Detrás de esta puerta, Apple hace mil perrerías a los iPhone para blindarlos

El corazón del último iPhone, un Bionic A17, es una maraña de 19.000 millones de transistores concentrados en una superficie mínima. Señalar uno concreto o un puñado reducido de ellos es una tarea que deja eso de encontrar una aguja en un pajar en un juego de niños.

Cuando alguien va a instalar una aplicación, el sistema le da el alto y escanea el paquete de software. Si no tiene autorización se rechaza, pero en caso de que sea algo legítimo, el comando de validación produce una pequeña respuesta física en una parte del chip. Si alguien consiguiera recrear esa reacción en el momento exacto y en el lugar exacto del procesador, podría hacer creer al dispositivo que una app falsa en realidad es de fiar y colarle malware.

Son tantos los condicionantes que harían falta que se den al mismo tiempo que parece imposible que a alguien le merezca la pena intentarlo. No solo hace falta tener acceso al móvil que se quiere reventar y disponer del equipo necesario para recrear esa situación, también hace falta saber dónde apuntar y en qué instante hacerlo. Hacerlo unas micras más allá o un par de milisegundos a destiempo no serviría de nada.

Es probable que a día de hoy ni siquiera haya alguien que se le haya pasado intentar infectar un iPhone de esta forma, pero a Apple le da igual lo improbable que parezca. Prueba de ello es una enorme máquina que han montado para hacer ellos estas pruebas. Ocupa la mitad de una habitación y está equipada con un láser y un microscopio de última generación. De esta forma, pueden acabar mejorando la creación y fabricación de sus procesadores para evitar que nadie convierta esto en una brecha de seguridad.

Este búnker es una instalación única en todo el mundo y su puerta sólo se ha abierto en dos ocasiones para recibir a gente que no pertenezca a la compañía. El Confidencial ha sido uno de los pocos medios a nivel mundial que ha podido acceder a día de hoy a este lugar.

Al contrario de lo que se pueda pensar no está en los cuarteles generales de la multinacional en Cupertino o la sede satélite que tiene en Austin. Está mucho más cerca, en París. El motivo para colocar esta instalación que definen como crítica en este punto del mapa no es otro que el talento disponible. La compañía dice que Francia atrajo mucho conocimiento y muchas empresas especializadas cuando empezaron a surgir las tarjetas bancarias inteligentes. Aquello derivó en un ecosistema único, según los californianos, alimentado por programas universitarios punteros y un gran conocimiento desde el punto de vista de la industria.

El laboratorio parisino de Apple pone especial énfasis en todo lo que tiene que ver con el hardware. La compañía, al igual que media industria, tiene jugosas recompensas para que hackers y especialistas en seguridad encuentren fallos en su software y les informen para solucionarlos antes de que alguien pretenda explotarlos. Pero cuando el agujero tiene que ver con el diseño de un componente todo es más complicado de solucionar, porque puede ser que un parche o una actualización no sea suficiente.

¿Por qué en París y no en Cupertino? Apple dice que por el talento disponible en Francia

Algunas de las escenas que allí se ven pueden parecer disparatadas para alguien sin conocimiento. Junto a la sala donde se ha intentado engañar a un procesador de Apple con el mentado láser, una mujer enseña otro experimento en el que se intenta detectar y medir las reacciones físicas de los componentes. Uno piensa que la tecnología habla en código binario, con unos y ceros, pero en realidad piezas como el procesador de los teléfonos pueden emitir pequeñas vibraciones o cambios de temperaturas cuando están cumpliendo nuestras órdenes. Cambios que pueden ser imperceptibles o insignificantes para el usuario pero que pueden proporcionar información bastante valiosa.

En esta sala se están cuantificando esas reacciones que se producen cuando el chip está cifrando un puñado de fotografías para almacenarlas en la nube, apoyándose en sensores afinadísimos de percibir la más mínima variación. Toda esa información se utiliza para alimentar una inteligencia artificial que sea capaz de sondear, señalar y detectar posibles vulnerabilidades incluso antes de que alguien sea consciente de que eso se puede explotar de alguna manera para colarse en estos dispositivos.

Estos son solo dos ejemplos de los muchos experimentos que se hacen entre estas paredes. Son muchas las preguntas que el común de los mortales puede tener tras pasar por aquí. ¿Quién es susceptible de ser atacado con técnicas tan tremendamente costosas y complejas de llevar a cabo? ¿Periodistas, políticos, disidentes o directivos de multinacionales? ¿Tantos son? ¿Realmente es necesario dedicar tantos recursos a una amenaza que presuntamente afecta a tan pocas personas? Un portavoz de la compañía explica que la lógica detrás de todo esto: si se consigue un dispositivo que sea capaz de neutralizar las intromisiones y ataques más capaces, este trabajo servirá también para proteger al usuario de a pie de posibles amenazas de menor nivel.

