Identidad de empleados
Gestión de Endpoints
Detección y respuesta de endpoints
Gestión de vulnerabilidades
Automatización de cumplimiento
Centro de confianza
¿Qué es el servicio de retransmisión privada de iCloud?
Cuando se trata de privacidad, uno de los mayores defectos de Internet siempre ha sido que, gracias al funcionamiento del sistema DNS, los ISP pueden rastrear los sitios web que visitas. iCloud Private Relay es un servicio de Apple, incluido como parte de iCloud+, diseñado para remediarlo, dificultando el rastreo de los usuarios cuando utilizan el navegador Safari de Apple. Enmascara los registros DNS y las direcciones IP del usuario. Esto también ayuda a evitar el seguimiento de la actividad a través de los proveedores de red y sitios web, lo que impide la publicidad dirigida o ataques de phishing construidos en torno a perfiles de usuario. El sistema está diseñado para que nadie más que el usuario pueda supervisar su actividad en línea.
¿Qué hace iCloud Private Relay?
iCloud Private Relay mantiene la privacidad de tu actividad en Internet ocultando tu dirección IP de los sitios web que visitas. El servicio también encripta tus datos cuando salen de tu dispositivo, lo que ayuda a evitar la vigilancia del intermediario y garantiza que todo lo que solicites siga siendo privado. iCloud Private Relay mantiene la privacidad de tus solicitudes de sitios web ofuscando tus consultas DNS.
¿Cómo funciona la retransmisión privada?
El Retransmisor Privado de iCloud separa las solicitudes de recursos de Internet de la identidad del solicitante. Para ello, envía las solicitudes a través de dos "saltos" seguros, o repetidores de Internet.
Tu dirección IP permanece visible para tu proveedor de red y también para el primer relé, llamado "servidor de entrada" y operado por Apple. Pero el contenido se envía a continuación a través de un segundo relé (el "servidor de salida"), operado por una red de entrega de contenidos (CDN) de terceros. Entre ellas se encuentran Akamai, Cloudflare y Fastly.
Este segundo relé ve una solicitud DNS cifrada, pero no sabe nada sobre quién la está realizando. Los registros DNS están cifrados, y la dirección IP real está separada de la consulta, por lo que nadie en la cadena puede ver el seguimiento de su actividad. Cuando se realiza una solicitud, el servidor de destino sólo puede ver que la solicitud procede del servidor de salida, que proporciona una dirección IP temporal no relacionada con el usuario.
En uso, esas direcciones IP temporales cambian con el tiempo para mayor protección y también pueden entregarse a otra CDN para su gestión, lo que dificulta aún más el seguimiento del usuario. La respuesta se envía al servidor de salida, que a su vez la envía cifrada al servidor de entrada controlado por Apple. Los datos -por ejemplo, el sitio web que el usuario quiere visitar- se entregan entonces al usuario.
Apple nunca sabe qué contenido se ha solicitado; todo lo que sabe es a quién enviar los datos, mientras que el servidor de salida de terceros nunca conoce la dirección IP del usuario. Una excepción es cuando un usuario solicita contenidos específicos de una región. En esos casos, los servidores a veces exigen una dirección IP. Para gestionar esto, iCloud Private Relay no compartirá la ubicación específica pero proporcionará una dirección IP que representa la región en la que se encuentra el usuario.
¿Cómo protege iCloud Private Relay sus datos?
El servicio de Retransmisión Privada de iCloud utiliza una serie de protocolos de transporte y seguridad de Internet para llevar a cabo sus funciones. Dos tecnologías clave son el protocolo QUIC (Quick UDP Internet Connections) utilizado para manejar múltiples flujos de datos y el DNS Oblivious sobre HTTPS (ODoH). Este último fue desarrollado conjuntamente por Apple, Cloudflare y Fastly. Técnicamente, el servidor de entrada de Apple enruta los datos a través de una URL de iCloud Mask (por ejemplo, mask.icloud.com), normalmente a través del puerto 443.
