Seis 10 años. Ese es el tiempo que Apple lleva centrándose en la privacidad y la seguridad. O al menos, su departamento de relaciones públicas lo ha hecho.
Desde 2014, la empresa más rentable del mundo ha estado tratando de diferenciarse de sus rivales presentándose como la opción más privada y segura. ¿Es realmente así o su señalización de virtud es meramente superficial?
Permítanme ser claro desde el principio. Esta no es una comparación entre Apple y Google. Eso no sería justo ya que el modelo comercial de Google se basa completamente en la extracción de datos de los usuarios. Dicho esto, nunca he sido fanático de los argumentos del “mal menor”. Aquí, miro a Apple en el vacío. Mayormente.
¿Recuerdas 2014? ¿Antes de que el mero concepto de una presidencia de Trump polarizara al mundo entero? ¿Cuándo todo lo que teníamos que preocuparnos era el ébola, el ISIS y la anexión de Crimea por parte de Rusia? Qué época más sencilla.
2014 también fue cuando Apple reconoció por primera vez la necesidad de centrarse en la privacidad y la seguridad, después de que innumerables celebridades sufrieran la piratería de sus cuentas de iCloud y la filtración de sus desnudos, lo que generalmente se conoce como “The Fappening”. Ese mismo año, Apple adquirió Beats By Dr. Dre. Ambos eventos tuvieron lugar en agosto.
Tim Cook entendió claramente cómo esos eventos podrían afectar la imagen de marca de Apple, lo que habría sido particularmente dañino para el próximo lanzamiento de Apple Pay dentro de un par de meses. Así que agregó una nueva sección de privacidad al sitio web de Apple, repleta de tópicos, incluida su famosa cita “si no estás pagando por un producto, entonces tú eres el producto”.
Sin embargo, les tomó un año entero planchar completamente su plan de relaciones públicas.
La maquinaria de relaciones públicas de Apple
El 29 de septiembre de 2015, The Washington Post publicó un artículo titulado “Cómo Apple está tratando de proteger tu privacidad a medida que sus productos se vuelven más personales”. Más específicamente, se referían a la aplicación Apple News recientemente anunciada, que seleccionaba historias según tus preferencias.
Naturalmente, los usuarios preocupados por la privacidad tienden a ponerse nerviosos cada vez que se pronuncian las palabras “preferencias”, “recomendaciones” o “personalizado”. Para solucionar esto, Apple “renovó” su política de privacidad, y The Washington Post la “revisó” para ver cómo Apple intentó “exponer cómo su filosofía sobre la recopilación de datos se distingue de sus rivales de la industria tecnológica”. Lea: No somos Google, el gigante de la publicidad detrás de Android. El artículo continúa: “la empresa les dice a los clientes que no está interesada en sus datos personales”.
Apple continuó plantando lentamente estas semillas en la mente de sus fanáticos durante los meses siguientes. Todo esto rápidamente pasó a primer plano de la atención de los medios en febrero de 2016, cuando el FBI le pidió ayuda a Apple para acceder al iPhone 5C que pertenecía al autor del tiroteo masivo de San Bernardino. Por supuesto, no es la primera vez que el gobierno hace tal demanda. Google y Facebook también reciben órdenes judiciales similares, para el historial de búsqueda o correos electrónicos. Estas son decisiones que se toman caso por caso.
Lo extraño del caso de San Bernardino fue que el FBI fue más allá de pedir acceso. Le pidieron a Apple que creara una nueva versión de iOS con seguridad más débil, para que el gobierno pudiera acceder a ella por la fuerza bruta. O bien, agregar directamente una puerta trasera del gobierno a iOS. Eso es ciertamente sin precedentes y aterrador. Por supuesto, Apple se negó. Luego, el FBI siguió adelante y contrató a un grupo de piratas informáticos para que accedieran al teléfono, como probablemente lo habrían hecho de todos modos, lo que hizo que todo el escándalo y la postura de Apple fueran bastante irrelevantes.
