Un reciente incidente legal ha revelado una realidad incómoda para los usuarios del sistema operativo Windows: los datos cifrados localmente no son necesariamente privados ante la ley. El gigante tecnológico Microsoft ha confirmado que proporcionó al Buró Federal de Investigaciones (FBI) las claves de recuperación necesarias para descifrar los datos almacenados en tres portátiles, como parte de una investigación penal en Guam.
El caso se centra en un presunto fraude relacionado con los fondos de asistencia por desempleo durante la pandemia de COVID-19. Aunque los dispositivos estaban protegidos con BitLocker, el software de cifrado integrado en las versiones modernas de Windows, los investigadores no tuvieron que romper el código por fuerza bruta. Emitieron una orden de registro a Microsoft, que entregó las claves de recuperación, permitiendo un acceso irrestricto a las pruebas digitales.
El problema de privacidad surge de la forma en que BitLocker funciona por defecto en los ordenadores modernos. Para evitar situaciones en las que los usuarios pierdan definitivamente el acceso a sus datos por olvidar sus contraseñas, Windows crea automáticamente una copia de seguridad de la clave de recuperación en la cuenta de Microsoft del usuario (en la nube).
Esta función de “comodidad” crea, sin embargo, una vulnerabilidad importante: Microsoft se convierte en el custodio de tus claves de cifrado. La compañía ha reconocido que recibe aproximadamente 20 solicitudes de este tipo al año para las claves de BitLocker y que responde afirmativamente a las órdenes judiciales válidas, proporcionando acceso a las autoridades. En la práctica, aunque los datos estén cifrados en el disco, la clave “de respaldo” se encuentra en los servidores de la empresa, accesible a sus ingenieros y, por extensión, a las fuerzas del orden.
Este enfoque sitúa a Microsoft en un claro contraste con otras grandes empresas de tecnología que han adoptado el cifrado de extremo a extremo (E2EE) o sistemas “de conocimiento cero”. Compañías como Apple o Meta han construido sus arquitecturas de seguridad de tal manera que ni siquiera ellas pueden acceder a los datos de los usuarios, haciendo imposible la entrega de estos, incluso ante una orden judicial.
Apple, por ejemplo, a través de la función Advanced Data Protection, asegura que las claves de descifrado para las copias de seguridad de iCloud permanecen exclusivamente en los dispositivos del usuario. En cambio, Microsoft mantiene el control sobre las claves de BitLocker cargadas en la nube, exponiendo a los usuarios a la vigilancia legal o a posibles brechas de seguridad de las cuentas online.
Aunque Microsoft afirma que los usuarios tienen la opción de eliminar manualmente las claves de recuperación de su cuenta en línea, la configuración predeterminada favorece la carga automática de las mismas. La mayoría de los usuarios no son conscientes de la existencia de esta copia de seguridad en la nube ni de que su nivel de privacidad se ve comprometido por la configuración predeterminada del sistema operativo.