← Blog

The Digital Heir

Lee esto antes de usar Apple Legacy Contact o el Administrador de cuentas inactivas de Google

Apple Legacy Contact y el Administrador de cuentas inactivas de Google son útiles, pero no te dan un control completo sobre la transferencia de tu patrimonio digital.

Las herramientas de legado de Apple y Google como partes de un plan más amplio de herencia digital

Añades un contacto de legado a tu cuenta de Apple, configuras el Administrador de cuentas inactivas de Google, eliges a personas de confianza y das por hecho que tu herencia digital ya está resuelta.

Desde luego, es mejor que no hacer nada. Ambas herramientas pueden conservar partes valiosas de tu vida digital y ofrecer a tu familia una vía de recuperación que, de otro modo, no existiría.

Pero no crean un plan completo de herencia digital.

Con Apple, preparas una futura solicitud mediante la cual tu contacto de legado podrá pedir acceso a determinados datos de la cuenta después de tu fallecimiento. Con Google, creas una instrucción automatizada para avisar a ciertas personas o compartir con ellas datos seleccionados si tu cuenta queda inactiva.

Son funciones útiles, pero en ambos casos la plataforma sigue definiendo los límites. Apple y Google deciden qué información puede entregarse, qué queda excluido, qué evento activa el proceso, cómo se verifica al destinatario y qué tipo de acceso se proporciona finalmente.

Estás planificando dentro de sus sistemas y bajo sus reglas.

Qué ofrecen realmente Apple y Google

Apple Legacy Contact está diseñado para dar a determinadas personas acceso a cierta información almacenada en tu cuenta de Apple después de tu fallecimiento.

Los datos disponibles pueden incluir fotos, mensajes, notas, archivos, copias de seguridad de dispositivos y otra información admisible. Sin embargo, Apple excluye los contenidos comprados y las suscripciones, así como los datos almacenados en el Llavero de iCloud. Esto significa que tu contacto de legado no podrá obtener las contraseñas ni las passkeys guardadas allí.

Para iniciar el proceso, el contacto de legado necesita la clave de acceso única creada cuando lo designaste y una copia de tu certificado de defunción. Después, Apple verifica la solicitud antes de conceder el acceso.

El Administrador de cuentas inactivas de Google sigue un modelo diferente. Puedes seleccionar hasta diez contactos, decidir qué datos debe recibir cada persona y elegir cuánto tiempo debe esperar Google antes de considerar inactiva la cuenta.

Cuando transcurre el periodo configurado, Google puede avisar a esos contactos y proporcionarles un enlace para descargar los datos que hayas seleccionado. El número de teléfono del destinatario se utiliza para ayudar a verificar que la persona correcta está accediendo a la información. Google también deja claro que determinados datos de la cuenta no pueden compartirse mediante este sistema.

Ninguna de las dos herramientas da a otra persona acceso completo a tu cuenta, a todas tus credenciales ni control sobre cada servicio externo vinculado a tu dirección de correo electrónico.

La plataforma sigue definiendo la transferencia

Apple determina a qué categorías de datos puede acceder un contacto de legado. También decide qué documentación debe presentarse y si la solicitud cumple sus requisitos.

Google te da más control sobre qué contactos reciben qué datos, pero sigue decidiendo qué productos están incluidos, qué información puede compartirse, qué señales cuentan como actividad y cómo debe verificar su identidad el destinatario.

Esta dependencia puede no importar cuando el proceso funciona exactamente como se esperaba. El problema aparece cuando algo queda fuera del recorrido estándar.

Las empresas también pueden retirar productos, cambiar interfaces, reorganizar cuentas, añadir o eliminar categorías de datos y modificar sus procedimientos de verificación.

Esto no significa que Apple o Google pretendan ignorar tus instrucciones. Significa que tus instrucciones existen dentro de un servicio controlado y mantenido por otra organización.

¿Has intentado alguna vez recurrir una decisión de una gran empresa?

Recurrir una decisión de una plataforma resulta frustrante incluso cuando sigues vivo, tienes tus dispositivos y puedes explicar el historial de tu propia cuenta.

Ahora imagina a tu heredero intentando hacer lo mismo mientras debe demostrar que tiene derecho al acceso o explicar discrepancias en los documentos presentados.

Si el proceso estándar falla, puede tener que enfrentarse a sistemas de soporte automatizados, comprobaciones de identidad, terminología jurídica desconocida y un procedimiento excesivamente complejo que deja poco margen para las circunstancias individuales.

La cautela de la empresa es comprensible. Entregar los datos privados de una persona fallecida o desaparecida al solicitante equivocado sería un fallo grave. Pero la empresa controla el proceso de revisión, la interpretación de sus reglas y la decisión final.

Es una posición frágil para convertirla en la única vía de acceso a un activo importante.

