Apple lucha contra los certificados empresariales truchos

18 de Febrero de 2019
La compañía lucha por la distribución ilegal de los "certificados empresariales"

Apple está llevando adelante una compleja lucha para controlar la piratería: ya circulan versiones piratas de Spotify, Angry Birds, Pokemon Go, Minecraft, entre otras aplicaciones populares. A pesar de los intentos de la compañía por desactivarlos, los distribuidores lograron burlar los controles usando "certificados empresariales".

¿Cómo es el modus operandi? Apple creó un programa para uso empresarial que permite a las corporaciones distribuir aplicaciones comerciales a sus empleados sin pasar por la App Store de Apple. Los llamados “piratas del software” (TutuApp, Panda Helper, AppValley y TweakBox) son quienes roban los certificados empresariales necesarios para ingresar a ese programa y quienes, a su vez, se encargan de su distribución ilegal entres los usuarios comunes. Estas versiones modificadas de las aplicaciones permiten transmitir música sin anuncios y burlar los aranceles y reglas de los juegos.

Los certificados empresariales son claves digitales que le dicen a un iPhone que el software descargado de internet es confiable. Son la pieza central del programa de Apple para aplicaciones corporativas y permiten a los consumidores instalar aplicaciones en iPhone sin pasar por el local, es decir, sin que Apple lo registre. En ese sentido, se está procediendo de forma ilegal porque, según dispuso la Compañía, los programas de Apple solo pueden distribuirse al público en general a través de la App Store.

Apple y los fabricantes de aplicaciones temen por sus ingresos, pero aún no tienen forma de rastrear la distribución en tiempo real ni la propagación de las aplicaciones. Hasta ahora, la medida fue cancelar los certificados cuando se identificó un uso incorrecto de los mismos.

"Los desarrolladores que abusan de nuestros certificados empresariales violan el Acuerdo del Programa Empresarial para Desarrolladores de Apple y sus certificados serán cancelados y, si corresponde, serán expulsados de nuestro Programa para Desarrolladores", dijo el vocero de Apple a la agencia Reuters. "Estamos evaluando continuamente los casos de mal uso y estamos preparados para tomar medidas inmediatas", agregó.

Aunque algunos piratas fueron expulsados del sistema, en pocos días estaban operando nuevamente a través del uso de certificados diferentes. "No hay nada que impida que vuelvan a hacerlo desde otro equipo u otra cuenta", dijo Amine Hambaba, jefa de seguridad de la firma de software Shape Security.

Está confirmado que, a finales de este mes, Apple va a empezar a pedir una autenticación. La misma constará de un código enviado al teléfono y de una contraseña para iniciar sesión en todas las cuentas. Se espera que esta medida tenga mejores resultados y disminuya el uso pirata del certificado.

Si bien Spotify se negó a hacer declaraciones, el proveedor de música de streaming dijo que sus nuevas condiciones de uso frenarán el bloqueo de los anuncios en su servicio. Por su parte, Rovio, el fabricante de Angry Birds, dijo que trabajará “en función del beneficio de la comunidad de jugadores y de Rovio como negocio”. Niantic, que fabrica Pokemon Go, sólo destacó que lo que hacen es ilegal y que viola las reglas establecidas. Microsoft Corp (propietaria de Minecraft), en cambio, no se pronunció.

Los piratas están logrando utilizar certificados obtenidos en nombre de negocios legítimos (Facebook, por ejemplo) aunque todavía no está claro cómo lo están haciendo. En algunos casos se han hecho pasar por una filial de China Mobile Ltd.

Apple debutó en 2008 presentando el iPhone como el dispositivo “más seguro”, el uso del certificado hace que los iPhone puedan usar estas aplicaciones incluso sin ser modificados previamente. La situación actual pone en crisis uno de las promesas de la compañía. En ese orden de cosas, también preocupa la distribución de aplicaciones para pornografía y juegos de azar.