Protección de datos avanzada para iCloud
La protección de datos avanzada para iCloud es un ajuste opcional que ofrece el máximo nivel de seguridad de los datos en la nube de Apple. Cuando un usuario decide activar la protección de datos avanzada, solo es posible acceder a las claves de encriptación de la mayoría de los datos de iCloud desde los dispositivos de confianza del usuario, donde se protegen con encriptación de punto a punto. Para los usuarios que activen la protección de datos avanzada, el número total de categorías de datos protegidos por la encriptación punto a punto aumenta de 14 a 23 e incluye la copia de seguridad en iCloud, Fotos y Notas, entre otras.
Nota: Puede que esta función no esté disponible en todos los países o regiones.
Conceptualmente, la protección de datos avanzada es muy sencilla: Todas las claves de servicio de CloudKit que se generaron en el dispositivo y, después, se subieron a los módulos de seguridad de hardware (HSM) de iCloud disponibles tras la autenticación de los centros de datos de Apple, se eliminan de dichos módulos y, en su lugar, se conservan íntegros en el dominio de protección del llavero de iCloud de la cuenta. Estas se gestionan como las claves de servicio con encriptación de punto a punto existentes, lo que significa que Apple ya no puede leer ni acceder a las claves.
La protección de datos avanzada también protege automáticamente los campos de CloudKit que los desarrolladores de terceros eligen marcar como encriptados, así como todos los activos de CloudKit.
Activar la protección de datos avanzada
Cuando el usuario activa la protección de datos avanzada, su dispositivo de confianza ejecuta dos acciones: en primer lugar, comunica la intención del usuario de activar la protección de datos avanzada en el resto de sus dispositivos que participen en la encriptación de punto a punto. Para ello, escribe un nuevo valor, firmado por las claves locales del dispositivo, en los metadatos del dispositivo del llavero de iCloud. Los servidores de Apple no pueden eliminar ni modificar esta acreditación mientras se sincronizan con el resto de los dispositivos del usuario.
En segundo lugar, el dispositivo inicia la eliminación de las claves de servicio disponibles tras la autenticación de los centros de datos de Apple. Dado que los HSM protegen estas claves, esta eliminación es inmediata, permanente e irrevocable. Una vez eliminadas las claves, Apple no puede seguir accediendo a ninguno de los datos protegidos por las claves de servicio del usuario. A partir de ese instante, el dispositivo comienza una operación de rotación de claves asíncrona que crea una nueva clave de servicio para cada uno de los servicios cuya clave haya estado disponible alguna vez para los servidores de Apple. Si la rotación de claves falla, debido a una caída de la red o a cualquier otro error, el dispositivo seguirá intentando rotar las claves hasta conseguirlo.
Una vez que haya conseguido rotar las claves, los datos nuevos que se escriban en el servicio no podrán desencriptarse con la clave de servicio antigua. Está protegida por la clave nueva que está bajo el control exclusivo de los dispositivos de confianza del usuario y que nunca estuvo disponible para Apple.
Protección de datos avanzada y acceso web a iCloud.com
Cuando un usuario activa la protección de datos avanzada por primera vez, el acceso web a los datos que tiene alojados en iCloud.com queda desactivado automáticamente. Esto se debe a que los servidores web de iCloud dejan de tener acceso a las claves necesarias para desencriptar y mostrar los datos del usuario. El usuario puede elegir activar de nuevo el acceso web y utilizar la participación de su dispositivo de confianza para acceder a sus datos de iCloud encriptados en la web.
Una vez activado el acceso web, el usuario tendrá que autorizar el inicio de sesión web en uno de sus dispositivos de confianza cada vez que visite iCloud.com. La autorización “arma” al dispositivo para el acceso web. Durante la hora inmediatamente posterior, este dispositivo aceptará las solicitudes de ciertos servidores de Apple para cargar determinadas claves de servicio, pero solo aquellas que estén incluidas en una lista de servicios permitidos accesibles normalmente en iCloud.com. En otras palabras, aun después de que el usuario autorice un inicio de sesión web, una solicitud de servidor será incapaz de inducir al dispositivo del usuario a cargar claves de servicio para datos que no se vean en iCloud.com (por ejemplo, los datos de Salud o las contraseñas del llavero de iCloud). Los servidores de Apple solo solicitan las claves de servicio necesarias para desencriptar los datos concretos que el usuario está solicitando para acceder a la web. Cada vez que se carga una clave de servicio, esta se encripta a través de un vínculo de clave efímero a la sesión web autorizada por el usuario, y se muestra una autorización en el dispositivo del usuario que muestra el servicio de iCloud cuyos datos están disponibles para los servidores de Apple de forma temporal.
Preservar las elecciones del usuario
El usuario es el único que puede modificar los ajustes de la protección de datos avanzada y el acceso web a iCloud.com. Estos valores se almacenan en los metadatos del dispositivo del llavero de iCloud del usuario y solo pueden cambiarse desde uno de sus dispositivos de confianza. Los servidores de Apple no pueden modificar estos ajustes por el usuario ni pueden devolverlos a una configuración anterior.
Implicaciones para la seguridad del intercambio de datos y la colaboración
En la mayoría de los casos, cuando los usuarios comparten contenido para colaborar entre ellos —por ejemplo, con Notas compartidas, Recordatorios compartidos, carpetas compartidas en iCloud Drive o la fototeca compartida de iCloud— y todos los usuarios tienen activada la protección de datos avanzada, los servidores de Apple solo se utilizan para establecer el intercambio pero no tienen acceso a las claves de encriptación de los datos compartidos. El contenido sigue teniendo encriptación de punto a punto y solo es accesible desde los dispositivos de confianza de los participantes. Para cada operación de intercambio, Apple podría almacenar un título y una imagen en miniatura representativa con la protección de datos estándar para mostrar una previsualización a los receptores de los datos.
