Protección de datos avazada para iCloud
La protección de datos avanzada para iCloud es una configuración opcional que ofrece el nivel más alto de Apple en relación con la seguridad de los datos en la nube. Cuando un usuario activa la protección de datos avanzada, sus dispositivos de confianza conservan el acceso exclusivo a las claves de encriptación para la mayoría de sus datos en iCloud, protegiéndolos así mediante encriptación de extremo a extremo. Para los usuarios que activan la protección de datos avanzada, la cantidad total de categorías de datos que se protegen mediante encriptación de extremo a extremo aumenta de 14 a 23 e incluye el respaldo en iCloud, las fotos, las notas y más.
Nota: esta función podría no estar disponible en todos los países o regiones.
En concepto, la protección de datos avanzada en sencilla: Todas las claves de servicio de CloudKit que se generaron en el dispositivo y luego se cargaron en los módulos de seguridad de hardware (HSM) de iCloud disponibles después de la autenticación en los centros de datos de Apple se eliminan de esos HSM y, en su lugar, se mantienen completamente dentro del dominio de protección del llavero de iCloud de la cuenta. Se tratan como las claves de servicio encriptadas de extremo a extremo existentes, lo que significa que Apple ya no puede leer ni acceder a ellas.
La protección avanzada de datos también protege automáticamente los campos de CloudKit que los desarrolladores de terceros eligen marcar como encriptados, así como todos los componentes de CloudKit.
Activar la protección de datos avanzada
Cuando un usuario activa la protección de datos avanzada, su dispositivo de confianza realiza dos acciones: Primero, comunica la intención del usuario de activar la protección de datos avanzada a sus otros dispositivos que participan en la encriptación de extremo a extremo. Esto se lleva a cabo escribiendo un nuevo valor, firmado por claves locales del dispositivo, en los metadatos del dispositivo del llavero de iCloud. Los servidores de Apple no pueden eliminar ni modificar esta afirmación mientras se sincroniza con los otros dispositivos del usuario.
En segundo lugar, el dispositivo inicia la eliminación de las claves de servicio disponibles después de la autenticación de los centros de datos de Apple. Como estas claves están protegidas por los HSM de iCloud, esta eliminación es inmediata, permanente e irrevocable. Una vez que se eliminan las claves, Apple ya no puede acceder a ninguno de los datos protegidos por las claves de servicio del usuario. En este momento, el dispositivo inicia una operación de rotación de claves asíncrona, que crea una nueva clave de servicio para cada servicio cuya clave estaba disponible anteriormente para los servidores de Apple. Si la rotación de claves falla debido a una interrupción de la red o a cualquier otro error, el dispositivo vuelve a intentar la rotación de claves hasta que se realice correctamente.
Una vez que la rotación de la clave de servicio se realiza correctamente, los nuevos datos escritos en el servicio no se pueden desencriptar con la clave anterior. Estos datos se protegen con la nueva clave que está controlada únicamente por los dispositivos de confianza del usuario y que nunca ha estado disponible para Apple.
Protección de datos avanzada y acceso web a iCloud.com
Cuando un usuario activa por primera vez la protección de datos avanzada, se desactiva automáticamente el acceso web a sus datos en iCloud.com. Esto sucede debido a que los servidores web de iCloud ya no tienen acceso a las claves necesarias para desencriptar y mostrar los datos del usuario. El usuario puede optar por volver a activar el acceso web y utilizar la participación de su dispositivo de confianza para acceder a sus datos encriptados de iCloud desde Internet.
Después de activar el acceso web, el usuario tendrá que autorizar el inicio de sesión web en uno de sus dispositivos de confianza cada vez que visite iCloud.com. La autorización “habilita” el dispositivo para el acceso web. Durante la próxima hora, este dispositivo acepta solicitudes de servidores de Apple específicos para cargar claves de servicio individuales, pero solamente aquellas que corresponden a una lista de servicios permitidos normalmente accesibles en iCloud.com. En otras palabras, incluso después de que el usuario autorice un inicio de sesión web, una solicitud del servidor no podrá ocasionar que el dispositivo del usuario cargue las claves de servicio para los datos que no deben poder visualizarse en iCloud.com (como los datos de salud o las contraseñas del llavero de iCloud). Los servidores de Apple solicitan solamente las claves de servicio necesarias para desencriptar los datos específicos a los que el usuario solicita acceder en la web. Cada vez que se carga una clave de servicio, se encripta mediante una clave efímera vinculada a la sesión web que autorizó el usuario, y aparece una notificación en el dispositivo del usuario que muestra el servicio de iCloud cuyos datos están temporalmente disponibles para los servidores de Apple.
Preservar las elecciones del usuario
Solamente el usuario puede modificar la configuración de la protección avanzada de datos y el acceso web a iCloud.com. Estos valores se almacenan en los metadatos del dispositivo del llavero iCloud del usuario y sólo se pueden cambiar desde uno de los dispositivos de confianza del usuario. Los servidores de Apple no pueden modificar esta configuración en nombre del usuario, ni pueden revertirla a una configuración anterior.
Implicaciones de seguridad de las funciones de compartir y la colaboración
En la mayoría de los casos, cuando los usuarios comparten contenido para colaborar entre sí (por ejemplo, con notas compartidas, recordatorios compartidos, carpetas compartidas en iCloud Drive o la fototeca compartida en iCloud) y todos los usuarios tienen activada la protección de datos avanzada, los servidores de Apple se utilizan exclusivamente para establecer el uso compartido, pero no tienen acceso a las claves de encriptación de los datos compartidos. El contenido permanece encriptado de extremo a extremo y sólo se puede acceder a él en los dispositivos de confianza de los participantes. Para cada acción de compartir, Apple puede almacenar un título y una miniatura representativa con protección de datos estándar para mostrar una vista previa a los usuarios destinatarios.
