Notificación de una app? Ahora también puede leerla el gobierno

Apple reveló estadísticas sobre la cantidad de solicitudes gubernamentales de diferentes países relacionadas con datos de notificaciones push en dispositivos de la compañía. Estas solicitudes se referían a tokens push únicos que permiten identificar un dispositivo específico, y en algunos casos incluían texto no cifrado de las notificaciones mostradas al usuario. Los datos, publicados por primera vez, arrojan luz sobre la escala y frecuencia de tales solicitudes durante el período de dos años — de julio de 2022 a junio de 2024.

La práctica de compartir dicha información se hizo conocida en 2023, cuando el senador estadounidense Ron Wyden envió una carta al Departamento de Justicia, señalando que no solo Apple, sino también Google reciben de sus sistemas de notificaciones datos que incluyen metadatos sobre qué aplicación recibió la notificación, a qué hora, así como los identificadores de cuenta de Apple y Google a los que iban dirigidas. En algunos casos, según la carta, las compañías también podían recibir el contenido sin cifrar de las notificaciones, incluyendo instrucciones internas para las apps o el texto que se muestra en pantalla. Así, ambas corporaciones tecnológicas quedaron implicadas en un esquema de recolección de información en beneficio de agencias del orden, hasta entonces no divulgado públicamente.

Según el informe publicado, entre julio y diciembre de 2023 el gobierno de EE. UU. envió 99 solicitudes que cubrían 345 tokens push. De ellas, Apple respondió a 65. En el mismo período, Reino Unido hizo 123 solicitudes sobre 128 tokens, y recibió datos sobre 111. Alemania recibió respuesta a 5 solicitudes. Países Bajos y Francia también solicitaron información, pero no obtuvieron respuesta.

Destaca el caso de Israel: durante el mismo período presentó una sola solicitud, pero esta abarcaba 694 tokens push. Sin embargo, Apple no proporcionó los datos. Ni el gobierno israelí ni Apple comentaron al respecto.

En la segunda mitad del período analizado — de enero a junio de 2024 — Reino Unido volvió a recibir datos, esta vez en respuesta a 127 solicitudes. EE. UU., a 36. Alemania también obtuvo cierta información. Pero Singapur, pese a haber solicitado datos, no recibió respuesta.

Según explica Apple, el token push se genera cuando un usuario activa las notificaciones para una app instalada. Este token queda registrado para el dispositivo y el desarrollador. Las solicitudes de este tipo de datos suelen estar destinadas a identificar la cuenta de Apple asociada al token. La información proporcionada puede incluir nombre del usuario, dirección física y correo electrónico.

En diciembre de 2023 Apple modificó su política: ahora se requiere una orden judicial para obtener datos de notificaciones push. Hasta entonces, bastaba con una citación oficial.

La existencia de esta transferencia de datos salió a la luz gracias a una publicación del periodista Andre Meister, quien compartió el enlace al informe de transparencia de Apple en la red Mastodon. Información similar ya había aparecido parcialmente en documentos judiciales en EE. UU.