Apple y The Fappening: la seguridad como elemento reputacional

IMAGE: Mipan - 123RFLa distribución en la red de una serie fotografías íntimas de diecisiete celebridades norteamericanas, conocida como The Fappening ha generado ya una amplia variedad de artículos y comentarios de todo tipo, y sin duda va camino de convertirse en un evento importante que determinará el uso y las sensaciones que muchos usuarios tienen con respecto a la nube en general, y a Apple como compañía en particular.

Nadie está a salvo de un ataque que le pone como objetivo específico. La explotación de vulnerabilidades unida a la ingeniería social lleva a que cuando una persona con los conocimientos adecuados pone en su punto de mira a una persona en concreto y tiene un incentivo suficientemente elevado, pueda habitualmente conseguir su objetivo. Lógicamente, hablamos de algo que tiende a suceder – y sobre todo, a convertirse en noticia – de forma más habitual con celebridades, pero eso no quiere decir que no nos pueda pasar a cualquiera sin necesidad de serlo: si alguien pone suficiente empeño en acceder a los datos que tú, específicamente tú, tienes en algún sitio, sea la nube o tu ordenador, seguramente será capaz de hacerlo, y además te encontrarás en una situación de mucha más indefensión (y potencialmente, con mayores efectos sobre tu vida) que si eres una celebridad.

En estos casos, por tanto, hay que tratar de encontrar y aislar los factores comunes, los elementos que han contribuido de manera más relevante al resultado final. Y en este caso, todo indica que Apple y sus prácticas de seguridad están en el centro del huracán. En un país en el que la cuota de mercado de los dispositivos de la marca es muy superior al del resto del mundo pero no es ya mayoritaria, las personas que han decidido llevar a cabo esta acción han decidido utilizar un procedimiento que pone en riesgo específicamente a los usuarios de iCloud.

La forma que Apple tiene de diseñar y ofrecer este tipo de servicios ha llevado a que los usuarios no sean especialmente conscientes de dicho uso: la prestación simplemente “aparece” y “funciona”, los usuarios se encuentran de una versión a otra con que ahora sus fotografías están siendo almacenadas en una copia de seguridad en un servicio remoto, pero no se plantean realmente dicho uso. De ahí que cuando las vulnerabilidades aparecen, aunque el elemento más débil de la cadena de seguridad siga siendo el usuario y, en último término, sea este el responsable, la responsabilidad de la marca que les ofrecía ese procedimiento sea difícil de negar.

La reacción de Apple tras las primeras investigaciones, a pesar de que el elemento común parece ser claramente iCloud, ha sido negar su responsabilidad, y achacar el problema a prácticas de seguridad deficientes de sus usuarios que permitieron un patrón de ataque específico. Y el problema surge precisamente ahí: que si un problema o vulnerabilidad permite a alguien dar el paso de “lanzar un ataque específico” a “diseñar una metodología que permite un ataque a diecisiete usuarios con visibilidad elevada”, el problema, tal vez no en la mente de los expertos en seguridad, pero sí en el imaginario colectivo, se traslada automáticamente desde los usuarios hasta la marca. En este caso, lo que queda del escándalo es que “el uso de iCloud puso a diecisiete famosos en una situación de vulnerabilidad, y la reacción de Apple fue decir que no era culpa suya”. No, pensar cómo de común se ha hecho la práctica de hacer y enviar fotografías subidas de tono no es la cuestión. La conclusión, más bien, es: “no usaré iCloud, y mucho menos si soy mínimamente famoso”.

El problema de esta conclusión es que, por un lado, el marketing de Apple, en un momento en que su cuota de mercado ha descendido sensiblemente y a la espera del repunte que siempre supone el lanzamiento de un nuevo modelo, hace un uso significativo del “efecto celebridad”, de que determinadas personas sean vistas utilizando terminales de su marca. Con el evento de lanzamiento de sus nuevos terminales a una semana escasa, el escándalo no puede llegar en peor momento: para muchos usuarios, el ya famoso “ciclo de producto de Apple” se puede ver enturbiado con un “sí, pero mi percepción sobre su seguridad no es adecuada”.