Ahora bien, no soy un fanático del pensamiento conspirativo, pero incluso en ese entonces me pareció extraño cuánta atención de los medios estaba recibiendo esa historia. Claro, probablemente fue completamente orgánico. Después de todo, ciertamente no hay escasez de pasión y fanatismo de culto en torno a Apple. Pero un comentario hecho más tarde por el director del FBI, James Comey, me hizo repensar eso. Después de obtener una herramienta de los piratas informáticos antes mencionados, Comey sintió la necesidad de aclarar que esta herramienta solo funciona “en una pequeña porción de iPhones”. Esencialmente, aseguró al público que no se puede acceder a los modelos de iPhone más nuevos con sensor de huellas dactilares con esta herramienta.
No estoy diciendo que no haya una explicación perfectamente lógica de por qué la herramienta no podría funcionar en iPhones más nuevos. Mi pregunta es: ¿por qué el director del FBI estaría preocupado por tranquilizar a los usuarios de iPhone sobre la seguridad de sus dispositivos? ¿O incluso animarlos a actualizar a modelos más nuevos? ¿No haría eso cualquier delincuente simplemente para evitar la posibilidad de que el FBI piratee su teléfono? Luego estaba la afirmación de la NSA de que no pueden piratear iPhones porque los “chicos malos” simplemente no los usan. Esa no es solo una noción tonta, sino también algo muy extraño de decir por parte de la NSA. En todo caso, refleja extrañamente el sentimiento de Apple con respecto a no permitir que los malos de las películas usen dispositivos Apple, para eliminar cualquier efecto subconsciente que eso pueda tener en sus usuarios.
Me parece probable que el FBI tuviera incentivos para apuntar a Apple con una demanda más dura de lo habitual, para que Apple pareciera el bueno por negarse a cumplir y defender la privacidad de todos. Muchas historias de este tipo han tenido lugar desde 2015. Una similar parece estar sucediendo ahora mismo en 2020, con las agencias de publicidad online supuestamente enojadas con Apple por los nuevos cambios de privacidad implementados en iOS 14. Este tipo de estrategia de relaciones públicas sutil y genial es algo que solo Apple podría lograr.
El historial
Ahora puede que te preguntes, comprensiblemente, por qué soy tan cínico. Eso es porque la realidad de las prácticas de privacidad y seguridad de Apple no se corresponde con todo esto de las relaciones públicas. Para empezar, Apple también vende anuncios. Lo han hecho durante más de una década. Sin embargo, lo hacen a una escala mucho menor y solo dentro de su ecosistema. Específicamente en la App Store y en la aplicación Noticias.
Y a pesar de su reciente “escándalo inverso” con respecto a la publicidad dirigida, sus anuncios también se basan en intereses. Por supuesto, puedes optar por no participar, como es estándar en la industria. Pero como también es estándar en la industria, esa opción está enterrada en lo profundo de la configuración, en algún lugar que la mayoría de los usuarios probablemente nunca verán. Hasta ahí llegó querer ser “más transparente sobre el seguimiento de datos en iOS 14”, ¿eh, Apple?
Hablando de eso, sus esfuerzos recientes en iOS 14 y Safari, para requerir consentimiento antes del seguimiento en el primer caso o bloquearlos por completo en el segundo, solo se aplican a los rastreadores de terceros. Lo que significa que las propias aplicaciones y servicios de Apple aún pueden rastrearte sin que se bloqueen o incluso sin necesidad de consentimiento. Y podrías decir que no te importa que Apple te rastree y tenga tantos datos sobre ti, y que usen estos datos para mostrarte anuncios más relevantes. Después de todo, si confías en que Apple mantendrá tus datos seguros, supongo que no es tan malo. Aunque sigue siendo hipócrita.
Desafortunadamente, las afirmaciones de seguridad de Apple, es decir, su capacidad para mantener tus datos seguros dentro de su ecosistema, también son bastante endebles. Al momento de escribir este artículo en 2020, hay más de 4500 vulnerabilidades de seguridad que afectan a los dispositivos Apple que se publicaron en CVE (Vulnerabilidades y exposiciones comunes), 1655 de ellas afectan específicamente a iOS. Por supuesto, muchos de estos exploits se dirigen a versiones anteriores de iOS y MacOS, pero demasiados se dirigen a versiones actuales. No es raro que la empresa responsable de solucionar este tipo de vulnerabilidades de seguridad ignore tantas. Pero va en contra de su postura altamente publicitada sobre la privacidad y la seguridad. Especialmente cuando muchos de estos socavan la privacidad de sus usuarios y la seguridad de sus datos.
