Microsoft se enfrenta a crecientes críticas tras confirmarse que entregó claves de recuperación de BitLocker al gobierno de Estados Unidos para desbloquear discos cifrados. Esta revelación ha generado preocupación, ya que rompe con la expectativa implícita de que los datos de un usuario permanecen seguros incluso si su dispositivo es comprometido. El punto central en términos de privacidad es claro: si la clave de cifrado se almacena en la nube de Microsoft, Microsoft puede verse obligada a entregarla en respuesta a una orden judicial válida, abriendo así una vía legal y técnica a la información del usuario.
¿Qué ocurrió con Microsoft, BitLocker y el FBI?
El caso que desató la controversia se originó en una investigación federal. El FBI solicitó y obtuvo claves para descifrar la información contenida en tres portátiles, y Microsoft cumplió con la orden. Según un portavoz de la compañía, Microsoft proporciona las claves de recuperación cuando existe una“orden legal válida” y las claves están almacenadas en sus servidores, como ocurre si el usuario optó por guardarlas en la nube. Asimismo, se ha revelado que Microsoft recibe aproximadamente 20 solicitudes de este tipo al año, lo que indica que no se trata de un incidente aislado, sino de un mecanismo operativo dentro del sistema.
Este asunto impacta la reputación de Microsoft, ya que BitLocker se comercializa (y se percibe) como una sólida capa de seguridad para el usuario común. Sin embargo, el hecho de que la clave se respalde en la nube por conveniencia altera significativamente el modelo de amenaza. Es fundamental comprender que no se trata de una vulneración del cifrado en sí, sino de que el cifrado funcionó correctamente, pero el almacenamiento de la clave en un tercero facilitó el acceso a la información mediante una orden judicial.
¿Qué implicaciones tiene esto para tu privacidad?
BitLocker realiza un cifrado de disco completo: si alguien roba tu computadora apagada o bloqueada, en teoría no podrá acceder a tus archivos debido al cifrado. El problema radica en que, por defecto o por elección del usuario, la clave de recuperación puede terminar almacenada en la nube de Microsoft, convirtiendo a Microsoft en un “custodio” con la capacidad de ayudar a recuperar o entregar la clave.
Desde una perspectiva de privacidad, la pregunta clave no es solo “¿estoy siendo espiado?”, sino “¿quién puede acceder a mis datos si mi dispositivo cae en manos de terceros?”. Si una agencia gubernamental obtiene una orden judicial y Microsoft posee la clave, el cifrado deja de ser un mecanismo de protección exclusivo del usuario y se convierte en un candado con una copia de la llave en manos de un tercero. Diversas organizaciones y figuras críticas, incluido el senador Ron Wyden, han señalado que es irresponsable diseñar productos que permitan al proveedor entregar las claves que desbloquean la vida digital de una persona.
Además, expertos advierten sobre un riesgo paralelo igualmente grave: si estas claves se centralizan en la infraestructura en la nube, un atacante que comprometa los sistemas de Microsoft podría intentar acceder a ellas (aunque aún necesitaría acceso físico a los discos para utilizarlas). Esta combinación de factores (claves, nube e historial de incidentes de seguridad en la industria) hace que el problema trascienda un simple caso criminal.
Sigue leyendo:
• EE.UU. anuncia recompensa de 5 millones por hombre que vendió teléfonos encriptados a narcos
• FBI advierte a usuarios de iPhone dejar de enviar mensajes de texto por un posible hackeo
• ¿Cuánto pagó el FBI al experto en telefonía que traicionó a “El Chapo”?
