Los productos Apple sí son inseguros y sí tienen fallas

La firma, con estrategia de seguridad similar a la de Microsoft hace una década, dice José Pagliery; expertos cuestionan la poca transparencia de la firma, aunque poco a poco presenta mejoras.
apple logo resulta  (Foto: CNN)
José Pagliery
NUEVA YORK (CNNMoney) -

Basta del argumento de “las computadoras de Apple son más seguras y libres de fallas”.

No es verdad. Estamos acostumbrados a los molestos problemas técnicos en las PC. Pero los últimos años han demostrado que las Macs, los iPads y los iPhones también los tienen.

En lo que va de 2015, cinco fallas importantes han afectado a los productos de Apple.

Esta misma semana nos encontramos con un desagradable error que permite a los hackers enterrar virus informáticos tan profundamente dentro de las Macs que nunca los encontrarás.

Una semana antes, apareció un fallo que permite que un mensaje de texto colapse a un iPhone.

Estos son problemas importantes, y ninguno ha sido arreglado todavía.

El código defectuoso se encuentra en todos los sistemas operativos, aplicaciones y programas de software. Pero Apple tiene una estrategia obsoleta para corregirlos.

¿Recuerdas cuando Apple podía anunciar que era más seguro que Windows? Ya no más. Apple es ahora el Microsoft de hace una década.

El problema

Los ingenieros informáticos, los hackers y otras personas familiarizadas con las prácticas de la compañía explicaron que Apple está cometiendo cinco errores en su enfoque de seguridad.

1) Las actualizaciones de seguridad de Apple son irregulares y poco frecuentes. El año pasado Apple tardó 100 días en solucionar un problema que algunos chicos de Google hallaron. (Y cuando Apple finalmente parchó el agujero, su supuesta solución fue débil y fácilmente eludida por los hackers).

En 2012 Oracle se movió rápidamente para parchar su programa de Java que era susceptible a un terrible malware de robo de información llamado Flashback. Sin embargo, Apple esperó dos meses enteros para emitir una solución; a pesar de que alrededor de 650,000 Macs fueron infectadas.

“Ellos no parecen tener un calendario regular de parches como Microsoft, ni tampoco parecen parchar continuamente como hace Google con Chrome”, dijo Tod Beardsley, un gerente de investigación de la firma de seguridad cibernética Rapid7.

“A veces, los parches son lentos en llegar, pero, por otra parte, a veces los parches son difíciles de desarrollar”.

Claro, emitir soluciones rápidas a veces resulta contraproducente. En este sentido, Apple trata a las fallas como a los productos. Por lo general, llega un poco tarde al juego, pero planea hacer bien el trabajo.

Pero esperar demasiado tiempo puede tener efectos devastadores, al dejar a los clientes de Apple vulnerables a los hackeos y al robo de información personal.

2) Secretismo. Apple se mantiene en silencio acerca de sus agujeros de seguridad.

Por ejemplo, Apple ni siquiera admitió que el último fallo de la Mac fuera real (porque eso sería atraer a los hackers a explotarlo). Y aunque reconoce la falla del mensaje del texto y ofrece consejos sobre cómo repararlo, Apple no ha explicado la causa raíz del error.

“Apple trabaja en formas misteriosas. Tiene una reputación de ser reservado en lo que respecta a confirmar la existencia de problemas de seguridad”, dijo Beardsley.

La transparencia mantendría a los clientes alerta y ayudaría a la gran comunidad de desarrolladores de Apple que sugieren correcciones. En este sentido, el secretismo es perjudicial.

3) Las actualizaciones son sólo para el software más reciente. Si todavía estás utilizando versiones antiguas del sistema operativo de Mac, Apple te ha abandonado.

Por ejemplo, Apple parchó una vulnerabilidad grave en abril —pero sólo para su última versión, Yosemite.

Eso significa que dejó atrás al 47% de sus usuarios, aquellos que utilizan el sistema operativo Mavericks, Mountain Lion, Lion, y Snow Leopard, de acuerdo con cifras de la industria recopilados por Net Market Share.

¿La defensa de Apple? Los clientes pueden actualizar a la última versión de forma gratuita. Eso es cierto, pero no del todo justo. Algunas computadoras portátiles más antiguas no pueden soportar el software más reciente.

