Al parecer el FBI no llamó, después de todo, a la famosa empresa israelí para desbloquear el iphone de San Bernardino. Según el Washington Post, la agencia gubernamental dice ahora que recibió la llamada de unos misteriosos hackers profesionales que habrían descubierto por su cuenta una vulnerabilidad pre-existente y específica al iPhone 5c y que la habrían usado para escribir un malware capaz de entrar por la fuerza en el móvil del terrorista.
A juzgar por el anuncio del FBI en el que se ofrecía a abrirle los iPhone que hiciera falta a otras agencias y organismos de seguridad, se entiende que esa vulnerabilidad es común a todos los iPhone 5c. En el entorno de la ciberseguridad este tipo de ventana se conoce como un ataque de día cero (en inglés zero-day attack o 0-day attack) porque aprovecha una debilidad desconocida por el fabricante y por los usuarios, hasta que se descubre el agujero y/o una actualización la hace desaparecer. Y, aunque el gobierno está obligado legalmente a informar a la compañía de cualquier vulnerabilidad que encuentre en sus productos, la ley no es exactamente clara acerca de cuándo está obligado a hacerlo.
“Si el gobierno comparte el agujero con Apple, entonces lo van a tapar y volvemos a donde estábamos antes”, explicaba con naturalidad James Comey la semana pasada en un panel en Kenyon College, Ohio. El jefe del FBI le quitó importancia asegurando que afectaba a muy pocos usuarios, porque que el malware que habían usado sólo funciona en un iPhone 5C con iOS 9. Solo que no podemos comprobarlo hasta que no sepamos cómo entraron. Y el solo se lo ha querido contar a dos senadores afines a su causa.
La contraseña de cuatro números
El iPhone de la discordia tenía dos dispositivos de seguridad. El primero es que, cada vez que el usuario se equivoca al introducir el PIN, el teléfono le obliga a esperar antes del siguiente intento. La espera crece de manera exponencial: la primera vez hay que esperar un minuto, la segunda cinco, la tercera diez, etc. El segundo es que, después de diez intentos fallidos, toda la información contenida en el teléfono procede a la autoaniquilación.
Estos medidas son necesarios porque una contraseña de cuatro números no vale prácticamente para nada. Su máximo de combinaciones posibles de 10.000. Sin la primera medida, un hacker con un ordenador normal tardaría tres horas en dar con la combinación ganadora. Sin la segunda -si tuviera que esperar, resetear el teléfono y volver a intentarlo -tardaría tres días, 11 horas y 20 minutos. La solución que buscaba el FBI era un sistema operativo idéntico al original, pero capaz de saltarse esas dos medidas. Apple resistió y el FBI se retiró del caso 22 horas de que el congreso se inclinara en contra de obligar a una empresa tecnológica a crackear su propio producto.
Apple se declaró vencedor por haber resistido, el FBI se declaró vencedor por K.O. técnico: habían entrado en el móvil sin ayuda de Apple, cosa que habían repetido era completamente imposible. Verdaderamente, perdieron todos. Después reabrieron otro caso para obligar a Apple a abrir otro móvil, en este caso el de un narcotraficante de Nueva York. La batalla política seguirá mientras el FBI no consiga crear un precedente legal que obligue a cualquier empresa norteamericana a crear puertas traseras en sus propios productos. O pierda de veras, y el precedente legal resultante les impida seguir acosando a las compañías tecnológicas con la bandera del terrorismo y el crimen.