¿Están a salvo nuestros datos en la nube?

«El cifrado de extremo a extremo de iCloud conlleva que ni siquiera Apple puede acceder a la información cifrada que almacenamos, lo que limita este acceso a los dispositivos de confianza configurados previamente», explica Josep Albors, director de investigación y concienciación de ESET España. Este método de comunicación es actualmente el más seguro que existe, de ahí que aplicaciones tan populares como WhatsApp o Signal ya lo implementan por defecto en sus conversaciones.

Por todo ello, «al no dar margen a activar la Protección de Datos Avanzados nuestra información deja de estar cifrada punto a punto. Así, si una autoridad lo requiriera podría forzar a Apple a entregar las claves de cifrado de ciertos usuarios y se podría acceder a toda la información de iCloud», apunta este experto de seguridad. Esto abre la puerta a que delincuentes de todo tipo (incluidas las naciones-estado) exploten esta falta de cifrado, beneficiándose de hipotéticas vulnerabilidades: «Posibles atacantes podrían acceder a esta información aprovechando agujeros de seguridad». Casos como el del atentado de San Bernardino, donde el FBI presionó a Apple para desbloquear un iPhone, o las filtraciones de Snowden sobre la vigilancia masiva de la NSA, han demostrado que estas solicitudes gubernamentales no son casos aislados.

La decisión de acabar con el cifrado de extremo a extremo también genera daños colaterales en otros servicios de la propia compañía, caso de las conversaciones del servicio de mensajería instantánea de Apple. «Al estar protegidos únicamente por la Protección de Datos Estándar, los mensajes de iMessage almacenados en iCloud también podrían ser accesibles si se obtienen de Apple las claves de cifrado pertinentes», advierte el experto Josep Albors.

Sea como fuere, esta decisión sin precedentes del gobierno de Reino Unido afecta únicamente a aquellos británicos que cuenten con un iPhone, un iPad o un Mac. Por el momento, porque... nada impide que en un momento dado tenga un efecto arrastre y pueda propagarse a otros países. Lo que sí hace es colocar en una encrucijada a millones de británicos, que tendrán que decidir si acudir a las socorridas copias de seguridad o buscar alternativas en otros servicios de almacenamiento online.

El caso de Reino Unido ha reabierto el debate sobre la seguridad real que ofrecen los servicios de almacenamiento de archivos online más populares del momento. ¿Son completamente fiables? El director de investigación y concienciación de ESET España explica las claves de su privacidad. «Google ofrece a sus usuarios un cifrado parecido a la Protección de Datos Avanzada de Apple en sus dispositivos Android. Las copias de la información del usuario se protegen usando una clave que se genera de forma aleatoria en el dispositivo del usuario. Y Microsoft también ofrece un cifrado estándar en OneDrive, al tiempo que se encarga de almacenar las claves de descifrado, por lo que en un caso hipotético podrían llegar a usarlas para descifrar la información de un usuario».

Eso sí, Josep Albors se muestra bastante rotundo sobre lo complejo que resulta romper la protección que ofrecen por defecto este tipo de servicios: «Para realizar esa acción, primero tendría que comprometer la seguridad de los servidores que se encargan de gestionar los datos almacenados en Drive, saltándose o vulnerando numerosas capas de seguridad y controles de acceso. En el caso de que lo consiguiera, aún tendría que obtener la clave de descifrado, por lo que, aunque técnicamente posible, no es una tarea fácil», añade este experto en seguridad.

Lo que no tiene tan claro el director de investigación y concienciación de ESET España es si garantizan una privacidad total. Como usuario, ¿tengo la garantía de que los datos almacenados en plataformas como Drive, OneDrive o iCloud no se consultarán o compartirán con otros por parte de los trabajadores de las compañías? Su respuesta es tan sincera como contundente: «No».