Recientemente cubrí un ejemplo de tales exploits que permitieron que las aplicaciones de iOS obtuvieran lo que sea que haya en el portapapeles sin ningún tipo de consentimiento del usuario, sin siquiera tener una necesidad justificable para ello. Muchos juegos y aplicaciones de noticias, sin ninguna posibilidad de ingresar texto en ellos, estaban espiando el portapapeles de iOS. Para empeorar las cosas, si tenías habilitado el portapapeles universal, estas aplicaciones también podían espiar el portapapeles de tu MacOS. Esta vulnerabilidad se informó a Apple en enero de 2020. Apple respondió diciendo que no veían nada de malo en ello, calificándolo de “comportamiento intencionado”. Apple ahora ha solucionado la vulnerabilidad en su próxima versión de iOS 14, que se lanzará en otoño. Pero en realidad no impidieron el comportamiento ni implementaron ninguna forma de controlarlo. Ahora simplemente alertan al usuario cuando sucede. ¡Viva la transparencia!
Otro ejemplo de este año 2020 es la vulnerabilidad de la aplicación Mail que permitió a los actores maliciosos acceder por completo a tus correos electrónicos simplemente enviándote un correo electrónico especialmente diseñado. Las versiones de iOS desde iOS 6 son vulnerables. Se desconoce si las versiones anteriores también son vulnerables. Apple restó importancia a la gravedad de este exploit y afirmó que no había evidencia de que se estuviera utilizando realmente en el mundo real. El grupo que descubrió la vulnerabilidad, ZecOps, respondió diciendo que de hecho fue “ampliamente explotada”, en lugares como Japón, Alemania, Arabia Saudita e Israel. Sus hallazgos afirman que este es un ataque de “estado-nación”, que se utiliza para apuntar y vigilar a personas o grupos de interés. ZecOps no sugirió que Apple hubiera dejado voluntariamente una puerta trasera abierta para este propósito. En cambio, especulan que los estados-nación compraron el exploit a un investigador externo.
El mito de las actualizaciones
Esto puede parecer un poco fuera de tema, pero también necesito abordar el mito de que los dispositivos de Apple reciben soporte durante mucho más tiempo que cualquier otro. Si alguna vez has tenido un dispositivo Apple y eras tan geek como yo, probablemente estabas al tanto de los anuncios de nuevas funciones en las próximas versiones de iOS. Solo para luego instalar la actualización cuando llegue y notar que faltan muchas de esas funciones. ¿Qué pasa?
Bueno, a pesar de la larga lista de “dispositivos compatibles” que Apple muestra con tanto orgullo cada vez que lanza una nueva versión de software, lo que convenientemente olvidan señalar es que no están hablando del 100% de compatibilidad. Muchas de las nuevas funciones que vienen en las nuevas versiones de iOS en realidad no son compatibles con dispositivos más antiguos. Entonces, antes de que alguien se jacte de que el iPhone SE recibirá la actualización de iOS 14, es posible que desee verificar cuánto de esa actualización llegará realmente al iPhone SE.
Y sí, sé que es una cuestión de hardware del que carecen esos dispositivos. Simplemente creo que es increíblemente engañoso afirmar que estos dispositivos son compatibles y luego hacer que sea increíblemente tedioso, si no completamente imposible, saber exactamente qué parte de la nueva versión de iOS obtendrás. Para empeorar las cosas, ni siquiera puedes encontrar esta información en línea. No encontrarás ningún artículo que cubra qué funciones faltarían en una actualización para un dispositivo en particular. Por otro lado, encontrarás muchas menciones de cómo un dispositivo de 5 o 6 años todavía es compatible. ¡Llámalo magia de Apple!
Este es otro golpe de genialidad en las relaciones públicas de Apple. Le dan a todos la percepción de que sus dispositivos seguirán siendo de primera línea durante 5 o 6 años, mientras se niegan a tener la difícil y matizada discusión sobre cómo ese “apoyo” no es del todo lo que dicen ser.
