La nueva actualización de Mac no deja a los usuarios margen para escapar de la recopilación de datos

• La actualización más reciente de Apple, Big Sur, hace que una función que registra la actividad del dispositivo para aplicaciones en línea (y fuera de línea) sea prácticamente imposible de eludir para las soluciones de Privacidad .
• El monitoreo es otro ejemplo de las decisiones de diseño de Apple que comprometen la privacidad, a pesar de los esfuerzos de la compañía por presentarse como un aliado de la Privacidad .
• Las VPN y otros firewalls no pueden eludir esta función.
• Los investigadores de seguridad sugieren que los usuarios que se preocupan por su Privacidad digital exploren otras alternativas de código abierto.

El 12 de noviembre, los usuarios de Mac se quejaron de que sus computadoras funcionaban con lentitud. Esta lentitud coincidió con el lanzamiento deGran Sur, la última actualización de Mac de Apple.

Después de que se lanzó la actualización, un error técnico interrumpió los servidores que Apple usa para las solicitudes OCSP, los paquetes de datos que verifican el certificado SSL de una computadora cuando accede a aplicaciones en línea.Los dispositivos de Apple se estaban apagando porque estas solicitudes OCSP no llegaban a los servidores de Apple.

Cuando algunos usuarios observaron más de cerca, se hizo muy claro por qué los dispositivos fallaron cuando fallaron los servidores OCSP: cada vez que un usuario abre una aplicación (incluso una sin conexión), esa acción es etiquetada y rastreada por los servidores OCSP de Apple.

Esta función se introdujo en la actualización Catalina de Apple, pero ciertas herramientas (como Little Snitch) permitían omitirla. Ahora, con Big Sur, los usuarios promedio de Mac no tienen forma práctica de desactivarla.

Manzana se ha promocionado a sí mismocomo empujandoLa Privacidad como COREde su misión, quizás más públicamente al rechazar las demandas de las fuerzas del orden paradescubrir ONE de los iPhones del tirador de San Bernardino, California, después del ataque de diciembre de 2015.

Pero estas nuevas revelaciones demuestran algunas de las fallas inherentes a la recopilación centralizada de datos: hay que confiar en que Apple no compartirá esta información (o en que no se les obligará a revelarla a una agencia gubernamental). En este caso, sin embargo, el almacenamiento de datos por parte de Apple a través de Big Sur podría no ser el problema principal, ya que estas solicitudes OCSP se transmiten sin cifrar, lo que significa que cualquier entidad que las intercepte puede leer su contenido.

Por lo tanto, si los usuarios de Mac quieren dejar de estar bajo la lupa de Apple, tendrán que explorar alternativas.

La actualización de Mac permite el registro de actividad sin conexión

“En las versiones modernas de macOS, simplemente no puedes encender tu computadora, iniciar un editor de texto o un lector de libros electrónicos y escribir o leer sin que se transmita y almacene un registro de tu actividad”, escribe el hacker e investigador de seguridad Jeffrey Paul en un entrada de blog.

Paul le dijo a CoinDesk en un correo electrónico que no cree que "Apple tenga malas intenciones aquí", pero que su objetivo es monitorear malware y otro software ilícito en sus dispositivos.

El problema, sin embargo, es que estas solicitudes OCSP no están cifradas y, por lo tanto, son vulnerables a la monitorización pasiva. Esto deja los datos expuestos a la recopilación y el análisis por parte de organizaciones de monitorización pasiva a gran escala, como la Agencia de Seguridad Nacional de Estados Unidos (NSA).

“Esto es, por supuesto, una práctica terrible y, a pesar de ser el estándar de la industria, Apple debería saberlo mejor, ya que son expertos en criptografía (que administran su propia autoridad de certificación y usan regularmente herramientas criptográficas relativamente avanzadas como certificados de cliente y fijación de certificados)”, escribió Paul por correo electrónico.

La telemetría es un proceso de diagnóstico mediante el cual los servidores rastrean el uso de un dispositivo. Los sistemas de Apple ahora transmiten una "telemetría involuntaria" abierta a la que cualquier entidad que acceda a los canales de comunicación de internet puede acceder, explicó Paul.

El verdadero riesgo Privacidad no es que Apple pueda estar recopilando estos datos. Probablemente no lo estén haciendo, ya que creo que se trata de un intento de Apple por evitar que el malware se ejecute en su plataforma. El problema es que sirve como telemetría *inadvertida* para cualquiera que esté escuchando por la red, que, en Estados Unidos, son todos los principales proveedores de servicios de internet y el ejército nacional —continuó—.

