Microsoft enfrenta críticas por entregar al FBI claves de encriptación de usuarios
El FBI presentó una orden judicial para acceder a las claves que serían utilizadas para descifrar el contenido de unas laptops bajo investigación
Microsoft puede entregar información de sus usuarios a las autoridades si existe una orden judicial que lo ordene Crédito: Shutterstock
Microsoft está recibiendo críticas porque se confirmó que entregó claves de recuperación de BitLocker al gobierno de EE. UU. para desbloquear discos cifrados, algo que para mucha gente rompe la promesa implícita de “mis datos están seguros aunque me quiten la laptop”. En términos de privacidad, el punto clave es este: si tu clave está guardada en la nube de Microsoft, Microsoft puede entregarla si recibe una orden legal válida, y eso abre una puerta real (legal y técnica) a tu información.
¿Qué pasó con Microsoft, BitLocker y el FBI?
El caso que detonó la polémica viene de una investigación federal: el FBI presentó una orden para obtener claves capaces de descifrar información en tres laptops, y Microsoft cumplió con el requerimiento. Un vocero de Microsoft explicó que la empresa entrega claves de recuperación cuando hay una“orden legal válida” y cuando esas claves están almacenadas en sus servidores (por ejemplo, si el usuario eligió guardarlas en la nube). También se mencionó queMicrosoft recibe alrededor de 20 solicitudes al año de este tipo, lo que sugiere que no es un evento “único y rarísimo”, sino un mecanismo existente dentro del sistema.
Aquí es donde entra el golpe reputacional: BitLocker se vende (y se percibe) como una capa fuerte de seguridad para el usuario promedio, pero el detalle de “la clave se respalda en la nube por conveniencia” cambia el modelo de amenaza por completo. Y sí, es muy distinto a que “rompan” tu cifrado; lo que pasó es que el cifrado funcionó, pero el guardado de la clave en un tercero hizo posible abrir la puerta desde arriba, con papeles en regla.
¿Qué significa esto para tu privacidad?
BitLocker es cifrado de disco completo: si alguien roba tu computadora apagada o bloqueada, en teoría no puede leer tus archivos porque el disco está cifrado. El problema es que, por defecto o por diseño en muchos escenarios, la clave de recuperación puede terminar respaldada en la nube de Microsoft, y eso convierte a Microsoft en un “custodio” con capacidad de ayudar a recuperar o de entregar.
Desde privacidad, la pregunta no es solo “¿me espían?”, sino “¿quién puede acceder a mis datos si mi dispositivo cae en manos de terceros?”. Si una agencia consigue una orden judicial y Microsoft tiene la clave, el cifrado deja de ser un candado que solo tú controlas y pasa a ser un candado con copia en una caja fuerte ajena. Y organizaciones y voces críticas —incluyendo al senador Ron Wyden— han señalado que es irresponsable diseñar productos de forma que el proveedor pueda “voltear” y entregar llaves que abren la vida digital completa de una persona.
Además, expertos han advertido un riesgo paralelo igual de serio: si esas claves están centralizadas en infraestructura cloud, un atacante que comprometa sistemas de Microsoft podría intentar acceder a esas claves (aunque todavía necesite acceso físico a los discos para usarlas). Esa combinación (claves + nube + historial de incidentes en la industria) es lo que hace que el tema se sienta más grande que “un caso criminal puntual”.
Sigue leyendo:
• EE.UU. anuncia recompensa de 5 millones por hombre que vendió teléfonos encriptados a narcos
• FBI advierte a usuarios de iPhone dejar de enviar mensajes de texto por un posible hackeo
• ¿Cuánto pagó el FBI al experto en telefonía que traicionó a “El Chapo”?
