El FBI contó a Apple dónde tenía un agujero
Hace un mes que Apple espera que el FBI cumpla con sus responsabilidades legales y les cuente qué agujero utilizaron para entrar en el famoso iPhone 5c del terrorista de San Bernardino. James Comey dijo que lo contarían cuando sea conveniente. “Si el gobierno comparte el agujero con Apple, entonces lo van a tapar y volvemos a donde estábamos antes”, explicaba el director del FBI hace algunas semanas en una charla en Ohio. Aunque la Vulnerabilties Equities Process no establece cuándo ni en qué plazo de tiempo, la ley -vigente en EEUU desde 2014- obliga a todas los organismos públicos del país a informar ante un tribunal de las fallas de seguridad que descubran en cualquier dispositivo electrónico.
Según la interpretación de Comey, la agencia estaría obligada a “cantar” cuando el caso esté cerrado y hay al menos dos docenas de casos abiertos que involucran el popular iPhone 5. Según Reuters, el 14 de abril, la agencia estadounidense informó a Apple que había encontrado una vulnerabilidad en el software de su compañía. Una tan vieja que la empresa ha decidido no hacer nada al respecto.
El propósito inicial de la ley es informar a los fabricantes de tecnología sobre los agujeros de seguridad en sus sistemas para que puedan parchearlos y evitar ataques, tanto a la empresa como a sus millones de desprevenidos usuarios. Apple ha dicho a Reuters que el FBI se puso en contacto con ellos para informarles del agujero de seguridad que habían descubierto y que era la primera vez que la agencia les informaba de una vulnerabilidad con la Vulnerabilities Equities Process en la mano. Casi una broma de mal gusto, porque la brecha de seguridad solo afecta a las versiones de iOS y Mac anteriores a la 9 y fue arreglada hace nueve meses. Y porque siguen sin saber cómo entraron al teléfono de Syed Farook.
El FBI avisa con retraso
Apple asegura que el 80% de sus teléfonos usan una versión segura de iOS, y que no tienen planes de desarrollar un parche para los teléfonos que aún utilizan el software viejo. Reuters dice que los federales han avisado de la vulnerabilidad a la compañía a modo de lavado de cara y así cumplir con el Vulnerabilities Equities Process. “El movimiento puede ser un intento para demostrar a la Casa Blanca que pueden y usan y revelan los métodos de hackeo cuando quieren”, dicen desde el blog MacRumors.
El FBI ya ha intentado reabrir más casos -al menos 17 desde el mes de octubre- para validar una interpretación de la All Writs Act -una ley que data del año 1789- que obligue a las compañías a crear agujeros de seguridad en sus propios dispositivos. El último data de hace menos de una semana, cuando un juez desestimó el recurso del FBI por el que quería reabrir un caso de junio de 2014 relacionado con un traficante de drogas neoyorquino.
El 12 de abril el Washington Post informaba del desbloqueo del iPhone 5c, el caso que ha levantado a la industria tecnológica al completo. Dicen que el desbloqueo les costó cerca de un millón y medio de dólares. El director del FBI se preguntaba el martes durante una charla de ciberseguridad: “La cuestión es, ¿somos conscientes de la vulnerabilidad o simplemente compramos una herramienta y no sabemos lo suficiente sobre esa vulnerabilidad?”. Uno de sus agentes contó a Fox News que la agencia de investigación firmó un contrato con los desbloqueadores en el que se comprometía a “no tratar de darle la vuelta a la herramienta para ver cómo funcionaba ni para descubrir el punto débil del iPhone”.
No sabe / No contesta
James Comey repite una y otra vez que el malware solo funciona en los iPhone 5c que lleven iOS9. También asegura que su agencia no puede revelar cómo entraron al teléfono del terrorista porque la falla de seguridad ha sido aprovechada por una empresa que nada tiene que ver con ellos. El Wall Street Journal contaba el miércoles que el FBI había anunciado oficialmente que no explicará a Apple cómo fueron capaces de desbloquear el móvil del terrorista. Un doble tirabuzón para las dos partes: Apple le dice que no puede darle la llave del iPhone porque no la tiene, y ahora el FBI no puede señalar el agujero porque no sabe dónde está.
Según Amy Hess, asistente ejecutiva de Comey en el FBI, no pueden revelar cómo lo hicieron porque no poseen “los detalles técnicos acerca de cómo funciona el método, ni la naturaleza ni la extensión de ninguna vulnerabilidad sobre la que ese método depende para funcionar”. Apple, por su parte, asegura que cualquiera que fuese la técnica que usaron los federales para entrar al teléfono no les valdrá por mucho tiempo, ya que constantemente se encuentran actualizando la seguridad de sus productos.
Al estilo de una novela por entregas, hemos ido sabiendo que, en primer lugar, no fue la misteriosa empresa israelí la encargada de desbloquear el teléfono, sino un grupo de hackers que descubrieron una vulnerabilidad en el iPhone 5c del terrorista. Después supimos que solo dos senadores estadounidenses conocían cómo lo habían hecho y que más de 500 teléfonos se acumulaban para ser descifrados, espoleados en parte por la sensación que transmitió el FBI de que “desbloqueado uno, desbloqueados todos”.