Este tipo de preocupaciones han dado lugar a argumentos en contraservidores centralizados para el rastreo de contactosen la Unión Europea. También han fomentado recientementeImpulsa las redes mixtas, que mezclan el tráfico de red específicamente para evitar la observación pasiva de metadatos.

Los dispositivos de Apple siempre han sido una especie de jardín amurallado. Las aplicaciones y el software de editores no verificados, por ejemplo, deben ser aprobados manualmente por los usuarios. El objetivo aparente de estos controles es proteger al usuario, pero comoCory Doctorow Como se enfatizó recientemente a CoinDesk por correo electrónico, estos controles pueden anular la agencia en ciertos escenarios (por ejemplo, cuando Apple eliminó miles de aplicacionesdesde su tienda de aplicaciones china).

“Creo que este es un gran ejemplo de lo que Bruce Schneier llama "seguridad feudal", declaró Doctorow a CoinDesk, al comentar sobre la función de registro de actividad. “La idea de que nuestros sistemas ya no nos dan el poder de protegernos, sino que nos exigen entregar nuestro destino a ONE de los grandes caudillos tecnológicos de la época (Facebook, Google, Apple, MSFT, ETC), quien nos protegerá... de todos excepto de T mismos”.

Soluciones de Privacidad de datos

Para cualquier usuario de Mac que desee escapar de la vigilancia, las soluciones tendrán que venir de fuera del ámbito de influencia de Apple.

Antes de la actualización de Big Sur para Mac, las VPN o firewalls como Little Snitch habrían impedido que tu computadora filtrara información. Pero Big Sur supera esto, según Valdas Petrulis, cofundador e ingeniero de software principal de Mysterium Network, un protocolo VPN descentralizado.

“MacOS Big Sur (versión 11.0) permite que el tráfico evite los procesos habitualesreglas de enrutamiento y firewallLo que simplemente significa que Little Snitch no podrá monitorear ni bloquear esto, y una VPN tampoco podrá ayudarte ni ocultarte. macOS simplemente lo ha prohibido.

Sean O’Brien, el investigador principal del Laboratorio de Seguridad Digital de ExpressVPN, dijo que en última instancia una VPN no “evitará que Apple pueda recopilar estos datos, pero [al menos] los protegería de otros intermediarios de la red mientras viajan por Internet”.

Hay una forma de desactivar esta función, aunque Paul indicó que solo los expertos en macOS deberían intentarlo. Apple cambia los servicios del sistema que se pueden desactivar con cada actualización, explicó Paul, por lo que esto podría cambiar en el futuro.

“Sin embargo, en realidad, lo primero que los consumidores pueden hacer para proteger su Privacidad al usar dispositivos Apple es *nunca* usar iCloud y no usar iMessage”, continuó Paul. Datos de iCloud no está encriptado, dijo, lo que permite "que el FBI o el ejército de Estados Unidos lean prácticamente todo el historial de iMessage de todos sin tener que tocar nunca el dispositivo".

¿Alternativas?

Según Paul, ¿la única forma de escapar del panóptico de Apple? «Software de código abierto que no te espía». Antes, esto se refería a herramientas como Little Snitch, Tor y VPN, pero ahora que Apple tiene un control más estricto sobre la Privacidad personal, quienes se preocupan seriamente por Privacidad solo pueden cambiar de proveedor de hardware y software.

Tal vez como testimonio de que los usuarios están realizando un cambio, Sharmini Ravindran, CMO de Mysterium, dijo que el servicio ha experimentado “entre 8 y 10 veces más interés” en su aplicación para Windows en comparación con su versión para Mac.

Por supuesto, Microsoft tampoco es un santo de la Privacidad, lo que significa que el software gratuito y de código abierto Linux, durante mucho tiempo la opción de la mayoría de los defensores de la Privacidad , podría ser la apuesta más segura.

Pero eso solo funcionará si al usuario típico de Mac le importa lo suficiente la función de filtración de privacidad. Y si le importa, también está la cuestión de saber lo suficiente sobre computadoras para arrancar y mantener Linux. ONE de los puntos fuertes de Apple es su facilidad de uso incluso para los usuarios más reacios a la tecnología, lo cual puede resultar atractivo dado que la tecnología de Privacidad a veces presenta inconvenientes para quienes están acostumbrados a iniciar sesión en todo con Face ID.

Por otra parte, Apple también tieneHa sido elogiado por ser consciente de la privacidad. compañía, y la percepción públicaSiempre está cambiando.

“Apple no solo está exponiendo a sus clientes al riesgo de los propios ejecutivos de la empresa y de las decisiones corporativas, sino que también está creando un riesgo moral para los gobiernos, invitándolos a obligar a Apple a (ab)usar esta función para dañar, en lugar de ayudar, a sus usuarios”, dijo Doctorow.