Todo usuario de Internet debe tener la posibilidad de comunicarse en privado con las personas que le importan, de forma segura y utilizando las herramientas y protocolos de su elección.
iMessage de Apple ofrece a sus clientes mensajería cifrada de extremo a extremo, pero sólo si esos clientes quieren hablar con alguien que también tenga un producto Apple. Cuando un cliente de Apple intenta enviar un mensaje a un usuario de Android, los datos se envían a través de SMS, un protocolo que debutó cuando Wayne's World acababa de estrenar su primera película. Los SMS son tremendamente inseguros, pero cuando los clientes de Apple preguntan a la compañía cómo protegerse mientras intercambian mensajes con usuarios de Android, la respuesta de Apple es "cómprales un iPhone."
Esto es falso. las computadoras son todas demasiado similares, por lo que no hay razón para que un dispositivo Android no pueda ejecutar una aplicación que pueda enviar y recibir datos de iMessage de forma segura. Si Apple no quiere crear esa aplicación, que lo haga otro.
Eso es exactamente lo que hizo Apple cuando Microsoft se negó a crear una versión de alta calidad de Microsoft Office para MacOS: Apple aplicó ingeniería inversa a Office y lanzó iWork, cuyos programas Pages, Numbers y Keynote podían leer y escribir perfectamente los archivos Word, Excel y Powerpoint de Microsoft.
En septiembre, un estudiante de secundaria de 16 años aplicó ingeniería inversa a iMessage y publicó Pypush una biblioteca de software libre que reimplanta iMessage para que cualquiera pueda enviar y recibir datos de iMessage de forma segura, manteniendo el cifrado de extremo a extremo, sin necesidad de un ID de Apple.
La semana pasada, Beeper, una empresa de mensajería multiprotocolo, lanzó Beeper Mini, una aplicación alternativa de iMessage basada supuestamente en el código de Pypush que funciona en Android, ofreciendo a los usuarios de Android la "burbuja azul" que permite a los clientes de Apple comunicarse con ellos de forma segura. Beeper Mini destaca entre los intentos anteriores por permitir que los dispositivos de los usuarios se comuniquen directamente con los servidores de Apple, en lugar de romper el cifrado de extremo a extremo descifrando y volviendo a cifrar los mensajes en servidores situados en un centro de datos.
Beeper Mini es un ejemplo de "interoperabilidad contradictoria". Es cuando haces que algo nuevo funcione con un producto existente, sin permiso del creador del producto.
("Interoperabilidad adversarial" es un término bastante largo, por lo que se nos ocurrió "compatibilidad competitiva" o "comcom" como término alternativo).
Comcom es como conseguimos tinta para impresoras inkjet compatibles con HP que no cuestan hasta 10.000 dólares por galón, y así es como conseguimos reparaciones independientes de técnicos, hazañas que el fabricante califica de "imposibles". Comcom es de donde viene el propio iMessage: empezó su vida como iChat, con soporte para existentes protocolos como XMPP.
Beeper Mini hace la vida más segura a los usuarios de Apple de dos maneras: en primer lugar, protege la seguridad de los mensajes que envían a personas que no utilizan dispositivos Apple; y en segundo lugar, facilita a los usuarios de Apple el cambio a una plataforma rival si Apple tiene un cambio de dirección en la gestión que quite prioridad a su privacidad.
Apple no está de acuerdo. Bloqueó a los usuarios de Beeper Mini apenas unos días después del lanzamiento de la aplicación. Apple dijo a David Pierce, de The Verge, que había bloqueado a los usuarios de Beeper Mini porque "planteaba riesgos significativos para la seguridad y la privacidad de los usuarios, incluida la posibilidad de exposición de metadatos y la posibilidad de mensajes no deseados, spam y ataques de phishing".
Si Beeper Mini planteaba efectivamente esos riesgos, entonces Apple tiene derecho a tomar medidas en nombre de sus usuarios. La única razón para preocuparse por todo esto es si hace que los usuarios estén más seguros, no porque sirva a los intereses comerciales de Apple o Beeper.
Pero el relato de Apple sobre las amenazas de Beeper Mini no cuadra con la información técnica que Beeper ha facilitado. Apple no ha facilitado ningún dato concreto que respalde sus afirmaciones. Pero el relato de Apple sobre las amenazas de Beeper Mini no cuadra con la información técnica que Beeper ha facilitado. Apple no ha facilitado ningún dato concreto que refuerce sus afirmaciones. Las grandes empresas tecnológicas que se enfrentan a interoperadores suelen tachar sus productos de riesgos para la privacidad o la seguridad, incluso cuando esas afirmaciones son totalmente infundadas.
La regla de oro para las reclamaciones de seguridad es mostrar pruebas técnicas no acusaciones vagas. La EFF no ha auditado Beeper Mini y agradeceríamos que Apple nos diera detalles técnicos sobre estos supuestos problemas de seguridad. Aunque Beeper no ha publicado el código fuente de Beeper Mini, se han ofrecido a presentarla para su auditoría por un tercero.
Beeper Mini ha vuelto. La compañía publicó una actualización el lunes que restauró su funcionalidad. Si Beeper Mini resulta tener defectos de seguridad, Apple debería proteger a sus clientes facilitándoles la conexión segura con los usuarios de Android.
Una cosa que no mejorará la seguridad de los usuarios de Apple es que Apple dedique sus recursos de ingeniería a una carrera armamentística con Beeper y otros interoperadores. En un clima en el que se intensifican las medidas antimonopolio y en el que los reguladores de todo el mundo empiezan a obligar a los gigantes tecnológicos a interoperar, señalar los productos interoperables y gritar "¡inseguro! Inseguro!" ya no es suficiente.
Apple debe reconocer que no es la única entidad que puede proteger a sus clientes.