El caso Apple y el debate sobre el cifrado

Cuando hablamos de seguridad y de lucha contra el terrorismo, es muy posible que en el debate aparezcan los conceptos del cifrado y la seguridad de los dispositivos. El desarrollo de nuevas soluciones seguras, capaces de mantener sus datos inaccesibles frente a ataques externos, ha propiciado un amplio debate sobre si resulta adecuado permitirlas. El principal argumento es que dichos mecanismos lo que propician es un espacio de impunidad, o incluso que coloca a sus usuarios por encima de la Ley.

El debate se ha reabierto de nuevo con la petición a Apple por parte de un Juez para que colabore con el FBI en el acceso a los archivos cifrados existentes en un dispositivo móvil con iOS confiscado a un presunto delincuente. El problema surge cuando esta petición de colaboración, que algunos ven muy sencilla de cumplir, puede tener un alcance mucho mayor que el de este caso concreto.
Lo que busca este requerimiento es bloquear una funcionalidad en iOS que borra los datos de un terminal una vez alcanzado un número de errores en la introducción de la contraseña, además de eliminar cualquier posible limitación de tiempo entre intentos de acceso. Una vez eliminada esta funcionalidad, el FBI podría realizar un ataque de fuerza bruta contra esta contraseña sin temor a que el terminal eliminara los datos ni esperar entre intentos, con lo cual el acceso sería cuestión de tiempo.
 
La problemática surge cuando dejamos de centrarnos en este caso concreto, alrededor del cual se hace girar intencionadamente el debate, y pasamos a analizar cuáles son las consecuencias del modo en que se quiere acceder a dichos contenidos, y si va a tener consecuencias para otros usuarios legítimos de este tipo de tecnologías seguras.
 
Si la cuestión versara exclusivamente sobre implementar una herramienta que solo fuera aplicable a un caso concreto, con autorización judicial previa y con limitaciones efectivas a su uso, garantizando simultáneamente la seguridad de cualquier otro usuario y los derechos del investigado,  la respuesta sería simple. De hecho, las alegaciones del FBI utilizan este argumento para justificar que esta medida no atenta contra los derechos de los ciudadanos, al incluir la petición que la herramienta desarrollada debe incluir un identificador único del terminal dentro del código para limitar su carga al terminal móvil objeto de la autorización judicial. El problema es que, técnicamente, no resulta posible implementar una puerta trasera segura.
 
La posición del FBI está clara, y ya cuando se dieron a conocer las características del cifrado de iOS 8 el actual director del FBI, James Comey dijo al respecto:»Lo que me preocupa sobre esto son las compañías que comercializan algo expresamente para permitir a la gente situarse por encima de la ley».
 
Pero ¿realmente nos encontramos ante un mecanismo que crea dicha impunidad y que coloca a sus usuarios por encima de la Ley? A mi juicio, la respuesta a esta pregunta es negativa. Se busca poner en la balanza el derecho a la vida y a la seguridad en un lado, y el mero derecho a la privacidad en el otro, pero se omite que en muchos casos el garante mismo de la vida y seguridad de sus usuarios se garantiza a través de la seguridad de los mecanismos de cifrado que se utilizan.
 
A la hora de debatir un asunto tan complejo como este debemos analizar cuál va a ser el alcance de las medidas adoptadas, en especial más allá de un caso tan concreto y específico como el que tenemos delante. No es una medida que podamos circunscribir a ese terminal móvil confiscado, dado que una vez se implemente dicha posibilidad, podrá utilizarse en otros ámbitos.
 
¿Es una medida adecuada y proporcional? Puede llegar a ser adecuada, dado que en realidad ya cuentan con información sobre la cuenta de iCloud del usuario, pero la sincronización se interrumpió unos meses atrás. De hecho, es posible que acceder a dichos datos resulte más complicado a causa de actuaciones como el cambio de contraseña de la cuenta de iCloud que llevaron a cabo los agentes. ¿Proporcional? Este aspecto es más dudoso, dado que lo que se pide de los ingenieros de Apple es la implementación de un sistema que se salte las medidas de seguridad en que han trabajado para hacerlas impenetrables.
 
Efectivamente existe una autorización judicial para acceder a los datos del dispositivo, y el FBI podría acceder a ellos si no existieran los obstáculos implementados por iOS a través de ataques por fuerza bruta. Y si utilizamos el argumento de la lucha contra el terrorismo, ¿por qué omitimos que en la mayoría de casos los canales utilizados son otros menos tecnológicamente avanzados como SMS? Y si era un caso concreto y específico, ¿por qué se están empezando a realizar tantas peticiones para otros casos ajenos a esta materia?
 
Otro argumento es que se podría requerir a Apple que entregara el código fuente de sus sistemas para que fuera el FBI quien desarrollara la solución, y que se ha optado por la medida más gravosa. Pero de nuevo lo que se está intentando es maquillar la petición inicial para que parezca menos lesiva.
 
La realidad es que la prohibición de mecanismos de cifrado totalmente seguros solo beneficiaría a los delincuentes, no a los usuarios legítimos. Para los primeros será sencillo encontrar versiones totalmente seguras de sistemas de cifrado o incluso desarrollarlos ellos mismos, en tanto que los usuarios legítimos podrían acabar siendo atacados a través de una de estas puertas seguras implementadas para garantizar su seguridad. En ocasiones se alega que no hay certeza de que se produzca esto último, pero la realidad es que ya hay precedentes: el uso de la puerta trasera de Gmail por parte de delincuentes chinos.
 
También tenemos precedentes de espionaje masivo y contrario al Derecho por parte de los servicios de inteligencia. Crear una nueva puerta no haría más que habilitar un nuevo método para el seguimiento e incautación de información que podría llegar a escaparse del control judicial. ¿Hasta dónde llegarán las obligaciones de colaboración? ¿Deben las empresas desarrolladoras de sistemas operativos dejar abierto un acceso a los troyanos autorizados por el Juez? El supuesto en realidad es similar (una limitación a la seguridad que se implementa, un control por parte del juez de la medida) y aun así seguramente resulta más claro lo absurdo de la petición.
 
Pero incluso si entendemos que en el caso de los Estados Unidos se respetarán los derechos de los usuarios, ¿qué impedirá a gobiernos extranjeros requerir acceso a este tipo de terminales o buscar otra solución para obtener el acceso una vez es conocida dicha posibilidad? Bajo su legislación una determinada actuación podría estar tipificada, contaríancon una autorización de un órgano judicial nacional, pero el resultado final sería una vulneración de los Derechos Humanos.  Estos Gobiernos pedirían acceso a esta llave con total seguridad. Al final acabaríamos con una vía a la que potencialmente podrían acceder, tanto si el acceso está legitimado a nuestro entender, como si no lo está.
 
No debemos sobresimplificar el debate, no se enfrentan simplemente el terrorismo y la impunidad de los delincuentes al derecho a la privacidad de los usuarios. Apple no ha encontrado apoyo solo en otras empresas tecnológicas que pueden ser en el futuro sujetos obligados en términos similares, sino que podemos ver cómo profesores de Derecho y grandes expertos en seguridad informática, como Bruce Schneier, han argumentado en contra de este tipo de medidas. Es imposible construir una puerta trasera que solo sirva para gobiernos que garanticen derechos y ante una autorización judicial, es una caja de pandora que una vez abierta es imposible cerrar.
 
Llamémoslo como queramos, pero sigue siendo una puerta trasera implementada deliberadamente y de la cual va a poderse sacar provecho más allá de este caso concreto. Y es ahí donde está el verdadero peligro.