¿Las copias de seguridad de iCloud están encriptadas, tanto cuando se transmiten como cuando se almacenan? ¿Es posible que alguien en Apple acceda a cualquier copia de seguridad realizada en la entrada de datos?
Escuché que cuando las aplicaciones se extrajeron de la tienda de aplicaciones, también se eliminaron las copias de seguridad de iCloud, por lo que si Apple puede modificarlas, ¿seguramente no están almacenadas de forma segura?
Tengo muchas de mis contraseñas para sitios web y aplicaciones guardadas, así que supongo que también están almacenadas en las copias de seguridad.
ArsTechnica acaba de escribir un gran artículo sobre esto .
Un descarte rápido:
La respuesta simple es que sus datos son al menos tan seguros como cuando se almacenan en cualquier servidor remoto, si no más. Todos los datos se transfieren a computadoras y dispositivos móviles utilizando una capa de conexión segura a través de WebDAV, IMAP o HTTP. Todos los datos, excepto los correos electrónicos y las notas, más sobre esto más adelante, se almacenan y cifran en un disco en los servidores de Apple. Y los tokens de autenticación seguros se crean en dispositivos móviles para recuperar información sin transmitir constantemente una contraseña.
Y las copias de seguridad se almacenan y transfieren encriptadas. En cuanto a que un empleado pueda acceder a una copia de seguridad, solo un empleado de Apple podría responder correctamente.
Si se extrajo una aplicación de la tienda, es posible que no necesiten ingresar a su copia de seguridad para eliminarla. Todas las aplicaciones tienen un identificador único y, en todo caso, pueden eliminar esa copia de seguridad para todos (piense en las copias de seguridad que se almacenan individualmente en lugar de un gran archivo ZIP, por así decirlo). Nuevamente, esto es interno de Apple, por lo que nadie puede responder completamente esa parte.
Finalmente, las copias de seguridad incluyen el llavero, pero también está encriptado y la clave está vinculada al dispositivo que realizó la copia de seguridad.
De varios lugares que he leído en línea, Apple cumple o supera (más a menudo el caso) los procedimientos de seguridad estándar en este sentido.
Las buenas noticias. Los datos se cifran mediante SSL mientras se transfieren entre su computadora y los servidores de iCloud. Además, los datos se cifran mientras están "en reposo", almacenados en los servidores de iCloud (con algunas excepciones; consulte a continuación). El cifrado es invisible, fácil de usar y automático (activado de forma predeterminada).
Las noticias menos buenas.iCloud usa encriptación del lado del servidor, no encriptación del lado del cliente. Al enviar datos a la nube, se cifran en su máquina con SSL, luego se descifran en los servidores de iCloud y luego se vuelven a cifrar con una clave de cifrado que Apple conoce para el almacenamiento. Esto significa que los empleados de Apple tienen la capacidad técnica para leer sus datos. Puede haber controles de procedimiento, técnicos o de políticas para que esto sea poco probable, pero la capacidad está ahí. Eso significa que si la nube de Apple alguna vez se ve comprometida por un atacante sofisticado, el atacante podría potencialmente acceder a todos sus datos. En otras palabras, cualquier violación de datos o accidente por parte de Apple podría potencialmente exponer sus datos. Esto puede no ser demasiado probable, pero dado que incluso empresas respetadas como Google han sido violadas, una violación u otra exposición de los servidores de iCloud no es impensable.
El correo electrónico y las notas no se almacenan en forma cifrada, mientras que en los servidores de Apple. El correo electrónico a menudo contiene información confidencial, por ejemplo, contraseñas de cuentas, enlaces de restablecimiento, por lo que esto es un poco peligroso.
Si la policía le pide a Apple una copia de sus datos, Apple la compartirá con ellos. Apple no necesariamente requerirá una orden judicial. EFF otorga a Apple solo una de cuatro estrellas por proteger los datos de los usuarios en su informe, Cuando el gobierno llama a la puerta, ¿quién te cubre las espaldas? y critica a Apple por no ser transparente sobre las solicitudes gubernamentales de acceso a sus datos y por no informar a los usuarios cuando sus datos han sido revelados al gobierno.
Los riesgos no se limitan a las solicitudes gubernamentales. Si lo demandan o termina en un divorcio contencioso, los abogados de la parte contraria podrían citar sus datos de Apple, y Apple tendría que revelarlos. Tenga en cuenta que el umbral para una citación es relativamente bajo: principalmente, que los datos tengan la probabilidad de ser relevantes para el caso.
La seguridad de sus datos en iCloud es tan buena como la contraseña de su ID de Apple. Por lo tanto, si desea que sus datos estén seguros, debe elegir una frase de contraseña larga y segura. Desafortunadamente, hay algunos aspectos de los sistemas actuales que tienden a empujar a los usuarios a elegir frases de contraseña cortas y débiles. El sistema operativo se niega a almacenar esta frase de contraseña en el llavero, por lo que debe escribirla con frecuencia. Si usa un dispositivo iOS, con frecuencia necesitará escribir su frase de contraseña de ID de Apple (por ejemplo, cada vez que instale o actualice una aplicación). Debido a que ingresar una frase de contraseña larga y segura es una gran molestia en un iPhone, muchos usuarios pueden terminar eligiendo una frase de contraseña corta y pobre solo por conveniencia, lo que desafortunadamente deja sus datos de iCloud mal protegidos. Por lo tanto, el diseño actual puede tender a alentar a muchos usuarios a usar una contraseña débil,
Otras lecturas. The Economist tiene un excelente argumento que resume las implicaciones de seguridad de almacenar sus datos en la nube y los diferentes niveles de seguridad que ofrecen los diferentes proveedores ; a modo de comparación, iCloud es similar a DropBox en sus propiedades de seguridad y más débil que SpiderOak. Para ayudar a comprender por qué Apple podría haber elegido la arquitectura particular que eligió, puede disfrutar del artículo del blog de Ben Adida: El cifrado no es una salsa; tiene implicaciones significativas para la usabilidad. .
Resumen. Las prácticas de seguridad de iCloud están en gran medida en línea con la práctica general en esta área. iCloud parece tener una arquitectura de seguridad razonable y diseñada profesionalmente. Si bien existen algunos riesgos de seguridad, para la mayoría de las personas, es probable que la seguridad de iCloud sea lo suficientemente buena, y los beneficios de conveniencia de iCloud probablemente superen cualquier riesgo para la mayoría de las personas.
Sin embargo, almacenar sus datos en la nube aumenta el riesgo. Para algunos usuarios particularmente sensibles, por ejemplo, registros de salud, instituciones financieras u otras empresas con datos confidenciales, podría ser prudente evitar almacenar los datos más confidenciales en la nube.
Existe documentación que cubre este tema. Nota:
iCloud Security
iCloud asegura su contenido encriptándolo cuando se envía a través de Internet, almacenándolo en un formato encriptado y utilizando tokens seguros para la autenticación.
Puedes encontrar más en:
http://support.apple.com/kb/HT4865
Sin embargo, probablemente no debería enviar sus contraseñas a un servidor en la nube. En cualquier caso, esta es una mala elección en lo que respecta a su seguridad e información.
bmike
Nicolás Barbulesco
Nicolás Barbulesco
bmike