Este tipo de ataques no eran una preocupación, o al menos no públicamente, hasta mediados de la pasada década, cuando Pegasus empezó a hacer de las suyas. Si no les suena basta con que sepan que es un software espía creado por una empresa israelí que ha afectado a políticos y personalidades de todo el mundo. Aunque estaba diseñado para venderse única y exclusivamente a agencias y cuerpos de seguridad estatales, hay bastante certeza de que otro tipo de actores han podido acceder a este producto.

Los trabajos hechos en este lugar ayudan a crear herramientas de protección contra Pegasus o para crear nuevos sistemas de cifrado

En España, el terminal de Pedro Sánchez o el de Margarita Robles fueron infectados, algo que causó mucho revuelo entre 2022 y 2023. Pegasus es la más conocida de una serie de herramientas de esta naturaleza, una lista cada vez más larga en la que hay otras alternativas como Reign, Predator, Cytrox o Candir. Aunque el número de personas afectadas puede ser “muy reducido” en comparación con ataques y técnicas más masivas como el phishing o el scamming, es un problema global ya que se han reportado casos en más de 150 países.

Para ponerle freno, Apple lanzó hace unos meses una función de la que probablemente no haya oído hablar y probablemente jamás la necesite. Se llama “modo bloqueo” y está pensado para personas que creen que su iPhone está siendo atacado por software espía. Se trata de un modo que restringe el funcionamiento del teléfono para evitar que estas herramientas accedan a partes o información crítica almacenada en el móvil. La primera versión estaba circunscrita únicamente al iPhone, pero la última actualización ya tiene funciones pensadas para proteger otros dispositivos como el Apple Watch o el MacBook.

Parte de los trabajos realizados en el laboratorio de París también han servido para desarrollar una de las últimas novedades en materia de seguridad puesta en marcha por Apple. Una novedad que una vez más será invisible para la práctica totalidad de los usuarios de la compañía y es que en la última versión de iOS incluye un protocolo cifrado para iMessage capaz de resistir la computación cuántica. Hasta el día de hoy solo Signal se había preocupado en añadir algo así a su sistema de mensajería.

TE PUEDE INTERESAR

Google tiene fecha para 'vender' su ordenador cuántico, pero aún no sabemos para qué usarlo

Michael Mcloughlin

La cuestión es que este tipo de ordenadores no existen todavía de forma generalizada y no se sabe cuándo dejarán de ser una cosa experimental y tan reducida como son hasta ahora. El problema de esta tecnología es que promete multiplicar exponencialmente la capacidad de cálculo y, por tanto, ser capaz de reventar los sistemas de criptografía actuales. Hay atacantes que ya están almacenando información que no han podido descifrar a la espera de tener acceso a ordenadores cuánticos que les permitan romper el cifrado actual. Es una práctica conocida como “cosechar ahora, descifrar después”.

La DMA: un cambio de planes para Apple

Pero en esta hoja de ruta para convertir a su teléfono en una fortaleza inexpugnable, la compañía se ha encontrado con un obstáculo inesperado. El obstáculo en cuestión se llama Digital Market Act y es una norma de la Unión Europea que ha obligado a la compañía a introducir cambios históricos en su negocio y en la forma que gobierna sus dispositivos.

En los mentideros especializados, al iPhone siempre se le ha descrito como un jardín amurallado o una jaula dorada. A la hora de instalar aplicaciones, la única vía posible era la App Store, que es la tienda oficial que Apple creó para sus productos.

Esto permitió a la compañía mantener un estricto control sobre qué se podía instalar y qué no en iOS, aumentando la seguridad frente al otro gran sistema operativo móvil, Android, de naturaleza más abierta. Esto les ha permitido durante años evitar titulares y noticias sobre aplicaciones con malware que se habían colado en miles de terminales sin que sus propietarios se diesen cuenta.

TE PUEDE INTERESAR

Apple ha declarado la guerra a estas 'apps' y dice mucho del negocio que quiere defender

M. Mcloughlin

Pero esto a la vez era también un jugoso negocio para la compañía, que no permitía introducir pasarelas de pago propias a los desarrolladores y les obligaba a utilizar la suya, llevándose una comisión que oscilaba entre el 15 o el 30%. En caso de no querer, se veían obligados a que los usuarios se diesen de alta por otras vías. En los últimos tiempos, Apple se ha ido viendo obligada a introducir cambios en este sistema después de que las autoridades de medio mundo pusiesen la lupa sobre este asunto. En algunos casos, como en Europa, le ha costado caro. La Comisión le impuso recientemente una multa de 1.800 millones por entender que estas normas dañaban la competencia del mercado del streaming musical. La denuncia que desencadenó esto vino de Spotify, que se ha quejado siempre de que esto no le permitía competir en igualdad de condiciones con Apple Music.

La DMA supone un nuevo giro de tuerca al obligar a lo que se conoce como sideloading, que básicamente es permitir la instalación de aplicaciones a través de tiendas de terceros o de la web en el iPhone. Algo que les obliga, en parte, a comportarse como Android, un sistema que lleva permitiendo esta práctica desde siempre. Apple alegó que esto iba a ser un riesgo para la seguridad de los usuarios, ya que abría la puerta a peligros que hasta ahora eran reducidos.

