• TECNOVAN LATAM es ciberseguridad en Latinoamérica.
Linkedin X-twitter Facebook Youtube

Dime qué datos solicitas a Apple y te diré qué tipo de gobierno eres

En ocasiones, los gobiernos necesitan apoyarse en las grandes corporaciones para poder llevar a cabo su trabajo. Cuando una amenaza pasa por conocer la identidad o tener acceso a los datos de un potencial atacante o de una víctima en peligro, la información digital que almacenan estas empresas puede resultar vital para la investigación y evitar una catástrofe. Apple ha publicado un completo informe sobre qué datos le piden los gobiernos, cuáles y en qué medida las peticiones se satisfacen. Desde eliminación de apps del “Store” pasando por acceso a cuentas privadas. ¿Qué gobierno pide qué? Hemos elaborado unas gráficas para intentar identificar a través de esta publicación (que solo contiene tablas numéricas, qué les preocupa en mayor medida a los gobiernos).

Peticiones basadas en dispositivos

Esta tabla representa las peticiones de dispositivo. Por ejemplo cuando las fuerzas del orden actúan en nombre de clientes a los que han robado el dispositivo o lo han perdido. También recibe peticiones relacionadas con investigaciones de fraude, solicitan normalmente detalles de los clientes de Apple asociados a dispositivos o conexiones a servicios de Apple. Desde un IMEI hasta un número de serie.

 

Petición de dispositivos por países

Aquí, de lejos gana China solicitando datos de clientes asociados a dispositivos o conectados a servicios de Apple. Podemos también pensar que debido a la piratería del país y al fraude, los números pueden llegar a dispararse.

Peticiones basadas en datos financieros

Por ejemplo cuando las fuerzas del orden actúan en nombre de clientes que requieren asistencia relacionado con actividad fraudulenta de tarjetas de crédito o tarjetas regalo que se han usado para comprar productos de Apple.

 

Peticiones de identificadores fiscales por países

Estados Unidos y Alemania son los países con más peticiones de este tipo. Puede explicarse por la cantidad de fraude que se da en Estados Unidos relacionado con tarjetas de crédito (aunque no lo parezca, en EEUU es muy habitual todavía necesitar solamente la firma para validar un pago). Aquí se observa que son satisfechas las peticiones en menor medida que en el caso anterior.

Peticiones basadas en cuentas

Se realizan peticiones a Apple relacionadas con cuentas que pueden haber sido usadas en contra de la ley y términos de uso de Apple. Se trata de cuentas de iCloud o iTunes y su nombre, dirección e incluso contenido en la nube (backup, fotos, contactos…).

 

Peticiones de cuentas por países

Esta es quizás la medida más intrusiva, en la que se Apple proporciona contenido real privado. De nuevo China y Estados Unidos son los que más datos solicitan. Curiosamente, a China se le hace caso hasta en un 98% de las veces, mientras que a Estados Unidos “solo” en un 88%. Apple tiene la potestad de negarse si considera algún fallo en forma o fondo. Hay que tener en cuenta que Apple, además de ofrecer los datos, puede ofrecer “metadatos” no relacionados directamente con los datos, y esto no cuenta como petición “satisfecha” aunque también incluye ofrecer información.

Peticiones relacionadas con la preservación de cuentas

Bajo el contexto de la U.S. Electronic Communications Privacy Act (ECPA), se puede solicitar a Apple que “congele” una cuenta y los mantenga desde 90 a 180 días. Este es un paso previo a petición de acceso a la cuenta, en espera de que se obtenga el permiso legal para solicitar datos y para evitar que la cuenta sea borrada por el investigado.

 

Peticiones de preservación de datos sobre cuentas

Estados Unidos de nuevo es la que más peticiones de este tipo solicita. Es curioso como China desaparece en esta gráfica, a pesar de considerarse un paso previo a la petición de acceso a datos, en la que el país es bastante activo. ¿Es posible que China no tenga tantos problemas para obtener permisos legales?

Peticiones de borrado o restricción de cuentas

Peticiones de borrado de IDs de Apple, o restricciones de acceso. Estas son muy poco habituales. Estados Unidos solicitó 6 y se borraron 2. El resto, una o dos y nunca se cumplió.

 

Peticiones de restricciones/borrado de cuentas por países

Peticiones por emergencias

También amparados bajo la U.S. Electronic Communications Privacy Act (ECPA), es posible solicitar a Apple que proporcione datos privados de cuentas si en situaciones de emergencia, cree que esto puede evitar un peligro de muerte o daño serio a individuos.

 

Peticiones de emergencia por países

Curiosamente aquí gana el Reino Unido con 198 cuentas pedidas, aunque no siempre se les satisface, seguido muy de cerca por Estados Unidos. El resto de países realizan apenas decenas de peticiones, casi siempre satisfechas. ¿Se preocupa más el Reino Unido por las emergencias y se limita a solicitar datos cuando se da ese caso?

Peticiones relacionadas con la retirada de apps del market

Habitualmente tiene que ver con apps que se supone violan la ley.

 

Peticiones de eliminación de Apps

China es, de largo, el país que más retiradas de apps solicita. Seguido curiosamente de Noruega, Arabia Saudí y Suiza. En esta ocasión, Estados Unidos, muy activo en la solicitud de acceso a datos en general, desaparece por completo.
En el informe también se habla de datos requeridos por terceras partes privadas, bajo una petición legal. Hasta 181 peticiones en las que Apple ha satisfecho 53 accesos a información.

Conclusiones

Son complicadas. Podemos ver el vaso medio lleno o medio vacío: o sea, concluir que ciertos gobiernos solicitan “demasiado a menudo” acceso a datos, pero también argumentar que puede ocurrir que la justicia funcione de manera más ágil en ellos, o que el fraude se base más en estas localizaciones. La interpretación es libre. Lo que sí parece claras son algunas conclusiones basadas en los datos:

  • El interés de China en la eliminación de aplicaciones que considera ilegales.
  • La implicación del Reino Unido (y Estados Unidos, pero Reino Unido solo aparece en esta categoría) en las situaciones de emergencia.
  • El carácter preventivo de Estados Unidos, que solicita congelación de cuenta mucho más a menudo que el resto.
  • Alemania muy implicada (de nuevo, junto a Estados Unidos) en los fraudes financieros relacionados con productos de Apple.
  • China, EEUU, Taiwán y Brasil, las naciones que más datos personales solicitan.

Aclaración: en este ejercicio hemos representado en gráficas las tablas que publica la propia Apple. Es importante especificar que todas las peticiones se realizan por lotes. Por ejemplo, Apple contabiliza el número de peticiones de retirada de apps, y a su vez cada petición puede contener un número indeterminado de apps en ellas. Igual con las peticiones de cuentas y el número de cuentas en cada petición. Cuando Apple habla del porcentaje de peticiones satisfechas, habla de eso, de peticiones, pero no de cuentas concretas. Por ejemplo: Apple recibe 10 peticiones, con 100 cuentas entre todas las peticiones y luego dice que ha satisfecho el 90% de las peticiones, no sabemos cuántas cuentas individuales se le han proporcionado. Sin embargo en las gráficas hemos contrastado números totales contra ese porcentaje. Es un ejercicio que si bien no es exacto, puede aportarnos una idea aproximada de la cantidad real de datos proporcionados.