El gobierno del Reino Unido ha exigido que Apple cree una puerta trasera en su servicio de nube encriptada, en un enfrentamiento que desafía la postura declarada de la empresa tecnológica estadounidense sobre la protección de la privacidad del usuario.
El Washington Post informó el viernes que el Ministerio del Interior había emitido un “aviso de capacidad técnica” bajo la Ley de Poderes de Investigación (IPA), que requiere que las empresas ayuden a las fuerzas del orden a proporcionar pruebas.
La demanda, emitida el mes pasado, se relaciona con el servicio de Protección Avanzada de Datos (ADP) de Apple, que encripta fuertemente los datos personales cargados y almacenados remotamente en los servidores en la nube de Apple, según el Post, que dijo que se trataba de una solicitud «general» que se aplicaba a cualquier usuario de Apple en todo el mundo. El servicio ADP utiliza encriptación de extremo a extremo, una forma de seguridad que significa que solo el titular de la cuenta puede desencriptar los archivos y nadie más puede hacerlo, incluida Apple.
Apple no quiso hacer comentarios, pero en una presentación al parlamento el año pasado manifestó sus preocupaciones sobre la IPA, diciendo que otorgaba al gobierno “autoridad para emitir órdenes secretas que exigieran a los proveedores romper el cifrado insertando puertas traseras en sus productos de software”.
Apple promociona la privacidad como uno de sus “valores fundamentales” y la describe como un “derecho humano fundamental”.
El documento de Apple hace referencia a la función ADP, afirmando que “reporteros y expertos técnicos de todo el mundo” la acogieron como una “protección invaluable” para los datos privados.
La presentación también indica que Apple se negaría a cooperar con una solicitud, diciendo que la compañía “nunca construiría una puerta trasera” y que preferiría retirar “características de seguridad críticas” del mercado del Reino Unido.
Sin embargo, el documento también señala que la IPA permite al gobierno del Reino Unido imponer requisitos a empresas con sede en otros países que se aplican a usuarios de todo el mundo.
Alan Woodward, profesor de ciberseguridad en la Universidad de Surrey, dijo que el gobierno del Reino Unido había “encendido la mecha de una lucha verdaderamente enorme en la interminable saga del debate sobre el cifrado”.
Añadió: “No veo cómo se resolverá esto, ya que Apple ha hecho hincapié en la privacidad de los usuarios. Si acceden a este aviso técnico, su reputación quedará en ruinas. Es inevitable que lo cuestionen”.
El cifrado de extremo a extremo se ha convertido en un campo de batalla entre los sucesivos gobiernos del Reino Unido y las empresas tecnológicas , y los ministros argumentan que la tecnología impide que las agencias policiales aborden a los delincuentes, incluidos los abusadores de menores.
Las empresas también tienen prohibido revelar si han recibido una notificación de capacidad tecnológica en virtud de la IPA. El Washington Post informó que, cuando Apple presentó su solicitud en marzo del año pasado, la empresa con sede en EEUU ya había sido informada de que se le podría enviar una notificación. El periódico dijo que la administración Biden había estado siguiendo el asunto desde que el gobierno del Reino Unido le dijo a Apple que podría exigir acceso, y Apple había dicho que se negaría.
Un portavoz del Ministerio del Interior dijo: “No hacemos comentarios sobre cuestiones operativas, incluyendo, por ejemplo, confirmar o negar la existencia de tales avisos”.
La presentación se relaciona con las modificaciones a la IPA aprobadas el año pasado bajo el gobierno de Rishi Sunak e incluía dar a los ministros el poder de aprobar por adelantado cualquier cambio de producto que pudiera alterar la capacidad del gobierno del Reino Unido para acceder a los datos de los usuarios.
Un experto advirtió que la naturaleza multinacional de la orden podría conducir a un enfrentamiento con la UE, que tiene un acuerdo con el Reino Unido que permite el libre flujo de datos personales entre la UE y el Reino Unido (por ejemplo, que una empresa en Europa utilice un centro de datos en el Reino Unido). El acuerdo será revisado este año.
“Esto podría proporcionar una puerta trasera para el acceso a datos de ciudadanos europeos, lo que podría ir en contra de nuestra capacidad de conservar los derechos para compartir datos personales sin restricciones entre el Reino Unido y Europa”, dijo Ross McKenzie, socio de protección de datos en el bufete de abogados británico Addleshaw Goddard.