Por otro lado, un segundo factor puede convertirse en una amenaza mayor aún: el aparente intento de la marca de la manzana por convertirse en un actor relevante dentro del mundo de los pagos mediante el smartphone. La más que esperada introducción de NFC y los acuerdos con las emisoras de medios de pago como American Express, Visa y MasterCard parecen indicar que Apple ha decidido que el momento era adecuado para introducirse en el mundo del pago electrónico, un terreno que no resulta en absoluto sencillo y en el que la percepción de seguridad resulta absolutamente central.

¿Puede el escándalo de The Fappening terminar convirtiéndose en un problema para Apple a la hora de gestionar su imagen de cara a la seguridad? ¿Es la política de comunicación de Apple adecuada para manejar este tipo de crisis? ¿O simplemente se olvidará a gran velocidad, y veremos de nuevo un ascenso de la cuota de mercado de la marca en smartphones inmediatamente después del evento del día 9 de septiembre? ¿Hasta qué punto será un éxito el lanzamiento del nuevo iPhone como medio de pago?

 

This article is also available in English in my Medium page, “Apple and The Fappening: when a firm’s reputation depends on security

 

ACTUALIZACIÓN: Las acciones de Apple caen un 3%, y algunos analistas recomiendan vender…

16 comentarios

  • #001
    David Mairal - 3 septiembre 2014 - 16:40

    “¿Es la política de comunicación de Apple adecuada para manejar este tipo de crisis?” De las cuestiones que te haces al final, Enrique, quizá tengamos algún antecedente que responda a esta.

    Durante todo el año 2012, Apple fue protagonista de una cantidad enorme y trascendente de noticias que normalmente ocupan espacio secundario en los medios: las relativas a las condiciones laborales en los suministradores chinos de Apple, asunto estrella durante muchos meses de ese año.

    El asunto fue de repercusión global y ponía a prueba la solvencia de la empresa ante un amplio espectro de clientes: desde el ciudadano de a pie, que veía a Apple fallando en un tema de sensibilidad social; el mundo empresarial más influyente porque la evolución del caso podría cambiar procesos en las cadenas globales de suministro; incluso los gobiernos de los países, por el posible cambio de modelo productivo que conllevan casos de esta naturaleza.

    En aquella ocasión, la gestión del caso fue excelente, transformando una situación muy problemática en un caso de estudio de la comunicación y gestión de la responsabilidad social de las empresas. La política de comunicación se fundamentó en aquella ocasión en la transparencia informativa y el liderazgo eficaz desde las más altos niveles de la empresa.

    Si en un caso tan exigente como el de las condiciones laborales en la cadena de suministro, Apple demostró una gran maestría, también debiera hacerlo en el caso de la seguridad de los datos de sus clientes. Demostrado lo han.

  • #002
    Xur - 3 septiembre 2014 - 18:35

    Ciertamente todos los ojos se fijan en Apple ya que parece ser que algunas de las imagenes publicadas estaban alojadas en iCloud y eso siempre es una noticia por ser Apple quien es. El caso es que se ha confirmado tambien desde el principio que muchas de las imagenes han sido obtenidas de otros servicios como Dropbox etc, y al no hacer mención a ello se da un sesgo que quizás sea provechoso en terminos de visitas etc pero que no reflejan la realidad completa del asunto.

  • #003
    Garepubaro - 3 septiembre 2014 - 19:13

    Destaca las fotos de Jennifer Lawrence, una actriz de Hollywood que sale con unas manchas de un liquido viscoso en la cara que no se de que seran … a partir de ahora la conocereis que antes no sabiais ni quien era, y luego la fama la llamaran para hacer mas peliculas para todos los publicos, aunque no se sabia que dedicaba al xxx tambien en privado … ahora bien han cogido a la gente como si fueramos el planeta de los simios, osea que tienen a un planeta de tontos y tontainas disponible para seguir ganando mas dinero cada vez a su dispocision …

    Nos acordamos de Zapatero cuando negaba la crisis, y su incompetente optimismo, ahora nos negamos a ver la crisis y acabose de todo que crea internet y el incompetente optimismo de …

  • #004
    Antonio Castro - 3 septiembre 2014 - 19:14

    Estoy completamente de acuerdo de que hay un montón de lecciones que deberían sacarse de lo sucedido, y hay muchas formas de enfocar el tema que se presta ser visto desde muy distintas perspectivas.