4) Falta de voluntad para pagar. Apple es una de las pocas grandes empresas de tecnología que no recompensan a los investigadores —con dinero— por encontrar errores informáticos potencialmente desastrosos.

Aunque los criminales y espías están dispuestos a pagar 150,000 dólares por un error de iPhone que no se haya hecho pública, Apple no paga. Cero. Nada de nada.

5) No admite su culpabilidad. Esto es lo que más frustra a los expertos en seguridad. Apple no tiende a reconocer cuando está equivocada. Cuando los hackers irrumpieron las cuentas de celebridades en iCloud y expusieron sus fotos de desnudos el año pasado, el presidente ejecutivo de Apple, Tim Cook, dijo que la empresa reforzaría las medidas de seguridad. Pero él culpó a los usuarios, diciendo que el problema “no fue realmente una cosa de ingeniería”.

Pero las características de seguridad que hubieran impedido el episodio de iCloud con las celebridades —como requerir un mensaje de texto como segunda contraseña— son precisamente un problema de ingeniería. A favor de Apple, finalmente añadió esa característica crucial para iCloud.

Lidiar con Apple no es fácil. El investigador de seguridad Xeno Kovah dijo que incluso en los casos más graves, cuando debía reportar una falla crítica de software al Computer Emergency Readiness Teamdel del Gobierno de Estados Unidos, Apple no era tan “sensible o exacta”, como otras empresas.

“Apple tiene un problema de corrección de fallas”, dijo.

Y es tan grande que 684 desarrolladores independientes de Apple lanzaron una campaña formal en 2012 y escribieron una carta pidiendo a Apple que mejore su sistema de presentación de informes de errores. Dicen que poco ha cambiado.

Apple declinó hacer comentarios para este artículo.

¿Cómo lo hizo Microsoft?

Algunos de los mejores hackers de Apple dijeron a CNNMoney que el sistema de informes de errores de Apple necesita una reforma, similar a la que Microsoft atravesó hace años.

Microsoft tuvo que pasar por un largo y doloroso despertar. Piensa en hace 15 años, cuando los productos de Windows eran los más utilizados; y odiados. Eran notoriamente defectuosos. Pero luego vino un cambio de tendencia corporativo.

En 2003, Microsoft introdujo el Martes de Parches. Una vez al mes, los usuarios recibían una inundación de actualizaciones para mantenerlos seguros. En 2005, Microsoft empezó a realizar la Blue Hat, una conferencia de seguridad solo por invitación, para encontrarse cara a cara con investigadores curiosos (y, a menudo agresivos). Apple no realiza un foro como ese.

Una de las estrategias más exitosas de Microsoft para mejorar la seguridad ha sido su programa de “recompensas por fallas”, que se implementó en 2013. Microsoft dejó de luchar contra la legión de hackers; y los convirtió en un ejército improvisado de guardianes de Microsoft.

“Microsoft tenía gusano tras gusano antes de que se realizaran los cambios significativos de seguridad”, dijo Katie Moussouris, exjefa de estrategia de seguridad de Microsoft que implementó el programa de recompensas por fallas. “Con suerte, Apple se adaptará rápidamente”.

¿Por qué la presión añadida sobre Apple tan repentinamente? La empresa es “una víctima de su propio éxito”, explicó Moussouris. Los productos de Apple son más populares que nunca. Más dedos en los teclados significa que más código está siendo explorado. Inevitablemente, las fallas serán encontradas.

La buena noticia: Apple está escuchando. Y los cambios están llegando.

Inicia el día bien informado
Recibe todas las mañanas las noticias más importantes para empezar tu día.

Apple es consciente de estas cuestiones, y la empresa está tratando de mejorar la forma en que se comunica con los investigadores, de acuerdo con una persona familiarizada con los planes de la compañía. Su principal reto ahora es lidiar con su rápido crecimiento.

Apple es inundada con informes sobre posibles defectos, y su equipo de seguridad quiere hacer un mejor trabajo al prestar más atención a los grandes problemas de seguridad, separando los errores reales de los falsos.

Ahora ve
Barcelona rinde homenaje a las 14 víctimas de los atentados
No te pierdas
×