Apple vs FBI: final de la primera batalla de una guerra mucho más grande

Apple vs FBI: final de la primera batalla de una guerra mucho más grande

77 comentarios Facebook Twitter Flipboard E-mail
Apple vs FBI: final de la primera batalla de una guerra mucho más grande

Visto y no visto. Casi un mes y medio después de que el FBI llevara a Apple a los juzgados por negarse a desbloquear un iPhone 5C de los terroristas de San Bernardino, la misma agencia federal ha anunciado que retira su demanda. La razón: el FBI ha conseguido ayuda de un tercero para acceder al terminal. Esa ayuda proviene de la compañía de seguridad israelí Cellebrite.

La negativa de la compañía californiana no trataba de proteger la privacidad de ningún terrorista (Tim Cook afirmó que no consideraba que un terrorista tuviera privacidad que valiera), sino de evitar la ruptura de las medidas de seguridad que llevan décadas desarrollando para sus dispositivos.

De conseguirlo, ese método podría ser replicado hasta la saciedad, poniendo en peligro toda clase de datos sensibles que los usuarios volcamos sobre nuestros iPhones a diario. Tal como dijo Tim Cook:

El gobierno de los Estados Unidos ha exigido a Apple tomar medidas sin precedentes que amenazan la seguridad de nuestros clientes. Nos oponemos a esta orden, que tiene implicaciones que van mucho más allá del caso legal [que la ha provocado].

Las implicaciones del caso del iPhone de San Bernardino son numerosas. Ahora que ya ha terminado esta primera batalla, es hora de evaluar sus consecuencias.

Un vistazo a…
Cómo mejorar la SEGURIDAD EN INTERNET VPN, DNS y páginas con HTTPS

Un veredicto que hubiera sentado precedente

Iphone 5c

Aunque al principio el FBI afirmó, aseguró y juró que este caso trataba solo sobre un único teléfono, el abogado de Apple que testificó durante el juicio, Bruce Sewell, reveló que el gobierno federal tenía otros 175 iPhones haciendo cola y esperando el resultado del juicio. Al final, el director del FBI tuvo que reconocer que eso era cierto y que lo que buscaban con este caso era sentar un precedente.

Si el FBI ganaba el caso, tendrían carta blanca para exigir a Apple el descifrado de sus dispositivos cuando así lo quisieran. Ayer era el del terrorista de San Bernardino, pero mañana podría ser un caso de fraude, al siguiente uno de evasión de impuestos y la semana que viene uno de divorcio.

1366 2000

El FBI eligió conscientemente un caso muy sensible a la opinión pública, con dos terroristas que asesinaron a más de una docena de personas. Sin embargo, los apoyos a la postura Apple desde todos los frentes hizo que el FBI dudara de sus posibilidades de ganar. Si hubieran perdido y un juez hubiera reafirmado la postura de Apple, también se habría sentado un precedente desfavorable para los intereses del gobierno federal.

James Comey, el director del FBI, no podía permitir ese resultado y por eso ha optado por una alternativa que siempre ha estado encima de la mesa: recurrir a un tercero para que le ayude a descifrar el infame iPhone 5c.

Dos formas de acceder al iPhone

1366 2000 1
Varios expertos sugirieron maneras de entrar en el iPhone de San Bernardino, pero el FBI quería obtener un veredicto favorable que le diera carta blanca

Según los expertos de seguridad, existían varias formas de acceder al iPhone 5c. Por tratarse de este modelo con un chip A6 y sin enclave de seguridad, el acceso era más sencillo que en un iPhone 5s en adelante. Jonathan Ździarski, conocido experto en la materia, compartió en su blog dos posibles métodos:

  1. Por hardware, haciendo un mirroring de la memoria NAND del dispositivo. Copias el contenido de la memoria y ya puedes hacer pruebas mediante fuerza bruta sin miedo a que se borre el contenido. Sólo efectivo contra dispositivos como el iPhone 5c con chip A6 o anteriores.
  2. Por software, buscando y explotando vulnerabilidades en el sistema operativo del iPhone.

Sea cual sea el método, Ździarski afirma que fue mucho más sencillo romper el cifrado porque su usuario, el terrorista Syed Farook, estableció un PIN de solo 4 cifras. Como vimos hace unas semanas, este es el método más sencillo de romper por fuerza bruta, donde se prueban las 10.000 combinaciones posibles. El PIN de seis cifras requiere más tiempo (hasta cinco años y medio según Apple), pero sus combinaciones son limitadas si lo comparamos con una contraseña alfanumérica.