En el lado de Android, la línea Pixel de Google recibe actualizaciones durante quatro siete años. Obviamente, son manzanas con naranjas, perdón por el juego de palabras, pero ¿pueden las actualizaciones de iOS siquiera considerarse “actualizaciones del sistema operativo” si solo incluyen una o dos funciones nuevas? Además, Android es extremadamente diverso en términos de conjunto de funciones. Cada OEM lanza su propia versión de Android, con tantas o pocas funciones adicionales propias.
Samsung, por ejemplo, es conocido por incluir tantas funciones efectistas, a veces muy útiles, como pueden, pero también son notoriamente malos con las actualizaciones. No solo los dispositivos Samsung suelen tardar seis meses en recibir una nueva versión de Android, sino que solo lo hacen durante dos cuatro años. Son dos cuatro versiones de Android y eso es todo. Y eso solo se aplica a los dispositivos insignia de Samsung. Sus dispositivos más baratos a menudo tienen la suerte de obtener una sola actualización del sistema operativo.
Supongo que lo que estoy tratando de decir es que no es tan simple como decir “los dispositivos Apple reciben actualizaciones durante 5 años y los Android solo obtienen 2”
Jailbreaking
Tradicionalmente, aquellos que querían hacer jailbreak a sus dispositivos tenían que tener en cuenta su versión de iOS, el modelo de su dispositivo e incluso su SoC. Diferentes exploits se dirigían a diferentes combinaciones, y cualquier actualización podía deshacer instantáneamente tu jailbreak y hacer que fuera imposible volver a hacerlo. Hasta ahora.
En septiembre de 2019, el pirata informático de iOS aci0mX descubrió una vulnerabilidad que permitía hacer jailbreak a los dispositivos iOS desde el iPhone 4 de 2010, independientemente de su versión de iOS o SoC. Otro usuario de Twitter también se había topado con esta vulnerabilidad en marzo de 2019, pero solo pudo aprovecharla en ciertos dispositivos. La vulnerabilidad se corrigió en iOS 13.5.1, el 1 de junio de 2020. Eso es más de un año después de que se descubriera y explotara en la naturaleza.
Ahora bien, para ser claros, no estoy molesto por el jailbreak en sí. Personalmente, creo que es genial liberarse de muchas de las restricciones de Apple. Sin embargo, desde el punto de vista de la seguridad, el jailbreak es un asunto bastante importante. Los exploits de jailbreak funcionan encontrando formas de socavar la seguridad de iOS e implementar sus propios cambios de código. Entonces, cuando hay una vulnerabilidad que permite que cualquiera rompa la seguridad de Apple y esa vulnerabilidad afecta potencialmente a todos los iPhone jamás fabricados, eso es alarmante.
En la mayoría de los casos, el jailbreak se usa para personalizar el dispositivo y agregar funciones. Pero dado que tu iPhone ahora es mucho menos seguro, no es de extrañar que también se vuelva vulnerable a una gran cantidad de ataques.
Por supuesto, siempre habrá alguien que diga “simplemente no lo hagas. Simplemente aprende a vivir con las restricciones extremas de Apple. Alguien que pasa por el complejo proceso de hacer jailbreak debe ser consciente de que su dispositivo ahora es menos seguro y debe tener mucho cuidado en consecuencia. O sufrir las consecuencias ”. Si eres ese tipo, antes que nada, no estás equivocado. Pero aquí está mi respuesta: ¿qué pasa si alguien más hizo jailbreak a tu dispositivo sin tu conocimiento? Lo peor de un ecosistema cerrado es que ni siquiera puedes saber si tu dispositivo ha sido manipulado, como Vice exploró en un artículo de mayo de 2019.
El peligro de los jardines amurallados
“Los chicos malos encontrarán la manera de entrar de una forma u otra. ¿No deberíamos permitir que los chicos buenos hagan su trabajo?” – Zuk Avraham, fundador de ZecOps.
El problema con los sistemas cerrados es que Apple tiene el control absoluto. Este tipo de centralización extrema nunca es una buena idea. Un único punto de falla es una vulnerabilidad. Apple no es perfecto, ni deberíamos esperar que lo sea. Entonces, ¿por qué son los únicos que pueden diagnosticar y solucionar problemas?