    En mi humilde opinión, la seguridad es algo que se infravalora por sistema y también que las bondades del iCloud están sobrevaloradas. El tamaño de los discos duros en los ordenadores personales apenas está creciendo porque, a mi entender, la gente está confinado en exceso en iCloud.

    Alguien podría pensar que el iCloud es una necesidad derivada de los nuevos usos de la informática con dispositivos cada vez más pequeños y portátiles. En efecto hay que admitir que es así, pero yo creo que también podría entenderse al revés. Es decir, una de las razones de que esta industria iCloud triunfe es porque existe un gran interés en que la gente externalice sus datos y los lleve consigo a todas partes. Estamos disfrutando de un extraordinario aumento de libertad con el uso de estos dispositivos móviles, pero me pregunto si no será una libertad envenenada. Somos más vulnerables.

    Los más sensibles son las personas que usan la tecnología como un juguete que no hace falta entender. Se escudan en que la mayoría de la gente lo usa así, sin saber gran cosa.

    La reciente vulnerabilidad parece haber consistido en cosechar vulnerabilidades individuales durante bastante tiempo para poder hacer más tarde un ataque masivo que no de tiempo a ser contrarrestado.

    Esto ha puesto de relieve el hecho de que las compañías adoptan medidas de seguridad un tanto laxas con los datos de los usuarios de sus servicios iCloud, quizás porque creen que eso va a tener siempre la defensa de echar la culpa a los usuarios descuidados. En el caso de Apple parece que ha estado muy encerrada en sí misma sin enterarse de las advertencias que hacían otros usuarios y tampoco ha atendido a las sugerencias de expertos en seguridad. Pura negligencia.

    Los atacantes han convertido descuidos ocasionales de muchos usuarios, (hasta cierto punto normales), en un grave problema de imagen para la compañía, en este caso Apple, pero yo me temo que esto podría haber pasado con cualquier otra compañía. Puede que detrás del este ataque este la intención de perjudicar a la imagen de Apple que será la que más pierde. Ha recibido donde más le duele porque ya venía teniendo problemas.

    Los usuarios que sufren inconvenientres de políticas de seguridad un tanto laxas, suelen estar indefensos ante los problemas ocasionados por la falta de celo en el uso de tecnologías que no comprenden bien.

    Cuando se oferta un servicio que afecta a millones de personas sin grandes conocimientos, deben ser las compañías que ofrecen estos servicios las que deben proteger en la medida de lo posible a los usuarios de su propia incompetencia.

    Estamos ante los efectos kármicos de las políticas de las grandes compañías que ofrecen servicios en la nube sin obligar a sus usuarios a usar bien el servicio.

    Hay lecciones para todos. Para los usuarios la lección es si no necesitas tenerlo en la nube, no lo tengas ahí, y si lo necesitas en la nube y son datos sensibles, tómate un mínimo de molestia en saber como protegerlo.

  • #005
    Krigan - 4 septiembre 2014 - 00:23

    Garepubaro:

    Yo he visto las fotos de Jennifer Lawrence, y no hay ninguna que sea como dices.

  • #006
    Vival Galanternik - 4 septiembre 2014 - 01:51

    @Antonio #4. Sus comentarios suelen ser atinados y de análisis muy interesantes, sin embargo, son muy extensos, dias como hoy, paso de leerlos. (siempre es posible mejorar)
    Respecto al tema, Apple lo manejara bien, y cuando presente su nuevo iphone nadie se acordara. (solo nosotros)

  • #007
    Abelardo Ojeda - 4 septiembre 2014 - 04:27

    Enrique, de todo lo que mencionas, creo más en la ingeniería social. Ya se ha demostrado muchas veces, que con las preguntas adecuadas se puede persuadir al usuario o a ciertos servicios para que suelten información clave para identificar contraseñas.

    Conozco personas que compran un iPhone (o cualquier otra marca) y activan sin averiguar cualquier servicio… o simplemente no leen qué les indica el mensaje de lo que están a punto de aceptar. Entiendo que Apple, como muchas compañías tenga responsabilidad con los usuarios… pero tampoco puedes andar corriendo detrás de “analfabetas digitales” para que pongan más atención en su privacidad. Me recuerda el ejecutivo que se enoja porque el de sistemas le puso una contraseña complicada y pregunta ¿por qué no pudiste ponerle algo como 12345?!

