Microsoft recuerda: tu nube no es solo tuya
Con una sola acción, la empresa minó por completo la confianza en el cifrado de datos de Windows.
La situación respecto a la protección de los datos de los usuarios en grandes ecosistemas tecnológicos tuvo un nuevo giro tras la revelación de la práctica de entregar claves de cifrado a organismos estatales. La historia mostró que las decisiones arquitectónicas de empresas concretas pueden afectar directamente el nivel de privacidad de millones de usuarios y, de hecho, determinar los límites del acceso de las fuerzas de seguridad a la información digital.
Microsoft confirmó que entrega al FBI las claves de recuperación de BitLocker en respuesta a órdenes judiciales, siempre que tenga acceso a ellas. La medida se produjo tras una solicitud de las autoridades estadounidenses en el marco de la investigación de un caso en la isla de Guam, relacionado con el robo de fondos de un programa de ayuda por desempleo durante la pandemia de COVID-19. Los investigadores obtuvieron las claves para descifrar los datos de tres portátiles con Windows en los que se utilizaba el sistema de cifrado de disco integrado.
BitLocker viene activado por defecto en muchos ordenadores modernos con Windows y protege los datos del disco duro. Los usuarios pueden almacenar las claves localmente, pero Microsoft recomienda guardarlas en la nube, lo que facilita la recuperación del acceso si se pierde la contraseña. Al mismo tiempo, esto hace que dichos datos sean vulnerables a solicitudes de las fuerzas de seguridad. La compañía declaró que recibe alrededor de 20 solicitudes similares al año, aunque con frecuencia no puede ayudar si la clave no se ha guardado en la infraestructura en la nube.
El caso en Guam fue el primer ejemplo conocido públicamente de la entrega de claves de cifrado a las fuerzas de seguridad. Esto provocó críticas por parte de especialistas y políticos. El senador Ron Wyden calificó de peligrosa la práctica por la que las empresas diseñan sus productos desde el principio para conservar la posibilidad técnica de acceder a los datos cifrados de los usuarios. Según él, esto crea riesgos no solo para la privacidad, sino también para la seguridad personal.
Preocupaciones similares expresó Jennifer Granick, de la Unión Americana de Libertades Civiles (ACLU), señalando que mecanismos así pueden ser utilizados por gobiernos de otros países, incluidos aquellos con una reputación cuestionable en materia de derechos humanos. Se prestó atención especial al hecho de que obtener las claves da acceso a todo el contenido del disco, y no solo a los datos relacionados con una investigación concreta.
En este contexto, Microsoft es cada vez más comparada con otras empresas tecnológicas. Apple, Google y Meta han diseñado sus sistemas de forma que, incluso cuando se almacenan copias de seguridad en la nube, las claves de cifrado pueden permanecer bajo el control del usuario, lo que hace que las exigencias de las fuerzas de seguridad sean técnicamente impracticables. Matt Green, de la Universidad Johns Hopkins, señaló que son las decisiones arquitectónicas las que determinan el nivel de protección real, y que la existencia de acceso a las claves casi inevitablemente conduce a presiones por parte del Estado.
La investigación en Guam continúa; en los documentos del caso ya consta el uso de datos descifrados con las claves obtenidas de Microsoft. La situación ha intensificado el debate sobre dónde debe trazarse la frontera entre la conveniencia de los servicios, los requisitos de la ley y el derecho fundamental a la privacidad digital.