En febrero de 2025, Apple optó por eliminar la función de cifrado de extremo a extremo «Advanced Data Protection» para los usuarios de su servicio de almacenamiento iCloud en el Reino Unido, en lugar de crear una puerta trasera en el sistema. Esta solicitud de puerta trasera fue requerida por el Ministerio del Interior británico a través de una «notificación de capacidad técnica» en virtud de la Ley de Poderes de Investigación (Investigatory Powers Act, Act).
El cifrado es una de las medidas técnicas necesarias para garantizar la seguridad de los datos y cumplir el principio de «privacidad por diseño». Impide el acceso a los datos, incluso en caso de solicitud de acceso por parte de autoridades extranjeras.
Como la IPA tiene alcance extraterritorial, permite al gobierno británico imponer requisitos a empresas de otros países y a usuarios situados en todo el mundo, al tiempo que puede prohibir a los proveedores que informen a sus usuarios.
Este caso Apple/IPA bien podría ser un punto de inflexión, el comienzo de un replanteamiento del cifrado de extremo a extremo. No tiene precedentes en otras democracias. Ceder en materia de cifrado equivale a abrir la puerta a la vigilancia sistémica, considerada incompatible con los valores democráticos. Explicaciones.
La Ley de Poderes de Investigación (IPA), un ataque al cifrado
La Investigatory Powers Act (IPA) es una ley británica de 2016 que establece un nuevo marco para regular el uso y la supervisión de los poderes de investigación por parte de las fuerzas del orden, las agencias de seguridad y de inteligencia.
La Ley reunió muchos de los poderes de investigación existentes en el Reino Unido en una sola pieza legislativa. Sus detractores la consideran una ampliación de los poderes de las agencias de inteligencia británicas. Edward Snowden describió la IPA como una de las peores leyes de inteligencia del mundo occidental.
A medida que la tecnología y los tipos de amenazas a los que se enfrenta el Reino Unido han avanzado y evolucionado rápidamente, la Ley de Poderes de Investigación ha sido revisada en 2023 y 2024, con el objetivo de permitir a las agencias de seguridad e inteligencia hacer frente a una gama de amenazas en rápida evolución.
Una de las críticas más fuertes a la Ley se refiere a los amplios poderes concedidos al Ministerio del Interior. En virtud de la IPA, el Ministerio del Interior británico podrá emitir órdenes a empresas tecnológicas y exigir acceso a los servicios de inteligencia del Reino Unido.
Las empresas que reciban solicitudes de cooperación estarán sujetas a un régimen de secreto, ya que se les prohíbe legalmente revelar la existencia de estas solicitudes sin la autorización explícita del Ministerio del Interior. Esta obligación de secreto y la falta de notificación a los usuarios impiden a los ciudadanos conocer el estado de seguridad de las herramientas de comunicación que utilizan.
Por último, la IPA permite forzar la adición de puertas traseras, incluso en el caso del cifrado de extremo a extremo. La IPA da así al gobierno la capacidad de obligar a las empresas a crear puertas traseras en sus sistemas para permitir a los servicios de inteligencia eludir el cifrado. Esto es lo que ocurrió con Apple a principios de 2025, cuando la empresa recibió un «aviso de capacidad técnica» basado en la sección 253 de la Ley de Poderes de Investigación, que le obligaba a introducir una puerta trasera en su función opcional «Protección Avanzada de Datos», diseñada para proteger los datos respaldados a través de iCloud.
Cifrado y puertas traseras: un falso dilema
El propio principio de crear una puerta trasera para las autoridades británicas plantea un problema fundamental. Una vez que existe un punto débil en un sistema de cifrado, puede ser potencialmente descubierto y utilizado por cualquiera, en particular con fines maliciosos, para acceder a los datos del usuario. Se trata de una grave violación de la privacidad y las libertades civiles.
Los expertos en ciberseguridad han expresado su desaprobación ante la exigencia de añadir puertas traseras. También deploran la capacidad del Ministerio del Interior para retrasar o bloquear los cambios de seguridad propuestos por los proveedores de servicios. La ONG TechUK, por su parte, teme que la IPA sirva de modelo a gobiernos menos democráticos que deseen reforzar sus controles sobre los ciudadanos.
El jefe de Apple, Tim Cook, ha expresado públicamente su temor a sentar «un precedente peligroso». La compañía siempre se ha negado a crear puertas traseras en sus productos o servicios destinadas a burlar el cifrado. Por su parte, los responsables de WhatsApp y Signal han afirmado que prefieren abandonar el Reino Unido antes que debilitar su cifrado de extremo a extremo introduciendo puertas traseras.
En el marco del caso Apple, organizaciones de defensa de las libertades civiles -la Electronic Frontier Foundation, la American Civil Liberties Union, Amnistía Internacional, el Proyecto TOR y Mozilla- han expresado su apoyo a la marca.
La IPA, una ilustración concreta de los riesgos de la extraterritorialidad
De alcance extraterritorial, la Investigatory Powers Act no sólo opera en territorio británico. Por tanto, el gobierno británico podría imponer requisitos secretos a proveedores situados en otros países, que se aplicarían a sus usuarios ubicados en todo el mundo.
