Comparativa de privadesa de serveis de núvol de fotos

Privadesa a l'emmagatzematge de fotos al núvol el 2026

Q: L'emmagatzematge de fotos al núvol és segur?

És segur davant d'atacants externs, sí: tots els proveïdors principals utilitzen xifrat en trànsit i en repòs. No és privat davant del proveïdor en si. El proveïdor manté les claus de xifrat per defecte i pot accedir a les teves fotos, analitzar-les dins el seu model de servei i lliurar-les en resposta a sol·licituds legals vàlides.

Tots xifren. La pregunta és: qui té les claus?

Els serveis de núvol de fotos principals xifren les dades en trànsit i en repòs. El que no destaquen: el proveïdor manté les claus de xifrat en la majoria d'aquests serveis. Això vol dir que el proveïdor pot accedir a les teves fotos dins el seu model de seguretat i polítiques, analitzar-les per a funcions del servei o sistemes de seguretat, i respondre a sol·licituds de les forces de l'ordre. Aquesta guia audita les polítiques de privadesa dels cinc proveïdors principals, iCloud, Google Fotos, Amazon Photos, Dropbox i OneDrive, i documenta exactament el que cada un diu sobre les teves dades.

La pregunta clau: qui té les claus de xifrat?

Tot servei de núvol gran xifra les teves dades. La pregunta no és si existeix xifrat, sinó qui té les claus. Aquesta sola diferència determina si les teves fotos estan protegides davant del proveïdor o tan sols davant d'atacants externs.

Xifrat del costat del servidor (el proveïdor té les claus): El servei xifra les teves dades als seus servidors amb claus que ell gestiona. Això protegeix contra el robatori físic del maquinari dels servidors i contra atacs externs. No protegeix contra el proveïdor en si, els seus empleats, sol·licituds legals o ordres governamentals. El proveïdor pot desxifrar i accedir a les teves dades en qualsevol moment.

Xifrat d'extrem a extrem (l'usuari té les claus): Les dades es xifren al teu dispositiu abans de pujar-les. El proveïdor emmagatzema text xifrat que no pot desxifrar. Fins i tot amb una ordre judicial, el proveïdor no té res útil per lliurar. Només Apple ofereix això com a funció opcional per a l'emmagatzematge de fotos (Protecció avançada de dades). Cap altre servei de núvol de fotos gran ofereix xifrat E2E per a fotos.

iCloud Fotos

Proveïdor: Apple Inc.
Política de privadesa: apple.com/privacy
Model de xifrat: Del costat del servidor per defecte; xifrat E2E disponible mitjançant la Protecció avançada de dades (ADP)

El que diu la política de privadesa d'Apple

La política de privadesa d'Apple indica: "Podem usar dades personals per a fins de seguretat del compte i de la xarxa, inclosa la protecció dels nostres serveis en benefici de tots els nostres usuaris, i preseleccionar o escanejar contingut carregat per detectar contingut potencialment il·legal, inclòs material d'abús sexual infantil."

La documentació de seguretat actual d'iCloud traça la frontera de privadesa més important: amb la protecció estàndard d'iCloud, Apple té les claus d'iCloud Fotos i pot desxifrar el contingut; amb la Protecció avançada de dades activada, les fotos es xifren d'extrem a extrem i Apple no les pot desxifrar. En la pràctica, iCloud Fotos estàndard s'ha de tractar com a emmagatzematge al núvol llegible pel proveïdor, tret que s'activi explícitament l'ADP.

Detalls del xifrat

Estàndard: Xifrat en trànsit (TLS) i en repòs amb claus gestionades per Apple. Apple pot desxifrar les dades estàndard d'iCloud Fotos en resposta a sol·licituds legals vàlides.

Amb ADP activada: Xifrat d'extrem a extrem per a iCloud Fotos, iCloud Drive, Notes, còpia de seguretat d'iCloud i altres categories. Apple no pot desxifrar aquestes dades. L'ADP requereix iOS 16.2+ i una clau de recuperació o un contacte de recuperació.

