
Seguridad de “Contactos de recuperación de cuenta”
Los usuarios pueden agregar un máximo de cinco personas de confianza como contactos de recuperación de cuenta para que les ayuden a recuperar su cuenta y sus datos de iCloud, incluidos los datos encriptados de extremo a extremo (como sus datos de Salud y Casa) y sus contraseñas del llavero de iCloud. Ni Apple ni el contacto de recuperación tienen la información necesaria individualmente para desencriptar los datos de iCloud encriptados de extremo a extremo del usuario.
La función de contactos de recuperación de cuenta se diseñó tomando en cuenta la privacidad del usuario. En el momento de la configuración, Apple no sabe a quién ha designado un usuario como su contacto de recuperación de cuenta. Es solamente después de que se haya iniciado un proceso de recuperación que Apple puede determinar quién es este contacto, y esa información tampoco se registra en ese momento.
Proceso de seguridad de los contactos de recuperación
Cuando un usuario configura un contacto de recuperación, la clave que permite acceder a los datos del usuario (incluyendo los datos de CloudKit encriptados de extremo a extremo) se encripta mediante una clave aleatoria que después se divide entre el contacto de recuperación y Apple. La clave original puede obtenerse durante el proceso de recuperación solamente cuando se combinan estas dos partes, permitiendo así el acceso a los datos.
Para configurar un contacto de recuperación, el dispositivo del usuario se comunica con los servidores de Apple para cargar la porción de la clave que Apple conservará. A continuación, establece un contenedor de CloudKit encriptado de extremo a extremo con el contacto de recuperación para compartir la porción que este requiere. Tanto Apple como el contacto de recuperación reciben el mismo secreto de autorización del usuario, el cual se requiere más tarde para la recuperación. La comunicación para invitar y aceptar contactos de recuperación se lleva a cabo a través de un IDS autentificado mutuamente. El contacto de recuperación almacena automáticamente la información recibida en su llavero de iCloud. Apple no puede acceder ni a los contenidos de los contenedores de CloudKit, ni al llavero de iCloud que almacena esta información. Al momento de compartir, los servidores de Apple visualizan un ID anónimo del contacto de recuperación.
Más tarde, cuando un usuario necesite recuperar su cuenta y sus datos, puede solicitar ayuda a su contacto de recuperación. En ese momento, el dispositivo del contacto de recuperación genera un código de recuperación, que debe proporcionar al usuario por un medio separado (por ejemplo, en persona o mediante una llamada telefónica). A continuación, el usuario ingresa este código en su dispositivo para establecer una conexión segura entre dispositivos utilizando el protocolo SPAKE2+, cuyos contenidos Apple no puede leer. Esta interacción la organizan los servidores de Apple ID, pero Apple no puede iniciar el proceso de recuperación.
Una vez establecida la conexión segura y completadas todas las comprobaciones de seguridad necesarias, el dispositivo del contacto de recuperación devuelve su porción de la información de la clave al usuario que solicitó la recuperación, así como el secreto de autorización establecido anteriormente. El usuario presenta este secreto de autorización a los servidores de Apple, lo que les autoriza acceder a la información de la clave que Apple tiene. Al presentar el secreto de autorización, también se permite el restablecimiento de la contraseña de la cuenta para poder restaurar el acceso a la misma.
Por último, el dispositivo del usuario vuelve a combinar la información de la clave recibida de Apple y del contacto de recuperación, y luego la usa para desencriptar y recuperar sus datos de iCloud.
Estas son protecciones que sirven para impedir que un contacto de recuperación inicie el proceso sin el consentimiento del usuario, lo cual incluye una revisión de actividad o inactividad de la cuenta del usuario. Si la cuenta se usa de forma activa, la recuperación mediante un contacto de recuperación también requerirá que se conozca un código reciente del dispositivo o el código de seguridad de iCloud.