Las autoridades europeas no hicieron caso a estos argumentos y la compañía se vio obligada a introducir estos cambios. Los representantes de la tecnológica insisten en que van a cumplir la ley, “como hacen en todos los mercados que están presentes”, e incluso afirman que este cambio abre oportunidades para que otros innoven, creando tiendas de apps de una materia muy específica o dirigidas a un sector muy concreto.

Sin embargo, la solución no ha pasado simplemente por levantar la barrera, sino que han creado una suerte de sistema de autorizaciones. Los que quieran vender sus apps fuera de la App Store tendrán que proveer una serie de información y pasar una auditoría que se hará mediante sistemas automatizados y una revisión por parte de técnicos de carne y hueso para asegurar que cumplen unos estándares de seguridad. Además, los usuarios verán una serie de avisos en los que se les dejará claro el origen de la app o que la pasarela de pago que van a utilizar no es propia de la compañía.

“La certificación notarial proporcionará un mayor nivel de confianza para las aplicaciones, ya que algunas pueden pretender engañar al usuario desde el principio”, defiende Gary Davis, Data Protection Officer de Apple, quien charló brevemente con este periódico durante la visita a las instalaciones de la compañía en París. Este directivo apunta a que los controles no se producirán únicamente al principio, sino que habrá un monitoreo constante para evitar que se introduzca malware fraudulentamente, por ejemplo, a través de una aplicación.

Los tradicionales detractores de la compañía (entre los que se incluyen los desarrolladores de apps como Tinder o Spotify) han criticado que este sistema no es una solución definitiva, porque sigue permitiendo que Apple mantenga su posición de dominio sobre su ecosistema. La UE se ha limitado a decir que vigilará que el nuevo sistema cumpla la legislación comunitaria.

PREGUNTA: Me resulta extraño que se haya armado tanto revuelo en el caso de la DMA y del iPhone, cuando otros productos como los Mac ya permiten instalar aplicaciones y programas de terceros. ¿Cuál es la diferencia?

RESPUESTA: (Señala el iPhone que está sobre la mesa) La respuesta es bastante simple. ¿Entraste aquí con eso? Sí. Lo has abierto muchas veces hoy. Con tu reloj, ha registrado tus pasos, ha registrado si estás haciendo ejercicio. Está registrando los latidos del corazón y los está almacenando. Incluso esta conversación la estás grabando. Las ubicaciones frecuentes de tu hogar y tu trabajo están en ese dispositivo. Y todo esto que te he dicho solo es la punta del iceberg en términos de lo que un móvil registra y asocia contigo. Esa es la diferencia. La sensibilidad de la información, que está lejos de la sensibilidad de la información de un Mac. Obviamente también nos preocupamos por la seguridad de este dispositivo, pero el daño que puede causar un acceso no autorizado a lo que hay en un iPhone es fundamentalmente diferente.

-P: Quizá esté pecando de hacer una lectura filosófica del asunto, pero, ¿por qué siempre tengo la sensación en estos casos que la elección de los usuarios tiene que ser: o más seguridad o más libertad?

R: Creo que hay una gran cantidad de usuarios, pero son una minoría, que tienen conocimientos técnicos suficientes, leen lo suficiente, se educan de manera eficiente y tienen tiempo para tomar este tipo de decisiones en torno a la seguridad y privacidad. Pero probablemente son los menos. La mayoría de usuarios, gente como mis hijos o mis padres, no toman estas decisiones. Aceptan cuáles son los valores predeterminados y confían en los mundos que ya existen. Por eso, nuestra obligación es presentar que funcione desde el primer segundo en esta materia.

"No creo que haya que ir a un mundo en el que haya que cambiar la configuración inicial para obtener seguridad y privacidad"

“Se trata de presentar la información y que tú decidas qué hacer. No creo que haya que ir a un mundo en el que las personas tengan que cambiar la configuración predeterminada para obtener esa seguridad y privacidad”, apunta el directivo. Insiste en la idea de que hay que hacer este asunto “fácil para los usuarios” y que, cuando se hace así, las cosas son adoptadas como ocurrió en el caso del Touch ID o el Face ID.

Cuando se le pregunta por si la DMA responde a una demanda de los usuarios o de la industria tecnológica, es tajante: “Hemos escuchado a usuarios interesados en tener opciones fuera de la App Store, pero no creo que ninguno de nosotros sepa qué porcentaje están interesados. Yo no conozco a ninguno y no siento que una gran oleada de usuarios quieran tener esas opciones”. Davis apunta a que ha sido Europa la que ha considerado necesario crear estas alternativas y que ahora ellos como empresa tienen que alinearlas con la “manera en la que ven el mundo”. “Lo que queremos es que cuando tomen esa decisión lo hagan de manera informada”, añade. “El tiempo dirá cuál es la demanda real de los usuarios de estas alternativas. Ahora no lo sabemos”.