Cuando, al permitir la colaboración, se selecciona la opción “cualquiera que tenga un enlace”, el contenido se pone a disposición de los servidores de Apple con la protección de datos estándar, ya que los servidores necesitan poder proporcionar acceso a cualquiera que abra la URL.
La colaboración con iWork y la función de álbumes compartidos de Fotos no son compatibles con la protección de datos avanzada. Cuando los usuarios colaboran en un documento de iWork o abren un documento de iWork desde una carpeta compartida en iCloud Drive, las claves de encriptación del documento se cargan de forma segura a los servidores de iWork de los centros de datos de Apple. Esto es así debido a que la colaboración en tiempo real en iWork requiere la mediación del lado del servidor para coordinar los cambios en los documentos entre los participantes. Las fotos añadidas a los álbumes compartidos se almacenan con la protección de datos estándar debido a que la función permite que los álbumes se compartan públicamente en la web.
Desactivar la protección de datos avanzada
El usuario puede desactivar la protección de datos avanzada en cualquier momento. Si decide hacerlo:
1. El dispositivo del usuario graba su nueva elección en los metadatos de participación del llavero de iCloud y el ajuste se sincroniza de forma segura en todos sus dispositivos.
2. El dispositivo del usuario carga las claves de servicio de forma segura para todos los servicios disponibles tras la autenticación a los HSM de iCloud de los centros de datos de Apple. Esto nunca incluye las claves de servicio con encriptación punto a punto con la protección de datos estándar, como el llavero de iCloud y los datos de Salud.
El dispositivo carga tanto las claves de servicio originales, generadas antes de haber activado la protección de datos avanzada, como las claves de servicio nuevas que se generaron cuando el usuario activó la función. Esto hace que todos los datos de estos servicios sean accesibles tras la autenticación y devuelve la cuenta a la protección de datos estándar, donde Apple puede volver a ayudar al usuario a recuperar la mayoría de sus datos en caso de perder el acceso a su cuenta.
Datos de iCloud que no están cubiertos por la protección de datos avanzada
Dada la necesidad de interoperar con los sistemas globales de correo electrónico, contactos y calendarios, Mail, Contactos y Calendario de iCloud no tienen encriptación de punto a punto.
iCloud almacena algunos datos sin la protección de las claves de servicio de CloudKit específicas del usuario, aunque la protección de datos avanzada esté activada. Para recibir protección, los campos de registro de CloudKit deben estar declarados como “encriptados” expresamente en el esquema del contenedor, y la lectura y escritura de campos encriptados requiere el uso de API independientes. La fecha y hora de modificación de un archivo u objeto se utiliza para ordenar la información del usuario, y las sumas de control de los datos de los archivos y fotos se utilizan para ayudar a Apple a deduplicar y optimizar el almacenamiento del usuario en iCloud y su dispositivo. Todo ello, sin tener acceso a los propios archivos y fotos. En el artículo de soporte técnico de Apple Información general sobre la seguridad de los datos de iCloud, encontrarás información sobre cómo se utiliza la encriptación para determinadas categorías de datos.
Decisiones como el uso de sumas de control para la deduplicación de datos —una conocida técnica llamada encriptación convergente— formaron parte del diseño original de los servicios de iCloud cuando se presentaron por primera vez. Estos metadatos siempre están encriptados, pero Apple almacena las claves de encriptación con protección de datos estándar. Para seguir reforzando los mecanismos de protección de la seguridad para todos los usuarios, Apple se ha comprometido a que, cuando se active la protección de datos avanzada, se encripten más datos de punto a punto, incluidos estos metadatos.
Requisitos de la protección de datos avanzada
Estos son los requisitos para activar la protección de datos avanzada para iCloud:
La cuenta del usuario debe ser compatible con la encriptación de punto a punto. La encriptación de punto a punto requiere que el usuario haya configurado la autenticación de doble factor para su ID de Apple y un código de acceso o contraseña en sus dispositivos de confianza. Para obtener más información, consulta el artículo del servicio de soporte de Apple Autenticación de doble factor para el ID de Apple.
Los dispositivos en los que el usuario haya iniciado sesión con su ID de Apple deben estar actualizados a iOS 16.2, iPadOS 16.2, macOS 13.1, tvOS 16.2, watchOS 9.2 o posterior y la versión más reciente de iCloud para Windows. Este requisito evita que una versión previa de iOS, iPadOS, macOS, tvOS o watchOS utilice indebidamente las claves de servicio recién creadas, volviéndolas a cargar a los HSM disponibles tras la autenticación en un intento errado de reparar el estado de la cuenta.
El usuario debe configurar al menos un método de recuperación alternativo —uno o más contactos de recuperación o una clave de recuperación— que puedan utilizar para recuperar sus datos de iCloud si pierden el acceso a su cuenta.
Si los métodos de recuperación fallan —por ejemplo, si la información del contacto de configuración está desactualizada o el usuario la olvida—, Apple no puede ayudar a recuperar los datos de iCloud con encriptación de punto a punto del usuario.
La protección de datos avanzada para iCloud solo puede activarse para los ID de Apple. Los ID de Apple gestionados y las cuentas secundarias (varía en función del país o región) no son compatibles.