Sus mecanismos de activación pueden no coincidir con la emergencia real

La herencia digital suele describirse como un problema que comienza después de la muerte. En realidad, alguien puede necesitar acceso a tus recursos o instrucciones mucho antes de que exista un certificado de defunción.

Una persona puede desaparecer mientras viaja, sufrir una emergencia médica, perder todos sus dispositivos, quedar incapacitada, ser detenida o simplemente dejar de estar localizable.

Apple Legacy Contact no aborda directamente esas situaciones. Su activador es un fallecimiento documentado. Si sigues vivo pero no puedes comunicarte, todavía no se ha producido el evento necesario para activar el proceso.

El modelo de inactividad de Google es más amplio, pero la inactividad sigue siendo solo una señal indirecta.

Google tiene en cuenta señales como los inicios de sesión recientes, la actividad registrada en Mi Actividad, el uso de Gmail y las comprobaciones de dispositivos Android. Estas señales pueden indicar que una cuenta parece estar en uso, pero no pueden establecer quién tiene realmente el control ni por qué se detuvo la actividad.

Un teléfono conectado puede seguir comunicándose con los servicios después de que su propietario deje de estar disponible. Otra persona puede seguir teniendo acceso a la cuenta. Un dispositivo empresarial puede continuar generando actividad. La cuenta puede permanecer técnicamente activa aunque la persona cuya disponibilidad importa ya no responda.

También puede ocurrir lo contrario. Alguien puede abandonar una antigua cuenta de Google, cambiar de proveedor o dejar de usar un dispositivo sin sufrir ninguna emergencia.

Ninguno de los dos sistemas formula la pregunta más práctica:

¿Ha dejado el propietario de responder a través de suficientes canales independientes como para que el proceso de emergencia deba avanzar?

Responder a esa pregunta exige algo más que un único activador fijo.

Ninguna plataforma ve todo tu patrimonio digital

Apple solo puede actuar sobre la información incluida en el ecosistema de Apple. Google solo puede actuar sobre la información asociada a sus propios productos.

Tu activo digital más importante puede encontrarse en otro lugar.

Puede ser:

  • una cartera de criptomonedas en autocustodia;
  • una cuenta en un exchange de criptomonedas;
  • una cartera de dominios;
  • un servidor que mantiene un negocio en línea;
  • un repositorio de código fuente;
  • una cuenta de un proveedor de servicios en la nube;
  • un procesador de pagos;
  • una bóveda de un gestor de contraseñas;
  • una unidad cifrada;
  • una llave de seguridad física;
  • un canal de redes sociales monetizado;
  • una base de datos;
  • un conjunto de credenciales de API;
  • o un agente autónomo que funciona en un servidor y controla su propia cartera.

Tu Google Drive puede contener cientos de documentos, pero tu heredero todavía tendría que saber qué buscar y dónde hacerlo. Tampoco deberías almacenar todas tus contraseñas, claves privadas o frases de recuperación como texto sin cifrar en Google Drive, porque eso crearía otro punto de fallo grave.

La herencia digital tiene al menos tres etapas:

1. Tu heredero debe descubrir que el activo existe.
2. Debe obtener la información técnica necesaria para acceder a él.
3. Puede necesitar autoridad legal para controlarlo o transferirlo.

Apple y Google pueden ayudar con la primera etapa y, en casos limitados, con una parte de la segunda. No resuelven automáticamente las tres.

Entregar hoy el secreto a otra persona crea otro problema

Cuando las personas reconocen los límites de las herramientas de las plataformas, la alternativa evidente es entregar la información importante a alguien por adelantado.

Podrías dar una frase de recuperación de criptomonedas a un familiar, incluir contraseñas en un testamento, dejar un documento en una caja fuerte, entregar un kit de emergencia a un abogado o dividir un secreto entre varias personas.

Esto aumenta la probabilidad de que alguien encuentre la información más adelante. También hace que la información esté disponible antes.

Una persona que posee una frase semilla legible no necesita esperar para utilizarla. Un documento guardado en un lugar físico puede copiarse o fotografiarse. Un abogado, albacea, familiar, empleado u otro custodio puede ser digno de confianza hoy, pero verse comprometido, coaccionado, sustituido o implicado en una disputa dentro de varios años.

Dividir un secreto entre varias personas modifica los riesgos en lugar de eliminarlos. Un fragmento puede perderse, uno de los participantes puede dejar de estar disponible, el grupo puede dejar de cooperar o los fragmentos pueden reunirse antes de lo previsto.

Esta es la dificultad central de una herencia digital segura:

¿Cómo puedes preparar hoy la transferencia sin completar hoy la revelación?

El destinatario deberá recibir finalmente la información, pero nadie debería tener que conservar en su nombre una copia legible mientras tú sigas teniendo el control.

Un modelo diferente: liberación condicional de información cifrada

The Digital Heir está diseñado en torno a ese problema específico.

