Martes, 12 de diciembre de 2023

Joanna Stern y Nicole Nguyen, reportando para The Wall Street Journal (enlace de News+):

Si activas la nueva Protección de Dispositivos Robados, tu iPhone restringirá ciertos ajustes cuando estés lejos de un lugar familiar para el iPhone, como tu casa o trabajo. Aquí tienes el resumen:

Cambio de contraseña de Apple ID:

Si no haces nada: Un ladrón puede usar el código de acceso para cambiar la contraseña de tu cuenta de Apple y bloquearte. Este movimiento es la clave para que los ladrones apaguen Buscar Mi iPhone y borren los teléfonos para su reventa. Dado que tú, el propietario del iPhone, no tienes la contraseña de Apple ID cambiada, no puedes localizar tu iPhone de inmediato o borrar sus datos de forma remota.

Con la Protección de Dispositivos Robados: Si quieres cambiar una contraseña de Apple ID estando lejos de un lugar familiar, el dispositivo requerirá tu Face ID o Touch ID. Luego implementará un retraso de una hora antes de que puedas realizar la acción. Después de que haya pasado esa hora, tendrás que volver a confirmar con otro escaneo de Face ID o Touch ID. Solo entonces se podrá cambiar la contraseña.

Esto suena como una solución muy pensada para un problema extremadamente complicado: una combinación de biometría, retraso temporal, con excepciones cuando estás en un lugar conocido como el trabajo o el hogar.

Stern y Nguyen informaron una serie de historias este año detallando cómo los ladrones, en algunos casos, anillos de delincuencia organizada, estaban aprovechando los poderes casi divinos de tu código de acceso del dispositivo, la primera en febrero y la segunda en abril. La idea principal es que tu código de acceso/frase es la clave de todo tu reino digital. Con el teléfono y tu código de acceso, puedes restablecer la contraseña de tu cuenta iCloud y acceder a las contraseñas guardadas en tu llavero. Los ladrones estafaban a personas para obtener sus códigos de acceso y luego robaban sus teléfonos. Esto les otorgó a los ladrones acceso no solo al contenido de los teléfonos, sino también a las cuentas bancarias de las víctimas. Y al restablecer las contraseñas de iCloud de las víctimas, se evitaba que pudieran borrar, bloquear o encontrar los dispositivos robados de forma remota. (Una forma en que se producía la estafa: Conocer a la víctima en un bar, y ofrecer usar el teléfono de la víctima para tomar una foto de la víctima y sus amigos. Bloquear el teléfono de Face ID sin que la víctima se dé cuenta. Entonces, cuando la víctima quiera hacer algo en su teléfono, tendrá que ingresar su código de acceso. El ladrón o un cómplice en un equipo obtener el código de acceso. Luego, roban el teléfono, sabiendo el código de acceso del dispositivo.)

Después de que Stern y Nguyen rompieron esta historia, muchas personas se preguntaron razonablemente por qué Apple permite restablecer la contraseña de la cuenta iCloud usando solo el código de acceso del dispositivo. La razón es el soporte al cliente: todos los días, cientos, ¿quizás miles?, de personas se quedan bloqueadas de su cuenta de iCloud porque no pueden recordar la contraseña. Los teléfonos Android funcionan de la misma manera: puedes restablecer la contraseña de tu cuenta de Google solo conociendo el código de acceso del teléfono. Sin importar cuántas personas sean víctimas de ladrones que se aprovechan de esto, hay órdenes de magnitud más usuarios inocentes que conocen el código de acceso de su teléfono, pero han olvidado la contraseña de su cuenta de iCloud/Google.

La Protección de Dispositivos Robados parece solucionar el problema muy bien. Ninguna solución existente es una verdadera defensa contra un ladrón que conoce tu código de acceso del dispositivo. (Se sugirió bloquear tu iPhone con las protecciones de Tiempo de Pantalla, pero puedes anular completamente las protecciones de Tiempo de Pantalla con el código de acceso del dispositivo, solo agrega algunos pasos adicionales.)

La Protección de Dispositivos Robados estará desactivada de forma predeterminada, pero a los usuarios se les pedirá que activen la función al reiniciar después de la actualización a 17.3. Es un compromiso razonable. Mis únicas dudas sobre la función son los lugares seguros “hogar” y “trabajo”, donde se anula el retraso de una hora. (Sin embargo, aún necesitas autenticarte con Face ID o Touch ID). ¿Cómo se determinan estos lugares? Instalé la primera beta 17.3 en un iPhone de repuesto, y después de habilitar la Protección de Dispositivos Robados, intenté cambiar mi contraseña de iCloud, pero aún tengo que esperar una hora, aunque estoy en casa. (Y este iPhone de repuesto, mi iPhone 13 Pro del año pasado, no ha salido de mi casa desde septiembre.)

En general, esta nueva función es claramente una victoria para la seguridad, y un triunfo del reportaje de investigación de Joanna Stern y Nicole Nguyen.