La IPA no es la única ley que va más allá de las fronteras del país en el que fue creada. Al otro lado del Atlántico, la Cloud Act permite a las autoridades estadounidenses acceder a los datos relativos a las comunicaciones electrónicas almacenados en servidores situados en Estados Unidos o en otros países. También en Estados Unidos, la Foreign Intelligence Surveillance Act (FISA), prorrogada hasta 2026, es una de las herramientas de vigilancia más amplias del gobierno estadounidense. Permite a los servicios de inteligencia del país acceder a las comunicaciones de no estadounidenses en el extranjero, sin tener que comparecer ante un juez.
IPA, Cloud Act, FISA: estas tres legislaciones reivindican la capacidad de acceder a datos más allá de las fronteras nacionales. Imponen obligaciones de cooperación a las empresas tecnológicas y operan en secreto, impidiéndoles a menudo informar a sus usuarios.
En virtud de estas leyes extraterritoriales, las empresas europeas que utilizan soluciones no soberanas se encuentran expuestas a jurisdicciones extranjeras y pierden el control sobre sus datos y su soberanía.
Esta situación también expone a las empresas europeas a conflictos de jurisdicción, por ejemplo entre la Cloud Act y el RGPD, el reglamento europeo que se opone a las transferencias de datos personales fuera de la Unión Europea sin un nivel de protección adecuado.
La localización de los datos (a través de la ubicación de los centros de datos) ya no es un criterio suficiente para garantizar la soberanía de los datos. Ahora también debe tenerse en cuenta la jurisdicción a la que están sujetos los datos.
Las soluciones de almacenamiento de datos proporcionadas por AWS, Microsoft o Google no se consideran soberanas (aunque alojen los datos de sus clientes franceses en suelo francés, por ejemplo), ya que están sujetas a la legislación estadounidense. Por el contrario, en el caso de una nube soberana, los datos se almacenan en servidores situados en Francia, pero sobre todo son gestionados por un actor francés y sometidos a la jurisdicción francesa.
El enfoque Oodrive: seguridad, conformidad y soberanía
En este contexto, Oodrive adopta un enfoque basado en la seguridad, el cumplimiento de la normativa y la soberanía digital.
Sus soluciones cumplen las normas de seguridad más estrictas desde la fase de diseño, en el marco de una arquitectura «Security-by-Design». Los mecanismos de seguridad (cifrado de extremo a extremo, autenticación fuerte, etc.) se integran de forma nativa y transparente para garantizar la seguridad. – se integran de forma nativa y transparente para los usuarios, garantizándoles una experiencia sin fisuras. Los datos están protegidos sin afectar a la productividad. Las claves de cifrado son gestionadas exclusivamente por los clientes, almacenadas en una caja HSM dedicada.
Oodrive es una empresa 100% Europa. La empresa aloja sus soluciones de colaboración en Europa (alojamiento soberano). Los datos de los clientes no están sujetos a leyes extraeuropeas como la Cloud Act o la FISA. Están exclusivamente bajo jurisdicción francesa y, por tanto, protegidos del espionaje y las injerencias externas, en total conformidad con el RGPD.
Además de los retos de seguridad, conformidad y soberanía, Oodrive también está comprometido con la transparencia para sus clientes. Fiel a su compromiso con la confianza digital, Oodrive nunca introducirá puertas traseras ni ningún otro acceso oculto en sus soluciones.
La seguridad no puede estar condicionada. Ceder en materia de cifrado equivaldría a socavar todo el ecosistema digital. Más de 2,5 millones de profesionales han elegido colaborar en sus proyectos sensibles dentro de la burbuja de confianza de Oodrive, lo que da fe de la pertinencia de este enfoque transparente y responsable.
No regalar nada en materia de seguridad: una responsabilidad colectiva
El caso Apple/IPA en el Reino Unido es mucho más que una simple disputa técnica sobre cifrado entre una empresa y un gobierno. Plantea una cuestión crítica: ¿estamos dispuestos a sacrificar los fundamentos de la protección de datos en aras de la vigilancia impuesta por el Estado?
Ante esta ofensiva contra la encriptación de extremo a extremo, las empresas europeas tienen un papel que desempeñar para no ceder a soluciones no soberanas, para no sacrificar la seguridad en aras de la comodidad. Si lo hacen, corren el riesgo de perder el control sobre sus datos más sensibles y de exponerse a solicitudes de acceso a sus datos por parte de autoridades extranjeras.
Más allá de la localización geográfica de los servidores, es la jurisdicción a la que se someten los datos la que determina su nivel real de protección. Los datos alojados en Francia pero gestionados por un actor estadounidense siguen estando expuestos a la legislación extraterritorial estadounidense. Las empresas europeas deben tener en cuenta esta realidad en sus elecciones tecnológicas y dar preferencia a soluciones verdaderamente soberanas.
Ante este desafío a la encriptación, Europa debe hacer valer su visión de un mundo digital respetuoso de los derechos fundamentales y apoyar un ecosistema en nube europeo, ético y soberano. A través de sus elecciones tecnológicas, las empresas pueden contribuir a la instauración de un modelo digital europeo respetuoso de los valores democráticos, favoreciendo a los actores transparentes.