Accés de les forces de l'ordre

L'informe de transparència d'Apple documenta les sol·licituds de dades governamentals. Amb l'ADP activada, Apple pot lliurar metadades del compte però no el contingut de les fotos d'iCloud xifrades d'extrem a extrem.

Visibilitat per al proveïdor

La política de privadesa d'Apple es reserva el dret de preseleccionar o escanejar el contingut carregat per detectar contingut il·legal. El model de seguretat d'iCloud estableix un punt important per a la privadesa: sense l'ADP activada, Apple té la capacitat tècnica de desxifrar iCloud Fotos. Amb l'ADP activada, les fotos estan xifrades d'extrem a extrem i Apple no pot llegir el contingut.

Funció	Estàndard	Amb ADP
Xifrat en trànsit	Sí (TLS)	Sí (TLS)
Xifrat en repòs	Sí (claus Apple)	Sí (claus usuari)
Apple pot accedir	Sí	No
Accés de les forces de l'ordre	Sí (via Apple)	Tan sols metadades
Apple pot desxifrar el contingut de les fotos	Sí	No

Google Fotos

Proveïdor: Google LLC (Alphabet Inc.)
Política de privadesa: policies.google.com/privacy
Model de xifrat: Tan sols del costat del servidor. Cap opció de xifrat E2E.

El que diu la política de privadesa de Google

La política de privadesa de Google és àmplia: "Usem la informació que recollim de tots els nostres serveis per als fins següents: proporcionar, mantenir i millorar els nostres serveis; desenvolupar nous serveis; oferir serveis personalitzats, inclosos continguts i anuncis."

Google utilitza el teu contingut explícitament per millorar serveis i desenvolupar-ne de nous. Les condicions del servei de Google indiquen: "Quan puges, envies, emmagatzemes, envies o reps contingut als o des dels nostres serveis o a través d'ells, dones a Google (i aquells amb qui treballem) una llicència mundial per usar, allotjar, emmagatzemar, reproduir, modificar, crear obres derivades, comunicar, publicar, executar públicament, mostrar públicament i distribuir aquest contingut."

El que Google fa amb les teves fotos

Google Fotos utilitza IA per a l'organització, la cerca i per suggerir edicions. Això requereix l'anàlisi del contingut de les fotos al costat del servidor. Google escaneja les fotos per a:

Reconeixement d'objectes i cares (per a la cerca i l'organització)
Extracció d'ubicació (de metadades EXIF)
Detecció de CSAM (escaneig automatitzat)
Infraccions de polítiques de contingut (nuesa en contingut compartit, infraccions de drets d'autor)

Google ha declarat que no fa servir el contingut de Google Fotos per a finalitats publicitàries, però els sistemes de Google analitzen el contingut per als fins esmentats anteriorment.

Accés de les forces de l'ordre

L'informe de transparència de Google documenta les sol·licituds de dades governamentals. Google lliura dades en resposta a sol·licituds legals vàlides. Les dades de Google Fotos son accessibles per a Google i es poden lliurar a les forces de l'ordre.

La Carpeta bloquejada no canvia res en aquest sentit. Google manté les claus de xifrat del contingut de la Carpeta bloquejada.

Cap opció de xifrat d'extrem a extrem

Google no ofereix xifrat d'extrem a extrem per a Google Fotos. Totes les dades de Google Fotos son accessibles per als sistemes de Google. No hi ha cap alternativa opcional equivalent a l'ADP d'Apple.

Amazon Photos

Proveïdor: Amazon.com Inc.
Política de privadesa: amazon.com/privacy
Model de xifrat: Tan sols del costat del servidor. Cap opció de xifrat E2E.

El que diu la política de privadesa d'Amazon

L'avís de privadesa d'Amazon indica: "Usem les teves dades personals per operar, proporcionar, desenvolupar i millorar els productes i serveis que oferim als nostres clients."

