Microsoft entregó al FBI claves para desbloquear datos cifrados, exponiendo una importante falla de privacidad

A principios del año pasado, el FBI entregó a Microsoft una orden de registro, solicitándole claves de recuperación para desbloquear datos cifrados almacenados en tres computadoras portátiles. Los investigadores federales en Guam creían que los dispositivos contenían pruebas que ayudarían a demostrar que quienes gestionaban el programa de asistencia por desempleo por COVID de la isla formaban parte de un complot para robar fondos.

Los datos se protegieron con BitLocker, un software que se habilita automáticamente en muchas PC modernas con Windows para salvaguardar todos los datos del disco duro. BitLocker codifica los datos para que solo quienes tengan una clave puedan decodificarlos.

Los usuarios pueden almacenar esas claves en un dispositivo propio, pero Microsoft también recomienda que los usuarios de BitLocker guarden sus claves en sus servidores para mayor comodidad. Si bien esto significa que alguien puede acceder a sus datos si olvida su contraseña o si varios intentos fallidos de inicio de sesión bloquean el dispositivo, también los expone a citaciones y órdenes judiciales de las fuerzas del orden.

En el caso de Guam, entregó las claves de cifrado a los investigadores.

Microsoft confirmó a Forbes que proporciona claves de recuperación de BitLocker si recibe una orden judicial válida. “Si bien la recuperación de claves ofrece comodidad, también conlleva el riesgo de acceso no deseado, por lo que Microsoft cree que los clientes son los más indicados para decidir cómo administrar sus claves”, declaró el portavoz de Microsoft, Charles Chamberlayne.

Dijo que la compañía recibe alrededor de 20 solicitudes de claves BitLocker por año y, en muchos casos, el usuario no ha almacenado su clave en la nube, lo que hace imposible que Microsoft lo ayude.

“Si Apple puede hacerlo, si Google puede hacerlo, entonces Microsoft puede hacerlo” – Matt Green, profesor asociado de la Universidad Johns Hopkins

El caso de Guam es el primer caso conocido en el que la empresa de Redmond, Washington, ha proporcionado una clave de cifrado a las fuerzas del orden. En 2013, un ingeniero de Microsoft afirmó que funcionarios del gobierno le habían contactado para instalar puertas traseras en BitLocker, pero que había rechazado las solicitudes.

El senador Ron Wyden dijo en una declaración a Forbes que es “simplemente irresponsable que las empresas tecnológicas envíen productos de una manera que les permita entregar en secreto las claves de cifrado de los usuarios”.

“Permitir que ICE u otros matones de Trump obtengan en secreto las claves de cifrado de un usuario les está dando acceso a la totalidad de la vida digital de esa persona y pone en riesgo la seguridad personal de los usuarios y sus familias”, añadió.

Este no es un problema exclusivo de EE. UU. Jennifer Granick, asesora de vigilancia y ciberseguridad de la ACLU, señaló que gobiernos extranjeros con antecedentes cuestionables en materia de derechos humanos también exigen datos a gigantes tecnológicos como Microsoft. «El almacenamiento remoto de claves de descifrado puede ser bastante peligroso», afirmó.

Las fuerzas del orden solicitan regularmente a los gigantes tecnológicos que proporcionen claves de cifrado, implementen accesos de puerta trasera o debiliten su seguridad de otras maneras. Sin embargo, otras empresas se han negado. A Apple, en particular, se le ha solicitado repetidamente acceso a datos cifrados en su nube o en sus dispositivos. En un enfrentamiento muy publicitado con el gobierno en 2016, Apple impugnó una orden del FBI para ayudar a abrir los teléfonos de los terroristas que mataron a tiros a 14 personas en San Bernardino, California. Finalmente, el FBI encontró a un contratista para hackear los iPhones.

Expertos en privacidad y cifrado declararon a Forbes que Microsoft debería tener la responsabilidad de brindar una mayor protección a los dispositivos y datos personales de los consumidores. Apple, con sus sistemas similares FileVault y Passwords, y la aplicación de mensajería WhatsApp de Meta también permiten a los usuarios realizar copias de seguridad de sus aplicaciones y almacenar una clave en la nube. Sin embargo, ambas permiten también guardar la clave en un archivo cifrado en la nube, lo que hace inútiles las solicitudes de las autoridades. No se ha informado de que ninguna de ellas haya entregado claves de cifrado de ningún tipo en el pasado.

“Se trata de datos privados en una computadora privada, y tomaron la decisión arquitectónica de mantener el acceso a ellos. Definitivamente deberían tratarlos como algo que pertenece al usuario”, afirmó Matt Green, experto en criptografía y profesor asociado del Instituto de Seguridad de la Información de la Universidad Johns Hopkins.

“Si Apple puede hacerlo, si Google puede hacerlo, entonces Microsoft puede hacerlo. Microsoft es la única empresa que no lo está haciendo”, añadió. “Es un poco extraño… La lección aquí es que si tienes acceso a las claves, tarde o temprano las fuerzas del orden vendrán”.

Granick expresó su preocupación por la cantidad de información que el FBI podría obtener si los agentes acceden a datos protegidos por BitLocker. “Las claves otorgan al gobierno acceso a información que va mucho más allá del plazo de la mayoría de los delitos, a todo lo que está en el disco duro”, afirmó. “Debemos confiar en que los agentes solo busquen información relevante para la investigación autorizada y no aprovechen la oportunidad para hurgar en ella”.

En el caso de Guam, el expediente judicial muestra que la orden se ejecutó con éxito. La abogada de la acusada, Charissa Tenorio, quien se declaró inocente, afirmó que la información que le proporcionaron los fiscales incluía datos de la computadora de su cliente y referencias a claves de BitLocker que Microsoft había proporcionado al FBI. El caso sigue en curso.

Tanto Green como Granick afirmaron que Microsoft podría pedir a los usuarios que instalen una clave en un dispositivo de hardware, como una memoria USB, que funcionaría como clave de respaldo o de recuperación. Microsoft permite esta opción, pero no es la configuración predeterminada de BitLocker en PC con Windows.

Sin las claves de cifrado de Microsoft, el FBI habría tenido dificultades para obtener datos útiles de las computadoras. Los algoritmos de cifrado de BitLocker han demostrado ser impenetrables ante intentos previos de las fuerzas del orden, según un análisis de casos históricos de Forbes . A principios de 2025, un experto forense de la unidad de Investigaciones de Seguridad Nacional del ICE escribió en un documento judicial que su agencia “no contaba con las herramientas forenses necesarias para acceder a dispositivos cifrados con Microsoft BitLocker ni con ningún otro tipo de cifrado”. En un caso anterior, los investigadores federales obtuvieron las claves al descubrir que un sospechoso las había almacenado en unidades sin cifrar .

Ahora que el FBI y otras agencias saben que Microsoft cumplirá con órdenes judiciales similares al caso de Guam, probablemente exigirán más claves de cifrado, dijo Green. “Mi experiencia me dice que, una vez que el gobierno estadounidense se acostumbra a tener una capacidad, es muy difícil deshacerse de ella”.

Este artículo fue publicado originalmente en Forbes US

Lea también: EE. UU. ultima un acuerdo con TikTok para controlar el negocio estadounidense de la aplicación