    Por otro lado, hoy en día hasta agencias de publicidad y medios crean los famosos “viral hoax”, entre que sea o no real, es un buen pretexto para alimentar el morbo de la gente.

  • #008
    Julio2 - 4 septiembre 2014 - 09:52
  • #009
    Gorki - 4 septiembre 2014 - 10:32

    Lo que noto que es que cada vez pesa más en la vida de las personas y empresas su la marca personal.

    Por ejemplo, mi hijo esta contento porque su marca personal ha aumentado por comentarios favorables de personas que se han alojado en su casa gracias a AirBnb y no tanto por ello aumente su prestigio como casero, algo que solo lo es puntualmente en verano, sino por que eso suma puntos a su marca personal, fundamentalmente a la que tiene en eBay y en otros lugares parecidos y le facilita conseguir cliente para sus talleres de medios audiovisuales, que son realmente su forma de ganarse la vida y en lo que es expertos.

    Hay gente que ha ido a sus curso, porque al buscar quien era él en Internet, se han encontrado, junto a noticias de haber ganado diferentes concursos y muestras de su obra, mensajes que hablan de su honradez y seriedad en temas tan alejados de dar talleres de audiovisuales, como haber comprado/vendido por eBay o haber alojado en su casa a gente en AirBnb. Este tipo de comentarios hace que se fíen más de su calidad como profesor de audiovisuales y se apunten a sus talleres.

    Si yo fuera joven, quizá montara una especie de “Who’s who?” pero no para la nobleza y los grandes empresarios, sino para la gente vulgar, un sitio que de alguna forma indicara la reputación que como persona tiene de ti la red. Ahi dejo la idea para quien la quiera tomar.

  • #010
    Pablo - 4 septiembre 2014 - 12:58

    La opción no subir a la nube tus fotos íntimas no es más lógica?

  • #011
    Xur - 4 septiembre 2014 - 15:26

    Empiezo a preguntarme ¿Qui prodest?
    Las acciones de Apple marcando mínimos justo unos días antes de una de las presentaciones de productos más esperadas en los últimos meses… Alguien se estará poniendo morado a comprar esperando un más que probable pelotazo este martes…
    Igual he visto muchas películas…

  • #012
    jose luis portela - 4 septiembre 2014 - 16:02

    Por lo que he aprendido y visto en 9 años en el sector de la seguridad, hay varias leyes que siempre se cumplen

    1. No existe nada seguro
    2. La primera ley no significa que los sistemas no sean seguros!!!!. Los sistemas son seguros para el 99,999% de los ataques normales, y si tu eres una persona normal no te preocupes.
    3. El saltarse la seguridad es solo una cuestión de dinero. Es decir, ¿Cual es el valor de lo que proteges en el mercado?.

    Resumen. Si no eres una persona muy conocida o muy rica, trata de tener sistemas de seguridad físicos y de software y te librará seguro de disgustos.

    PD. No os olvidéis que el valor varía con el tiempo, y si bien es verdad ahora no sois target, podríais serlo. Porque digo esto, porque podría existir gobiernos interesados en tener todo por si acaso….

  • #013
    Antonio Castro - 4 septiembre 2014 - 18:13

    #012 Suena lógico pero no es tan simple. Algunas cosas solo se valoran cuando se pierden. Yo te sugiero una ley diferente. Si eres una persona normal. No te permitas el lujo de vivir en la ignorancia y creerte a salvo.

  • #014
    Antonio Castro - 4 septiembre 2014 - 18:17

    #006 Gracias y lo siento. Intento siempre ir al grano y ser breve, pero por alguna extraña razón casi nunca lo consigo. Estoy en ello.

  • #015
    Alberto Lozano - 5 septiembre 2014 - 10:10

    De una cosa tan sencilla cómo el robo de contraseñas mediante phishing u otro sistema parecido, se ha hecho una gran bola mediática.
    Usad contraseñas complejas (y no la fecha de nacimiento) junto a la clave de doble paso que Apple, Google y otras compañías aconsejan y no tendréis ningún problema de robo de contraseñas.

  • #016
    Gorki - 5 septiembre 2014 - 13:27

    #014 Antonio Castro
    Ya somos dos, mi virtud tampoco es la brevedad, ¡Que cruz la nuestra!

Dejar un Comentario

Los comentarios están cerrados