Amazon Photos s'inclou amb la subscripció Prime. La política de privadesa d'Amazon s'aplica a tots els serveis d'Amazon conjuntament, cosa que significa que les pràctiques de dades del comerç minorista, Alexa i el negoci publicitari d'Amazon s'apliquen igualment a les teves fotos.

El que Amazon fa amb les teves fotos

Amazon Photos ofereix cerca amb IA, agrupació per reconeixement facial i organització automàtica. Els sistemes d'Amazon analitzen el contingut de les fotos per a aquestes funcions. L'ecosistema més ampli d'Amazon connecta dades entre serveis: el teu historial de compres, les interaccions amb Alexa i les metadades de les fotos existeixen dins la mateixa infraestructura de dades.

Amazon no separa clarament el tractament de les dades d'Amazon Photos de les seves pràctiques de dades més generals en la seva política de privadesa. Aquesta ambigüitat és, en si mateixa, un problema de privadesa.

Accés de les forces de l'ordre

Amazon lliura dades en resposta a sol·licituds legals vàlides. L'informe de transparència d'Amazon és menys detallat que el d'Apple o Google, però confirma el compliment de les sol·licituds governamentals.

Dropbox

Proveïdor: Dropbox Inc.
Política de privadesa: dropbox.com/privacy
Model de xifrat: Tan sols del costat del servidor (AES-256 amb claus gestionades per Dropbox). Cap opció de xifrat E2E per a comptes de consumidors.

El que diu la política de privadesa de Dropbox

La política de privadesa de Dropbox indica: "Recollim i usem la informació següent per proporcionar, millorar, protegir i promoure els nostres serveis." Dropbox recull metadades de fitxers, dades d'ús, informació del dispositiu i dades de contingut.

Dropbox assenyala explícitament: "Podem accedir, conservar i compartir la informació descrita anteriorment amb forces de l'ordre, agències governamentals o altres empreses si creiem de bona fe que la divulgació és raonablement necessària."

Xifrat i historial de seguretat

Dropbox utilitza xifrat AES-256 en repòs i TLS en trànsit. Dropbox té les claus de xifrat. El 2012, Dropbox va patir una filtració de dades que va afectar 68 milions de comptes. El 2024, Dropbox Sign (anteriorment HelloSign) va ser atacat, exposant correus electrònics de clients, noms i contrasenyes amb hash.

Dropbox Vault (una funció de pagament) afegeix protecció per PIN però no incorpora xifrat d'extrem a extrem. Dropbox pot continuar accedint al contingut de Vault.

Escaneig de fotos

Dropbox escaneja els fitxers per a la detecció de CSAM i infraccions de polítiques de contingut. Les condicions d'ús de Dropbox indiquen que es poden emprar sistemes automatitzats per revisar contingut.

OneDrive

Proveïdor: Microsoft Corporation
Política de privadesa: microsoft.com/privacy
Model de xifrat: Tan sols del costat del servidor. Cap xifrat E2E per a l'emmagatzematge de fotos de consumidors.

El que diu la política de privadesa de Microsoft

La declaració de privadesa de Microsoft s'aplica a tots els productes Microsoft conjuntament. Indica: "Microsoft usa les dades que recollim per oferir-te experiències riques i interactives. En particular, usem les dades per: proporcionar els nostres productes; millorar i desenvolupar els nostres productes; personalitzar els nostres productes; fer publicitat i màrqueting."

Les dades d'OneDrive formen part d'aquest ecosistema de recollida de dades més ampli. Microsoft utilitza dades entre serveis per a publicitat i desenvolupament de productes.

OneDrive Personal Vault

OneDrive Personal Vault afegeix verificació d'identitat (2FA) per accedir a determinats fitxers. No incorpora xifrat d'extrem a extrem. Microsoft té les claus de xifrat. Personal Vault és una funció de control d'accés, no una funció de xifrat. Una ordre judicial dirigida a Microsoft pot accedir al contingut de Personal Vault.

