositivos móviles en el mercado?

¿Qué es más importante, el derecho a la privacidad o el derecho a la vida? ¿Son lo suficientemente maduras nuestras sociedades para regular esta jerarquía de derechos?

¿Cuál es el equilibrio entre seguridad y privacidad?, ese es el debate que se puso sobre vitrina tras el atentado terrorista de San Bernardino, ¿debería ser aceptable para la sociedad, sacrificar privacidad por seguridad nacional?

Comerciales del Supe
2 GB extra de espaci

juanmesia@gmail.com

Comunicador, periodista dedicado al periodismo tecnológico, nomofóbico total. De niño desarmaba mis juguetes para saber cómo funcionaban... Sigo jugando a lo mismo... para saber más googlea: Juan Martín Mesía Castro

Rate This Article:
NO COMMENTS

Sorry, the comment form is closed at this time.