Verschlüsselung

Tras los informes de que Microsoft, bajo orden judicial, está entregando claves almacenadas en sus servidores en la nube para la protección SSD local de BitLocker, los usuarios de macOS se preguntan si se enfrentan a una amenaza similar. Al menos hasta macOS 26, también conocido como Tahoe, la respuesta, al estilo de Radio Yerevan, era: “En principio, sí, pero…”

Acceso sin Protección Avanzada de Datos, al menos concebible

Antes del nuevo sistema operativo lanzado en otoño, los usuarios podían decidir con FileVault: o bien la encriptación se ejecuta puramente a nivel local y se anota una clave de recuperación –que, por cierto, solo aparece una vez–, o bien se almacenaba en iCloud, permitiendo así desencriptar FileVault con su Cuenta de Apple. Si se elegía esta opción, se corría el riesgo de tener problemas similares a los de BitLocker de Microsoft: si las autoridades estatales persuadían a Apple para que concediera acceso a la cuenta de Apple, incluido iCloud, también era posible acceder a FileVault. Actualmente, no está claro cómo, si y con qué frecuencia esto ya ha ocurrido; la compañía del iPhone aún está procesando una consulta correspondiente de Mac & i.

Sin embargo, existía una solución potencial para esto, aunque no fuera recomendada por el sistema operativo de forma predeterminada: el uso de la protección avanzada de datos para iCloud, en inglés Advanced Data Protection, o ADP, por sus siglas en inglés. Esta tecnología, disponible desde finales de 2022 / principios de 2023, garantiza que todo el contenido confidencial almacenado con Apple esté (finalmente) encriptado de extremo a extremo y que el propio Apple –y, por tanto, las autoridades equipadas con órdenes judiciales que se dirijan a Apple– no tenga acceso a él. Esto también protegía el acceso a FileVault. El problema: muchos usuarios simplemente no conocen o no encuentran ADP, o incluso temen la función porque Apple ya no puede ayudarlos después de la activación si pierden su contraseña (pero existen otras opciones para ello).

Con macOS 26, FileVault se vuelve más seguro

Avancemos rápidamente a macOS 26: el nuevo sistema operativo ahora ha hecho que FileVault sea más seguro de forma predeterminada. Debido a que, en lugar de almacenar opcionalmente la clave de recuperación en iCloud, donde Apple podría tener acceso, se utiliza el Llavero de iCloud. Este ha estado encriptado de extremo a extremo desde el principio y, por lo tanto, Apple nunca ha podido verlo. El acceso solo es posible en combinación con una contraseña y un segundo factor, al que Apple tampoco tiene acceso, ya que está vinculado a un dispositivo propiedad del usuario.

Molestamente, con FileVault en Tahoe, Apple ya no pregunta si se debe realizar la sincronización o no. Si el Llavero de iCloud está activo (indicado por “Contraseñas” que está activo en la configuración de la cuenta de Apple para iCloud), la clave de recuperación se almacena automáticamente allí; ya no se puede evitar esto, como era posible con el almacenamiento inseguro puro de iCloud en macOS 15 y anteriores. Sin embargo, es útil en macOS 26 que la clave de recuperación se pueda mostrar un número ilimitado de veces en la configuración de FileVault. Definitivamente debería anotarla y guardarla en un lugar seguro, independientemente de si utiliza el Llavero de iCloud o no.

(bsc)