En lugar de pedir a otra persona que guarde tus credenciales por adelantado, colocas la información pertinente dentro de un Sobre cifrado. El Sobre puede contener frases de recuperación, contraseñas, claves privadas, instrucciones para servidores, datos de cuentas o simplemente una explicación de lo que existe y de dónde puede encontrarse el siguiente paso de recuperación.

Después defines un Pipeline: una secuencia de comprobaciones destinada a determinar si sigues disponible.

Un Pipeline puede comenzar comprobando tu actividad reciente en Telegram. Si no se detecta la actividad esperada, el sistema puede enviarte un mensaje de WhatsApp y esperar tu respuesta. Si no respondes con el Okay Password independiente, puede probar otro canal verificado, volver a esperar y continuar con la secuencia que hayas configurado.

Si respondes correctamente, el Pipeline se reinicia.

Si fallan todas las comprobaciones configuradas, el sistema envía al heredero seleccionado un enlace de duración limitada desde el que puede intentar descifrar el Sobre. El sistema no transfiere por sí mismo la cartera, el dominio, la cuenta o el negocio externos. Transfiere la información protegida necesaria para descubrirlos o acceder a ellos.

Esto crea una relación diferente entre el propietario, la plataforma y el heredero.

Tú defines el proceso de escalado

Apple utiliza un fallecimiento documentado. Google utiliza la inactividad de la cuenta.

The Digital Heir permite al propietario definir una secuencia que combina varias señales, canales de comunicación y periodos de espera.

Una única comprobación fallida no tiene por qué liberar nada. La ausencia de actividad reciente en una red social puede activar un mensaje directo. Después puede enviarse un correo electrónico. Cada paso puede tener su propio plazo, y una respuesta válida puede detener y reiniciar el proceso.

El proceso establece que el propietario no ha respondido a la secuencia de comprobaciones que configuró. Esa es la condición técnica que eligió para que se envíe al heredero un enlace a la página de descifrado.

Esto hace que el sistema sea relevante en situaciones de desaparición, incapacidad, detención, pérdida de dispositivos u otra imposibilidad prolongada de comunicarse.

No se necesita un certificado de defunción y ningún empleado decide manualmente si la situación es lo bastante grave. El Pipeline configurado determina cuándo se envía el enlace al heredero.

Nadie necesita conservar el secreto legible por adelantado

Tu heredero ni siquiera necesita saber que lo has elegido hasta que finalice el Pipeline.

Cuando recibe el enlace, tampoco obtiene automáticamente el texto sin cifrar. Debe responder a una de las preguntas personales que preparaste para él. Las preguntas deben referirse a conocimientos compartidos que resulten fáciles de recordar para la persona correcta, pero difíciles de adivinar para un extraño.

El servicio no almacena esas respuestas secretas. La base de datos contiene el Sobre cifrado y el material criptográfico necesario para el descifrado, pero no contiene una copia de la respuesta.

La ventaja práctica no consiste en que ninguna persona viva pueda conocer nunca el secreto. Tú, como propietario, sabes qué colocaste dentro del Sobre, y tu heredero puede llegar a descifrarlo.

La ventaja es que ninguna persona adicional necesita actuar como custodio vivo del texto sin cifrar.

Ni tu heredero ni tu abogado necesitan guardarlo por adelantado.

La transferencia puede prepararse sin crear una copia legible en posesión de otra persona.

La base de datos por sí sola no es suficiente

El Sobre se cifra en el navegador mediante una clave aleatoria de cifrado de datos. Se deriva protección adicional de la respuesta secreta, y el material de clave protegido se envuelve mediante una infraestructura externa de gestión de claves.

El servicio no almacena ni el Sobre en texto sin cifrar ni las respuestas secretas. Los intentos de descifrado están sujetos a límites de frecuencia en línea y bloqueos a nivel de la aplicación, lo que impide que un atacante que solo tenga la base de datos pruebe un número ilimitado de respuestas sin conexión.

Se utilizan varios proveedores KMS como réplicas para reducir la dependencia de un único proveedor y mejorar la disponibilidad. No son tres fragmentos que deban reunirse; la seguridad sigue dependiendo de la capa de cifrado derivada de la respuesta, de la operación KMS protegida y de los límites aplicados a los intentos de adivinación.

El propósito de esta arquitectura es evitar que un único componente comprometido sea suficiente para revelar el Sobre.

Por tanto, un atacante externo no debería poder probar en privado millones de respuestas posibles sin interactuar con el sistema activo y sujeto a límites de frecuencia.

El proyecto es de código abierto para que estas afirmaciones y las rutas de código correspondientes puedan examinarse en lugar de aceptarse únicamente como mensajes de marketing.

Las auditorías externas de seguridad y criptografía siguen formando parte de la hoja de ruta, pero The Digital Heir ya está disponible para ayudarte a preparar hoy una transferencia segura de tus activos digitales.