Accés de les forces de l'ordre

L'informe de sol·licituds de les forces de l'ordre de Microsoft documenta les sol·licituds de dades governamentals. Microsoft compleix les sol·licituds legals vàlides.

Comparativa de proveïdors

Funció	iCloud (estàndard)	iCloud (ADP)	Google Fotos	Amazon Photos	Dropbox	OneDrive
Xifrat en trànsit	TLS 1.2+	TLS 1.2+	TLS 1.2+	TLS 1.2+	TLS 1.2+	TLS 1.2+
Xifrat en repòs	AES-128 (claus Apple)	AES-256 (claus usuari)	AES-256 (claus Google)	AES-256 (claus Amazon)	AES-256 (claus Dropbox)	AES-256 (claus Microsoft)
Xifrat E2E disponible	Sí (ADP opt-in)	Sí	No	No	No	No
El proveïdor pot accedir a les fotos	Sí	No	Sí	Sí	Sí	Sí
Anàlisi IA/ML de les fotos	Escaneig CSAM	No (no pot desxifrar)	Extensa (cerca, cares, objectes)	Sí (cerca, cares)	Limitada (CSAM)	Sí (cerca, funcions OneDrive)
Contingut usat per a publicitat	No (política declarada)	No	No (declarat específicament per a fotos)	No clar (política àmplia)	No (política declarada)	Sí (indicat en la política de privadesa)
Compliment amb les forces de l'ordre	Sí (~77% de les sol·licituds)	Tan sols metadades	Sí	Sí	Sí	Sí
Filtracions de dades conegudes	Cap filtració important	N/A	Cap filtració important de fotos	Cap filtració important de fotos	2012 (68M comptes), 2024 (Sign)	Cap filtració important d'OneDrive
Emmagatzematge gratuït	5 GB	5 GB	15 GB	5 GB (il·limitat fotos Prime)	2 GB	5 GB

Què significa això per a les teves fotos

Cinc conclusions d'aquesta auditoria:

Tots els proveïdors mantenen les teves claus de xifrat per defecte. Apple és l'únic que ofereix una alternativa opcional (ADP). Google, Amazon, Dropbox i Microsoft no ofereixen cap opció de xifrat d'extrem a extrem per a l'emmagatzematge de fotos de consumidors.
"Xifrat" no significa "privat davant del proveïdor". Els cinc serveis utilitzen xifrat. En els cinc casos (excepte iCloud amb ADP), el proveïdor pot desxifrar i accedir a les teves fotos.
L'anàlisi del costat del proveïdor és l'estàndard. Google analitza les teves fotos de manera extensa per a la cerca, cares, objectes i escenes. Amazon i Microsoft ofereixen funcions de cerca i organització amb IA. iCloud Fotos estàndard d'Apple és llegible pel proveïdor si no s'ha activat l'ADP. Les teves fotos no tan sols s'emmagatzemen: poden ser processades pels sistemes del proveïdor.
L'accés de les forces de l'ordre és habitual. Apple, Google i Microsoft reben cada any més de 100.000 sol·licituds de dades governamentals. Compleixen la majoria. Es pot accedir a les teves fotos a través d'accions legals dirigides al proveïdor.
Les polítiques de privadesa estan formulades de manera àmplia. Les polítiques d'Amazon i Microsoft s'apliquen a tots els serveis conjuntament, cosa que significa que les dades d'emmagatzematge de fotos estan subjectes a les mateixes pràctiques de dades que l'historial de compres i les cerques.

L'alternativa: emmagatzematge zero-knowledge xifrat

Per a fotos que han de ser privades davant del proveïdor d'emmagatzematge, inaccessibles sense la teva clau i fora dels sistemes d'anàlisi del proveïdor, les apps de caixa xifrada zero-knowledge ofereixen un model fonamentalment diferent.