Por el contrario, los sistemas de código abierto publican su código, lo que permite que cualquiera lo analice de forma independiente, encuentre fallas e incluso envíe correcciones o mejoras. Aquí es donde Android realmente brilla, y no me refiero a la versión que viene con tu teléfono. Android, tal como proviene de Samsung, Sony o incluso Google o cualquier otro OEM, aunque todavía es mucho más abierto que Apple, todavía depende en gran medida de lo que el OEM decida que sería mejor implementar.
El mero hecho de que Android sea de código abierto te permite realizar cualquier cambio en el dispositivo que poseas, incluida la implementación de la máxima protección de seguridad y privacidad. La personalización de Android a menudo se menciona como un punto de conversación de los fanáticos, pero la mayoría de la gente realmente no sabe qué tan profundo es. En los días de KitKat, Android incluía un administrador de permisos sorprendentemente útil llamado AppOps, muy superior a cualquier cosa que ofrezca el sistema operativo actual. Por alguna razón, Google eliminó el acceso a él, lo que hace que solo sea posible acceder a él con root (eso es jailbreaking en el lenguaje de Android) y una interfaz de línea de comandos.
Es decir, hasta que la comunidad de CyanogenMod nos trajo Privacy Guard, que no era más que una interfaz para poder utilizar el sistema de gestión de permisos integrado. Era súper básico y fácil de usar. Te mostraba la frecuencia con la que cada aplicación usa cada permiso, lo que lo convierte en un regalo del cielo para averiguar qué aplicación molesta está agotando tu batería (sugerencia: probablemente sea Facebook). Si Android estuviera bloqueado tan estrechamente como iOS, esto nunca hubiera sido posible. Cuando Apple elimina el acceso a una función, desaparece para siempre.
Luego vino XPrivacy, un enfoque mucho más avanzado, granular y personalizable para la administración de permisos. Dato curioso, te permitía bloquear el acceso de las aplicaciones a tu portapapeles en 2014. También te permitía bloquear el acceso a otras cosas como el acceso a Internet, lo que era una excelente manera de evitar que las aplicaciones sin conexión, incluidos los juegos, mostraran anuncios. o enviar datos sobre ti.
Otra aplicación, quizás más tabú, que mencionar es Lucky Patcher. Está principalmente asociado con su capacidad para piratear aplicaciones y obtener cosas gratis dentro de ellas, pero mi característica favorita siempre fue la capacidad de ver todos los diferentes componentes de cada aplicación y deshabilitar los que quisiera. Esto fue genial cuando usaba Facebook. Me permitió deshabilitar cualquier cosa que mencionara “telemetría” o “anuncio”, lo que redujo su capacidad general para identificarme. También usé LP para deshabilitar los GIF de mi teclado, porque nunca los usé, así que también podría reclamar la RAM que estaba usando esa función.
Y estos son solo ejemplos simples de aplicaciones y ajustes que pueden mejorar tu privacidad, gracias a la naturaleza de código abierto de Android. ¿No es suficiente? Incluso puedes crear tu propia versión de Android, permitiendo solo lo que quieras y nada más. Haz que utilice tus propios servidores para sincronizar contactos, por ejemplo, en lugar de los de Google o Apple.
Si no sabes programar, también está bien. Existen muchas bifurcaciones de Android, llamadas ROM. Muchas de esas ROM están enfocadas en la privacidad y la seguridad desde cero, lo que las convierte en una opción mucho mejor que cualquier iPhone o dispositivo Android que puedas comprar a un OEM. Proyectos como GrapheneOS, CalyxOS y /e/.
Todos estos son proyectos de pasatiempo de entusiastas, así que no esperes el pulido de nivel OEM. Dicho esto, algunos como /e/ e iode han hecho un muy buen trabajo al hacer que sean bastante fáciles de poner en marcha para el usuario medio. Algunos incluso venden dispositivos reacondicionados con un sistema operativo que respeta la privacidad desde el primer momento, lo que elimina la molestia del proceso de instalación para los usuarios no técnicos.