Si se selecciona la opción Cualquier persona con el enlace al activar la colaboración, el contenido estará disponible para los servidores de Apple bajo la protección de datos estándar, ya que los servidores deben poder proporcionar acceso a cualquier persona que abra la URL.
La colaboración en iWork y la función Álbumes compartidos de Fotos no son compatibles con la protección de datos avanzada. Cuando los usuarios colaboran en un documento de iWork o abren un documento de iWork desde una carpeta compartida en iCloud Drive, las claves de encriptación del documento se cargan de forma segura en los servidores de iWork en los centros de datos de Apple. Esto se debe a que la colaboración en tiempo real en iWork requiere la mediación del lado del servidor para coordinar los cambios de los documentos entre los participantes. Las fotos agregadas a Álbumes compartidos se almacenan con protección de datos estándar, ya que la función permite que los álbumes se compartan públicamente en Internet.
Desactivar la protección de datos avanzada
El usuario puede desactivar la protección de datos avanzada en cualquier momento. Si decide hacerlo, sucede lo siguiente:
1. El dispositivo del usuario primero registra la nueva elección en los metadatos de participación del llavero de iCloud, y esta configuración se sincroniza de forma segura con todos sus dispositivos.
2. El dispositivo del usuario carga de forma segura las claves de servicio de todos los servicios disponibles después de la autenticación en los HSM de iCloud en los centros de datos de Apple. Esto nunca incluye las claves de servicios que están encriptadas de extremo a extremo bajo la protección de datos estándar, como los datos de Salud y del llavero de iCloud.
El dispositivo carga tanto las claves de servicio originales (generadas antes de que se activara la protección de datos avanzada) como las nuevas claves de servicio que se generaron después de que el usuario activara la función. Esto ocasiona que se pueda acceder a todos los datos de estos servicios después de autenticarse y devuelve la cuenta a la protección de datos estándar, con lo cual Apple puede ayudar nuevamente al usuario a recuperar la mayoría de sus datos en caso de que pierda el acceso a su cuenta.
Datos de iCloud no cubiertos por la protección de datos avanzada
Debido a la necesidad de interoperar con los sistemas globales de correo electrónico, contactos y calendario, los datos de Contactos, Calendario y Mail en iCloud no se encriptan de extremo a extremo.
iCloud almacena algunos datos sin la protección de las claves de servicio de CloudKit específicas del usuario, incluso cuando la protección de datos avanzada está activada. Los campos de registro de CloudKit deben declararse explícitamente como “encriptados” en el esquema del contenedor para que cuenten con la protección; y la lectura y escritura de los campos encriptados requiere el uso de API dedicadas. Las fechas y horas en que se modificó un archivo u objeto se usan para ordenar la información del usuario, y las sumas de verificación de los datos de archivos y fotos se utilizan para ayudar a Apple a deduplicar y optimizar iCloud y el almacenamiento del dispositivo del usuario; todo sin tener acceso a los archivos y a las fotos en sí. En el artículo de soporte de Apple Descripción general de la seguridad de datos de iCloud puedes encontrar detalles sobre cómo se utiliza la encriptación en categorías de datos específicas.
El diseño original de los servicios de iCloud al momento de su lanzamiento incluía una técnica habitual llamada encriptación convergente, en donde se tomaban decisiones como el uso de sumas de verificación para la deduplicación de datos. Estos metadatos siempre están encriptados, pero Apple almacena las claves de encriptación con protección de datos estándar. Para seguir fortaleciendo las protecciones de seguridad para todos los usuarios, Apple se compromete a garantizar que más datos, incluido este tipo de metadatos, se encripten de extremo a extremo al activar la protección de datos avanzada.
Requisitos para la protección de datos avanzada
Los requisitos para activar la protección de datos avanzada para iCloud incluyen lo siguiente:
La cuenta del usuario debe ser compatible con la encriptación de extremo a extremo, y esta a su vez requiere que el Apple ID cuente con autenticación de dos factores y que los dispositivos de confianza tengan establecido un código de acceso o una contraseña. Para obtener más información, consulta el artículo de soporte de Apple Autenticación de dos factores para Apple ID.
Los dispositivos en los que el usuario haya iniciado sesión con su Apple ID deben contar con iOS 16.2, iPadOS 16.2, macOS 13.1, tvOS 16.2, watchOS 9.2 o versiones posteriores, o bien la versión más reciente de iCloud para Windows. Este requisito impide que una versión anterior de iOS, iPadOS, macOS, tvOS o watchOS manipule incorrectamente las claves de servicio recién creadas al volver a cargarlas en los HSM disponibles después de la autenticación en un intento erróneo de reparar el estado de la cuenta.
El usuario debe configurar al menos un método de recuperación alternativo (uno o más contactos de recuperación o una clave de recuperación) que pueda usar para recuperar sus datos de iCloud en caso de que pierda el acceso a su cuenta.
Si los métodos de recuperación fallan (por ejemplo, si la información del contacto de recuperación no está actualizada o si el usuario olvida la información necesaria), Apple no puede ayudar a recuperar los datos de iCloud encriptados de extremo a extremo del usuario.
La protección de datos avanzada para iCloud solamente puede activarse para los Apple ID. Los Apple ID administrados y las cuentas de menores de edad (varía según el país o la región) no son compatibles.