El FBI está loco porque sigue entrando en iPhones bloqueados sin la ayuda de Apple

El debate sobre el cifrado continúa adelante sin fin.

En los últimos meses, el discurso se ha alejado en gran medida de los teléfonos inteligentes cifrados para centrarse en su lugar en la mensajería cifrada de extremo a extremo. Pero una reciente conferencia de prensa de los jefes del Departamento de Justicia (DOJ) y la Oficina Federal de Investigaciones (FBI) mostró que el debate sobre el cifrado de dispositivos no está muerto, sino que simplemente estaba descansando. Y no desaparecerá.

En el prensador, el fiscal general William Barr y el director del FBI Chris Wray anunciaron que después de meses de trabajo, los técnicos del FBI habían logrado desbloquear los dos iPhoneutilizados por el oficial militar saudita que llevó a cabo un tiroteo terrorista en la Estación Aérea Naval de Pensacola en Florida en diciembre de 2019. El tirador murió en el ataque, que fue rápidamente reclamado por Al Qaeda en la Península Arábiga.

A principios de este año, un mes sólido después del tiroteo, Barr le había pedido a Apple que ayudara a desbloquear los teléfonos (uno de los cuales fue dañado por una bala), que eran modelos más antiguos de iPhone 5 y 7. Apple proporcionó "gigabytes de información" a los investigadores, incluyendo "copias de seguridad de iCloud, información de cuentas y datos transaccionales para varias cuentas", pero dibujó la línea de ayudar con los dispositivos. La situación amenazó con revivir el enfrentamiento de 2016 "Apple contra el FBI" sobre otro iPhone bloqueado después del ataque terrorista de San Bernardino.

Después de que el gobierno fue a la corte federal para tratar de arrastrar a Apple para hacer el trabajo de los investigadores para ellos, la disputa terminó anticlimáticamente cuando el gobierno entró en el teléfono en sí después de comprar un exploit de un proveedor externo que el gobierno se negó a identificar. El caso Pensacola culminó de la misma manera, excepto que el FBI aparentemente usó una solución interna en lugar de la explotación de un tercero.

Uno pensaría que el éxito del FBI en una tarea complicada (recuerde, uno de los teléfonos había sido disparado) sería una buena noticia para el FBI. Sin embargo, una nota inconfundible de amargura tenió las observaciones laudatorias en la conferencia de prensa para los técnicos que lo hicieron realidad. A pesar del impresionante logro de la Oficina, y a pesar de los gobs de los datos que Apple había proporcionado, Barr y Wray dedicaron gran parte de sus comentarios a maldecir a Apple, con Wray llegando a decir que el gobierno "no recibió efectivamente ayuda" de la compañía.

Esta táctica de distracción funcionó: en las noticias que cubren la conferencia de prensa, titular tras titular destacó el slam del FBI contra Apple en lugar de centrarse en lo que la conferencia de prensa era nominalmente: el hecho de que las agencias federales de aplicación de la ley pueden entrar en iPhones bloqueados sin la ayuda de Apple.

Esa debería ser la noticia principal, porque es importante. Esa verdad incómoda socava la afirmación de larga data de las agencias de que están indefensos frente al cifrado de Apple y por lo tanto la compañía debería verse legalmente obligada a debilitar el cifrado de su dispositivo para el acceso a las fuerzas del orden. No es de extrañar que Wray y Barr estén tan enojados que sus empleados sigan siendo buenos en sus trabajos.

Al revivir la vieja rutina de culpa-Apple, los dos funcionarios lograron evadir una serie de preguntas que su conferencia de prensa dejó sin respuesta. ¿Cuáles son exactamente las capacidades del FBI cuando se trata de acceder a teléfonos inteligentes bloqueados y encriptados? Wray afirmó que la técnica desarrollada por los técnicos del FBI es "de aplicación bastante limitada" más allá de los iPhones Pensacola. ¿Qué tan limitado? ¿Qué otras técnicas de agrietamiento telefónico tiene el FBI y qué modelos de teléfonos y en qué versiones móviles del sistema operativo funcionan de forma fiable? ¿En qué tipo de casos, para qué tipo de delitos, se utilizan estas herramientas?

Tampoco sabemos qué ha cambiado internamente en la Oficina desde ese maldito Inspector General postmortem 2018 sobre el asunto de San Bernardino. ¿Qué pasó con los planes del FBI, anunciados en el informe IG, para reducir la barrera dentro de la agencia al uso de herramientas y técnicas de seguridad nacional en casos criminales? ¿Ese cambio se cumplió, y desempeñó un papel en el éxito de Pensacola? ¿Está el FBI agrietando los teléfonos de los sospechosos criminales utilizando técnicas clasificadas del contexto de seguridad nacional que podrían no pasar desalado en un procedimiento judicial (si su uso fuera reconocido en absoluto)?

