Una medida regulatoria en el Reino Unido ha encendido las alarmas entre la comunidad cripto. Las autoridades británicas podrían obligar a Apple a proporcionar acceso a ciertos datos almacenados en iCloud, abriendo una puerta potencialmente peligrosa: la exposición de frases semilla y claves privadas de millones de usuarios de Bitcoin y otras criptomonedas.
Aunque iCloud Keychain el sistema de contraseñas cifrado de extremo a extremo permanece protegido, otros servicios como copias de seguridad, Fotos o Notas no cuentan con la misma protección. Y ahí radica el riesgo: muchos usuarios, sin saberlo, guardan información crítica de sus billeteras en esos espacios más vulnerables.
El punto débil: copias de seguridad sin cifrado completo
En febrero, Apple retiró su función de Advanced Data Protection para usuarios del Reino Unido, lo que redujo drásticamente el nivel de seguridad de varias categorías de datos. Si una semilla de recuperación fue guardada como captura en Fotos, escrita en Notas, o quedó almacenada en una copia de seguridad de iCloud, ahora podría ser susceptible a solicitudes legales de acceso o incluso a ciberataques.
Este cambio cobra aún más relevancia tras la emisión de un Technical Capability Notice (TCN), una orden secreta del gobierno británico que exige a Apple facilitar el acceso a parte de la información de usuarios locales. Apple no ha comentado al respecto, pero el precedente preocupa: si un gobierno logra acceso a datos críticos, ¿quién garantiza que otros no lo intenten?
Millones en riesgo: el tamaño del problema
Los números ayudan a dimensionar la amenaza. Con una población estimada de 69,3 millones en Reino Unido y una penetración de smartphones entre 90% y 95%, el universo de usuarios de iPhone podría rondar entre 28 y 36 millones. Si entre 60% y 75% utiliza iCloud para copias de seguridad o almacenamiento, entre 17 y 27 millones de personas podrían estar en potencial riesgo de exposición.
Incluso si solo 0,01% a 0,03% de esos usuarios fueran afectados por abusos de acceso legal, ataques de ingeniería social o robos de cuentas, entre 1.700 y 8.000 carteras podrían ser comprometidas. Con saldos promedio entre $2.000 y $10.000, las pérdidas directas podrían alcanzar desde $3 millones hasta $80 millones.
Cómo se filtran las claves: vectores de ataque
La amenaza no reside en que Apple “entregue” las claves privadas, sino en cómo estas podrían moverse fuera del entorno seguro:
Capturas de pantalla de frases semilla guardadas en Fotos.
Palabras de recuperación escritas en Notas.
Datos de apps de wallets incluidos en copias de seguridad.
Al carecer de cifrado de extremo a extremo, estos archivos pueden ser descifrados tras una autenticación legal o bajo orden judicial. Además, la mayor superficie de ataque facilita campañas de phishing y recuperación de cuentas dirigidas.
Incluso los respaldos en la nube ofrecidos por billeteras como Coinbase Wallet aunque estén cifrados con contraseña dependen directamente de la fortaleza de esa contraseña y del modelo de amenaza del proveedor.
Escenarios para los próximos 18 meses
Tres caminos marcan el futuro inmediato del debate:
Carve-out permanente en Reino Unido: Apple mantiene claves en su poder para copias de seguridad y almacenamiento común. El riesgo para usuarios minoristas se mantiene elevado.
Regreso del cifrado avanzado: Apple restaura la protección integral y el riesgo vuelve a niveles globales estándar.
Escaneo del lado del cliente: antes del cifrado, el sistema analiza contenidos en busca de elementos “ilegales” o peligrosos, aumentando la superficie de ataque.
La tercera opción, similar al debate en la Unión Europea sobre el “chat control”, preocupa especialmente a expertos en seguridad: cualquier nuevo código de escaneo se convierte en un vector potencial para atacantes.
Recomendaciones para usuarios y desarrolladores
Tanto usuarios como desarrolladores pueden reducir significativamente su exposición:
Nunca almacenar semillas o claves en la nube ni en aplicaciones sincronizadas.
Excluir archivos sensibles de las copias de seguridad y marcarlos como “no respaldables”.
Usar el Secure Enclave del dispositivo para proteger claves críticas.
Endurecer el acceso a la cuenta de Apple ID y activar la autenticación de dos factores.
Más allá del Reino Unido: un precedente global
Lo que ocurre en Reino Unido podría extenderse a otras jurisdicciones. La historia lo demuestra: leyes como la Assistance and Access Act en Australia o la Sección 69 en India comenzaron con objetivos limitados y terminaron ampliando su alcance. Un cambio en un país puede convertirse en el estándar de facto para toda la industria.
La pregunta no es si Apple eliminará el cifrado de extremo a extremo en todos sus servicios, sino si los espacios donde los usuarios guardan inadvertidamente información sensible serán lo suficientemente seguros para proteger sus claves privadas.
La próxima batalla por la soberanía de las criptomonedas podría librarse no en los protocolos blockchain, sino en la infraestructura de almacenamiento que usamos cada día. Y esa batalla ya comenzó.