Vaultaire xifra les fotos al dispositiu amb AES-256-GCM abans que es produeixi qualsevol càrrega. La clau de xifrat es deriva d'un patró dibuixat sobre una graella 5x5 amb PBKDF2 i HMAC-SHA512. La clau no surt mai del dispositiu. Fins i tot la còpia de seguretat xifrada a iCloud de Vaultaire puja blobs xifrats que Apple no pot desxifrar. El desenvolupador no pot accedir a les teves dades. No hi ha escaneig, no hi ha anàlisi IA i no hi ha metadades accessibles per als servidors.

El compromís: sense recuperació de contrasenya (si perds el patró i la frase de recuperació, les dades desapareixen), sense cerca amb IA ni agrupació per cares, i sense accés web. La privadesa és una conseqüència directa d'aquestes limitacions.

Preguntes freqüents

L'emmagatzematge de fotos al núvol és segur?

És segur davant d'atacants externs en el sentit que tots els proveïdors principals fan servir xifrat en trànsit i en repòs. No és privat davant del proveïdor en si. El proveïdor manté les claus de xifrat per defecte i pot accedir a les teves fotos, analitzar-les dins el seu model de servei i lliurar-les en resposta a sol·licituds legals vàlides.

Quin servei de núvol de fotos és el més privat?

iCloud amb la Protecció avançada de dades activada és l'opció més privada entre les principals. És l'únic servei de núvol gran que ofereix xifrat d'extrem a extrem per a l'emmagatzematge de fotos. Amb l'ADP activada, Apple no pot accedir a les teves fotos. Sense l'ADP, tots els proveïdors principals tenen accés equivalent a les teves dades.

Els proveïdors de núvol escanegen les meves fotos?

Els proveïdors principals analitzen el contingut emmagatzemat de maneres diverses. Google Fotos fa servir anàlisi de contingut per a la cerca i l'organització. Amazon i Microsoft ofereixen funcions de cerca i agrupació amb IA. Dropbox declara fer servir sistemes automatitzats per a l'aplicació de polítiques. La diferència clau d'Apple es pot entendre millor per l'accés a les claus: iCloud Fotos estàndard és llegible pel proveïdor, mentre que iCloud Fotos amb l'ADP activada és xifrat d'extrem a extrem.

Pot el govern accedir a les meves fotos emmagatzemades al núvol?

Amb una ordre judicial o un manament de recerca vàlids, sí: per a tots els proveïdors que posseeixen les claus de xifrat (que és el cas de tots per defecte). Apple amb l'ADP activada és l'excepció: Apple pot lliurar metadades del compte però no el contingut de les fotos.

Protegeix la Carpeta bloquejada de Google Fotos la meva privadesa?

La Carpeta bloquejada oculta les fotos de la interfície de Google Fotos i bloqueja l'accés darrere el bloqueig de pantalla. Google continua tenint les claus de xifrat. Google pot continuar accedint a les fotos i respondre a sol·licituds legals. La Carpeta bloquejada és una funció d'interfície, no una funció de seguretat.

Els serveis gratuïts d'emmagatzematge al núvol son menys privats que els de pagament?

No necessàriament. Google ofereix 15 GB gratuïts amb les mateixes pràctiques de privadesa que l'emmagatzematge de Google One de pagament. El nivell de preus no canvia qui té les claus de xifrat ni com el proveïdor gestiona les teves dades. La privadesa depèn del model de xifrat, no del preu.

Conclusió

Tots els serveis de núvol de fotos grans xifren les teves dades. Cap d'ells ho fa per defecte de manera que el proveïdor no hi pugui accedir. La Protecció avançada de dades d'Apple és l'única opció opt-in disponible habitualment per al xifrat real d'extrem a extrem de fotos al núvol. Per a qualsevol altra opció, el proveïdor té les claus.

Llegeix la política de privadesa abans de pujar. Comprova qui té les claus de xifrat. Per a les fotos on la privadesa és el més important, considera un emmagatzematge zero-knowledge xifrat com Vaultaire, on la clau de xifrat no surt mai del teu dispositiu.

La pregunta no és "l'emmagatzematge al núvol està xifrat?" Ho està sempre. La pregunta és "xifrat davant de qui?"

Descarregar Vaultaire gratis