Además, ¿cómo complementan las capacidades internas del FBI el ecosistema más grande de herramientas y técnicas para que las fuerzas del orden accedan a teléfonos bloqueados? Esos incluyen proveedores de terceros GrayShift y dispositivos de Cellebrite, que, además del FBI, cuentan numerosos Estados Unidos. departamentos de policía estatales y locales y las autoridades federales de inmigración entre sus clientes. Cuando se conectan a un teléfono bloqueado, estos dispositivos pueden pasar por alto el cifrado del teléfono para producir su contenido, y (en el caso de GrayShift) pueden plantar spyware en un iPhone para registrar su código de acceso cuando la policía engaña al propietario de un teléfono para que entre en él. Estos dispositivos funcionan en modelos de iPhone muy recientes: Cellebrite afirma que puede desbloquear cualquier iPhone para la aplicación de la ley, y el FBI ha desbloqueado un iPhone 11 Pro Max usando el dispositivo GrayKey de GrayShift.

Además de Cellebrite y GrayShift, que tienen un bien establecido EE.UU. base de clientes, el ecosistema de empresas de piratería telefónica de terceros incluye entidades que comercializan software de piratería telefónica de acceso remoto a gobiernos de todo el mundo. Tal vez el ejemplo más notorio es el Grupo InE con sede en Israel, cuyo software Pegasus ha sido utilizado por gobiernos extranjeros contra disidentes, periodistas, abogados y activistas de derechos humanos. Los EE.UU. de la compañía brazo ha intentado comercializar Pegasus en el país a los departamentos de policía estadounidenses con otro nombre. ¿Qué proveedores externos suministran soluciones de piratería telefónica al FBI y a qué precio?

Finalmente, ¿quién más además del FBI será el beneficiario de la técnica que funcionó en los teléfonos de Pensacola? ¿Comparte el FBI las herramientas de proveedorquelas que compra, o sus propias herramientas de origen, con otras agencias (federales, estatales, tribales o locales)? ¿Qué herramientas, qué agencias y para qué tipo de casos? Incluso si no comparte las técnicas directamente, ¿las usará para desbloquear teléfonos para otras agencias, como lo hizo para un fiscal del estado poco después de comprar el exploit para el iPhone de San Bernardino?

Tenemos poca idea de las respuestas a cualquiera de estas preguntas, porque las capacidades del FBI son un secreto muy guardado. Qué avances e avances ha logrado, y qué proveedores ha pagado, nosotros (que proporcionan los dólares de los contribuyentes para financiar este trabajo) no se les permite saber. Y la agencia se niega a responder preguntas sobre el impacto del cifrado en sus investigaciones, incluso de los miembros del Congreso, que pueden estar al tanto de la información confidencial denegada al público en general.

La única información pública que sale de la caja negra del FBI es nada como la reciente conferencia de prensa. En un evento sobre las capacidades de piratería telefónica del FBI, el Director Wray y AG Barr lograron con astucia desviar la atención de la prensa sobre Apple, esquivando cualquier pregunta difícil, como lo que las habilidades del FBI significan para la privacidad de los estadounidenses, las libertades civiles y la seguridad de los datos, o incluso preguntas básicas como cuánto cuesta la operación de agrietamiento telefónico de Pensacola.

Como demostró el reciente espectáculo de relaciones públicas, una conferencia de prensa no es un descuido. Y en lugar de ejercer su poder de supervisión, exigir más transparencia o exigir un análisis contable y costo/beneficio de los gastos de piratería telefónica del FBI, en lugar de exigir una respuesta directa y concluyente a la eterna pregunta de si, A la luz de las capacidades en constante evolución de la agencia, realmente hay necesidad de obligar a los fabricantes de teléfonos inteligentes a debilitar el cifrado de sus dispositivos – el Congreso está inventando legislación peligrosa como la Ley EARN IT, que corre el riesgo de socavar el cifrado justo cuando una población forzada por COVID-19 a hacer todo en línea desde casa menos puede permitírselo.

El mejor escenario ahora es que la agencia federal que demostró su falta de confianza al mentir al Tribunal de Vigilancia de Inteligencia Extranjera puede romper con nuestros teléfonos inteligentes, pero tal vez no todos ellos; que tal vez no está compartiendo sus juguetes con los departamentos de policía estatales y locales (que están plagados de abusadores domésticos que les encantaría tener acceso a los teléfonos de sus víctimas); que a diferencia de los dispositivos de proveedores de terceros, tal vez las herramientas del FBI no terminarán en eBay donde los criminales pueden comprarlos; y que esperemos que no haya pagado dinero de los contribuyentes a la compañía de spyware cuyo cliente gubernamental más conocido asesinó y desmembraba a un periodista.

El peor de los casos sería que, entre herramientas interna y de terceros, prácticamente cualquier agencia de aplicación de la ley ahora puede romper confiablemente en los teléfonos de todos, y sin embargo esto resulta ser el año en que finalmente obtienen su victoria legislativa sobre el cifrado de todos modos. Si estás a poco una tablet, intenta mosqueta lo que pasa por la ubicación.