Tal como afirma Apple en su guía de seguridad de iOS, cuanto más complicada y larga sea una contraseña, más tiempo se requiere averiguarla por fuerza bruta. Esto es debido también a la espera que se crea cuando introduces la contraseña incorrectamente demasiadas veces.

Primera batalla de una guerra a largo plazo

Iphone

A simple vista, puede parecer que el FBI se ha salido con la suya y que Apple es la que ha perdido. A fin de cuentas, queda demostrado que el iPhone no es tan inquebrantable como quería hacer ver la compañía. Pero un análisis más profundo le da la vuelta a la tortilla. Desde Wired:

"El gobierno no niega que haya otras agencias del gobierno que podrían asistir en el desbloqueo del teléfono para acceder a sus datos; en vez de eso, afirma, sin respaldar sus palabras, que no tiene obligación de consultar otras agencias," escribió Apple, dejando claro que el director del FBI evitó la pregunta sobre la posible asistencia de la NSA cuando le preguntaron en una audiencia ante el congreso.

Y si el FBI no puede acceder a los iPhone sin la ayuda de la NSA, debería invertir en desarrollar esa capacidad, dice Apple, en vez de buscar medidas inconstitucionales para forzar a compañías tecnológicas a hacerlo.

Es el FBI quien ha quedado en evidencia, cuando llegó a afirmar hace un mes que no había forma posible de acceder al teléfono sin la ayuda de Apple. Ahora, de la noche a la mañana, dicen que sí se puede antes de que el juez alcanzara un veredicto incierto. El caso del iPhone 5c de San Bernardino puede estar cerrado, pero esto no es más que el principio.

El FBI tiene obligación legal de comunicarle a Apple la manera en la que ha conseguido acceder al teléfono para que puedan arreglar el fallo

La Electronic Frontier Foundation (EFF) recuerda al FBI que tienen la obligación de divulgar la manera en la que ha accedido a este iPhone:

Si el FBI ha utilizado una vulnerabilidad para acceder al iPhone del caso de San Bernardino, [la ley] VEP debe aplicarse, lo cual significa que debería haber un argumento claro a favor de informar a Apple de esta vulnerabilidad. De esta forma, se permitiría a Apple arreglar el fallo y proteger la seguridad de todos sus usuarios.

Viendo el rifirrafe que ha provocado este caso, dudo mucho que el FBI acceda de buen grado a esta petición de transparencia. Pero hace tiempo que la agencia federal dejó las buenas formas por el camino.

Aumentando la seguridad de iOS

Icloud

La seguridad de iOS ha experimentado un aumento notable desde la introducción del cifrado parcial en iOS 8. iOS 9 selló el resto de flecos, pero eso no significa que el trabajo esté hecho. Como dijo Tim Cook hace unas semanas, necesitan seguir trabajando para estar un paso por delante de los delincuentes.

Nuestra compañera María González de Xataka, detalló cómo Apple no cifraba las copias de seguridad almacenadas en iCloud. Como consecuencia, cuando Apple recibía una petición de un juzgado debía ceder esos datos. Pero no es de extrañar que a partir de iOS 10 esas copias de seguridad acaben cifrándose también, ya que suponen un riesgo para la seguridad de sus usuarios.

El siguiente paso para Apple es cifrar las copias de seguridad de iCloud

Aunque la compañía no lo diga en público, esa medida también va dirigida al gobierno de EEUU (y de otros países). Más aún cuando se han filtrado los intentos de instalación de hardware y software extraño a los servidores que Apple compraba para utilizar en iCloud. Algo que recuerda a cuando la NSA interceptaba envíos de PCs comprados antes de llegar a sus clientes o los routers de Cisco.

Dejando todo esto a un lado, creo que todos sentimos auténtica curiosidad por saber qué había dentro del iPhone 5c de Farook. ¿Detalles de contactos con cómplices? ¿O solamente se trataba de un móvil de trabajo que Farook no utilizó para sus fines delictivos?

En Applesfera | Esta es la respuesta de Apple al FBI sobre la conclusión del caso de San Bernardino.

Comentarios cerrados
Inicio