¿Cómo implementan los usuarios la retransmisión privada de iCloud?
La retransmisión privada de iCloud requiere que el usuario ejecute iOS 15, iPadOS 15 o macOS 12 o posterior. También requiere una suscripción a iCloud+. Un usuario que cumpla estos requisitos puede activar la retransmisión privada en la sección iCloud de Ajustes (iPad/iPhone) o Ajustes del sistema (Mac). Al activar la retransmisión privada de iCloud, los usuarios pueden elegir entre mantener su ubicación general, que es la mejor configuración para acceder a sitios web, o compartir solo el país y la zona horaria, lo que hace que la ubicación de un usuario sea más oscura pero significa que algunos sitios no funcionarán para ese usuario.
iCloud Private Relay puede no ser siempre la mejor solución de seguridad. Por ejemplo, no funcionará si un usuario visita un país en el que no se presta el servicio, como China, Bielorrusia, Colombia, Egipto, Kazajstán, Arabia Saudí, Sudáfrica, Turkmenistán, Uganda y Filipinas. El Traspaso Privado te avisará cuando no esté disponible y cuando vuelva a estar activo, pero mientras esté desactivado los proveedores de red y el sitio web podrán volver a monitorizar tu actividad en Safari.
¿En qué se diferencia el Traspaso Privado de iCloud de una VPN?
Aunque el servicio de Retransmisión Privada de iCloud proporciona cierta seguridad contra el seguimiento y la elaboración de perfiles de los usuarios, no es una Red Privada Virtual (VPN). El sistema no sólo está diseñado para que sólo funcione dentro de Safari, sino que no funcionará en algunos lugares.
Otra preocupación es que, debido a la arquitectura de iCloud Private Relay, hay algunos sitios web, como los que dependen del filtrado de IP, la monitorización o la limitación de velocidad, que pueden no funcionar sin tu dirección IP. En respuesta, un usuario puede optar por desactivar la protección por completo para visitar el sitio, aunque también es posible desactivar el Traspaso Privado en una base específica por sitio:
- Mac: Navegue hasta el sitio y, en el menú Ver de Safari, elija Recargar y Mostrar dirección IP.
- iPhone/iPad: Vaya al sitio, pulse el botón Configuración de la página y, a continuación, pulse Mostrar dirección IP.
Algunas aplicaciones, incluidas las VPN y el software de filtrado de Internet, pueden requerir ajustes o extensiones incompatibles con esta función.
¿Es seguro el servicio de retransmisión privada de iCloud?
Nada es completamente seguro en tecnología. En lo que respecta al Traspaso privado de iCloud, el servicio canalizará las solicitudes de datos de Internet realizadas con Safari a través del Traspaso privado, pero esta protección no es infalible. Por ejemplo, Apple y sus socios pueden acceder al contenido de las páginas visitadas si se cargan a través de HTTP y no de HTTPS. El hecho de que el servicio no funcione fuera de Safari o en algunos países también lo convierte en una alternativa menos segura que los servicios VPN clásicos.
Otra preocupación es que iCloud Private Relay revela que una solicitud proviene de un iPhone, iPad o Mac y sugiere que la solicitud emana de un usuario con una suscripción a iCloud+.
Gestión de la retransmisión privada de iCloud
En algunos casos, el departamento de TI puede tener que restringir el uso de iCloud Private Relay en dispositivos gestionados en favor de la VPN oficial de la empresa. Algunas empresas también pueden tener una política que requiere que todo el tráfico de red sea auditado. Aunque cualquier dispositivo que utilice la retransmisión privada valida intrínsecamente que es un iPhone, iPad o Mac y que el usuario tiene una suscripción a iCloud+, Apple permite a los administradores de red desautorizar la función a nivel de dispositivo utilizando MDM. Aunque las implementaciones varían, el control Disallow iCloud Private Relay (disponible en el panel Restrictions de Kandji) impide el uso del servicio. Apple ha publicado información adicional para los administradores de servidores y redes.