Apple ha corregido un error de seguridad que, resulta, básicamente dejaba una puerta trasera abierta para que las autoridades espiaran mensajes eliminados de Signal. Vaya.
Para aquellos que pensaban que usar aplicaciones cifradas como Signal significaba que sus secretos estaban a salvo, aquí está el truco: Apple estaba almacenando notificaciones push que contenían partes de esos mensajes hasta por un mes. Así es, incluso después de que configuraras el mensaje para autodestruirse o eliminaras la aplicación por completo, un fantasma digital permanecía en la base de datos de notificaciones, esperando una citación.
El problema salió a la luz gracias a 404 Media, que habló con asistentes a una audiencia donde el FBI testificó que había “extraído forensemente copias de mensajes entrantes de Signal del iPhone de un acusado, incluso después de que la aplicación fuera eliminada, porque copias del contenido se guardaban en la base de datos de notificaciones push del dispositivo”. ¿El caso en cuestión? La primera vez que las autoridades acusaron a personas por presuntas actividades “Antifa” después de que el presidente Trump designara el término como organización terrorista. Por supuesto, ese es el caso.
El miércoles, Apple confirmó que había corregido el error. Los usuarios afectados pueden actualizar sus dispositivos para detener lo que Apple describió como “notificaciones marcadas para eliminación” que “podrían retenerse inesperadamente en el dispositivo”. Según Apple, las notificaciones push nunca debieron almacenarse, pero un “problema de registro” no logró redactar los datos. Así que no fue una conspiración maliciosa, sino un tropiezo burocrático: poco consuelo si eras el acusado.
En Bluesky, Signal celebró la corrección, diciendo que estaba “muy contenta” de que Apple no hubiera arrastrado los pies. “Agradecemos a Apple por la rápida acción aquí, y por entender y actuar sobre lo que está en juego en este tipo de problema”, decía la publicación. “Se necesita un ecosistema para preservar el derecho humano fundamental a la comunicación privada”. Signal confirmó que después de que los usuarios actualicen sus dispositivos, “no se necesita ninguna acción para que esta corrección proteja a los usuarios de Signal en iOS. Una vez que instales el parche, todas las notificaciones preservadas inadvertidamente se eliminarán y ninguna notificación futura se preservará para aplicaciones eliminadas”.
Pero no todos están listos para chocar los cinco. En el hilo de Signal, los usuarios debatían si la actualización es suficiente. Algunos argumentaron que la verdadera lección es desactivar las vistas previas de mensajes por completo, un sentimiento compartido por la presidenta de Signal, Meredith Whittaker, quien previamente aconsejó a los usuarios configurar las notificaciones para “Mostrar ‘Sin nombre ni contenido'” para evitar problemas de privacidad. Un usuario de Bluesky, LofiTurtle, lo resumió: “Al tener vistas previas de mensajes en las notificaciones, le estás dando al sistema operativo acceso a ese contenido sin estar seguro de cómo manejará esos mensajes. Este parche elimina un método conocido, pero para estar completamente seguro, deberías desactivar las vistas previas para que el sistema operativo nunca lo vea en primer lugar”.
Otro usuario, Alexndr, se preguntaba qué más podría estar escondido en los cachés de notificaciones de iOS: “El contenido de la notificación sobreviviendo a la eliminación de la aplicación es la parte más salvaje. Me alegra que se haya parcheado, pero hace preguntarse qué más está sentado en los cachés de notificaciones de iOS”.
Una visión más caritativa vino de Coyote, quien señaló que el blog de Apple aclaró que era un problema de registro, no de caché: “El contenido de la notificación no debía llegar a los registros de diagnóstico, pero a veces lo hacía. Ocurría específicamente cuando recibes una notificación que el teléfono no puede manejar, como cuando la aplicación para la que es ha sido eliminada”.
Aún así, quedan preguntas. Apple fue noticia el año pasado por retirar el cifrado de extremo a extremo en el Reino Unido para evitar una ley que facilitaba a los funcionarios espiar chats cifrados. Y 404 Media señaló que a nivel mundial, las fuerzas del orden han dependido cada vez más de las notificaciones push como estrategia de investigación. El año pasado, Apple cedió a demandas legales que “dieron a los gobiernos datos sobre miles de notificaciones push”. Así que quizás no te confíes demasiado.