2 puntos por GN⁺ 2023-12-20 | 1 comentarios | Compartir por WhatsApp
  • Una MacBook que volvió tras haberse perdido quedó bloqueada por Activation Lock y, aunque se entregó el recibo de Apple Store, los procedimientos normales de soporte rechazaron desbloquearla
  • Aunque la historia llegó al puesto #1 en Hacker News, Apple no se comunicó, y la vía de tcook@apple.com sugerida en un Discord japonés de desarrolladores angloparlantes sí terminó llevando a una solución real
  • Cuatro días hábiles después de enviar el correo, respondió el equipo de apoyo ejecutivo de Tim Cook en Japón y, tras unas dos semanas de verificación, se determinó que la MacBook había sido restablecida a mediados de agosto y luego marcada como perdida bajo una nueva cuenta de iCloud
  • Apple aplicó su política de no desbloquear equipos reportados como perdidos incluso con prueba de compra original, pero tras revisar documentos adicionales concluyó que la MacBook pertenecía al autor y quitó el bloqueo
  • Apple Security Research no lo consideró un problema de seguridad, y el caso deja en evidencia fallas tanto en el flujo de configuración inicial, que permite omitir con facilidad Find My, como en la política de desbloqueo

Desbloqueo escalado por correo a Tim Cook

  • La MacBook perdida fue devuelta, pero tenía activado Activation Lock, y Apple se negó a quitarlo incluso después de presentar el recibo de Apple Store
  • Un texto sobre la experiencia anterior llegó a la parte alta de Hacker News, pero Apple no hizo contacto directo
  • En un Discord japonés de desarrolladores de software angloparlantes, un moderador comentó que enviar un correo a tcook@apple.com ya había permitido que asistentes ejecutivos escalaran el caso con la persona adecuada para resolverlo
  • El correo, enviado después de agotar todas las vías normales, incluía lo siguiente
    • La MacBook había regresado tras perderse, pero tenía Activation Lock activado
    • La solicitud para quitar el bloqueo había sido rechazada pese a haber presentado el recibo de Apple Store
    • Un texto sobre la experiencia había llegado a la parte alta de Hacker News, y el autor quería un buen desenlace para una historia frustrante
  • Cuatro días hábiles después, respondió el equipo de apoyo ejecutivo de Tim Cook en Japón, y durante unas dos semanas continuaron las verificaciones por correo y teléfono
  • Lo que se confirmó fue lo siguiente
    • La MacBook fue restablecida a mediados de agosto, después de que el autor la perdió
    • Quedó vinculada a una nueva cuenta de iCloud
    • Una cuenta cuyo correo empezaba con p reportó esa MacBook como perdida
  • Apple rechazó la solicitud original porque mantiene una política de no desbloquear dispositivos reportados como perdidos, incluso si existe comprobante de compra original
  • El equipo de apoyo ejecutivo concluyó, con base en los documentos entregados, que la MacBook pertenecía al autor, y como resultado se quitó el bloqueo
  • No está claro si la difusión en Hacker News fue decisiva, pero el autor señala que no aportó más pruebas al equipo ejecutivo que las ya entregadas en la solicitud previa para quitar Activation Lock

Lo que realmente ocurrió con la MacBook y las dudas que quedan

  • Para cuando se quitó el bloqueo, el autor ya había comprado otra MacBook, así que el desbloqueo tenía más que ver con principios y aclarar lo sucedido que con volver a usarla en la práctica
  • Apple explicó “cómo” se había bloqueado la MacBook, pero no “por qué” ocurrió eso
  • A partir de correos intercambiados con la persona que devolvió la MacBook, esto fue lo que el autor pudo reconstruir
    • Esa persona no la restableció directamente
    • La llevó a una tienda para pedir que la desbloquearan
    • La tienda no logró desbloquearla, pero sí restableció la MacBook
    • Antes de dejarla en la tienda se veía la información del perfil de inicio de sesión del autor, pero después ya no
    • La tienda exigió dinero aunque no logró desbloquearla
    • Cuando se le presionó para explicar por qué cobraba, esa persona dejó de responder
  • El autor sospecha que la tienda pudo haber restablecido la MacBook con un nuevo Apple ID y luego haberla reportado como perdida para intentar sacarle dinero
    • Puede que primero la devolvieran como si estuviera “desbloqueada” y después la volvieran a bloquear más adelante con un reporte de pérdida para pedir un pago adicional
    • O quizá buscaban dejarla en un estado en el que solo ellos pudieran quitar el bloqueo y así cobrar una suma mayor
    • El hecho de que la dirección de iCloud empezara con p podría deberse a que vieron el nombre “Paul McMahon” en la pantalla de inicio de sesión y crearon una dirección de correo que pareciera plausible
  • En la configuración inicial de la MacBook, Apple permite omitir con facilidad la activación de Find My
  • Dado lo graves que pueden ser las consecuencias de no configurar Find My, Apple debería advertir este riesgo con mayor claridad en el flujo de configuración inicial o revisar su política de desbloqueo
  • El caso fue reportado a Apple Security Research, pero Apple respondió que “no puede identificar un problema de seguridad en el informe”

1 comentarios

 
GN⁺ 2023-12-20
Opiniones en Hacker News
  • Una vez me avisaron que la policía había recuperado una laptop que me habían robado, pero me llevé una gran decepción cuando volvió en una bolsa de evidencia como una carcasa hecha pedazos.
    En este caso me alegra que el equipo haya podido volver a usarse, pero en el fondo lo veo como un problema artificial impuesto por la empresa a la que se le compró.
    No tener la clave privada de tu propio dispositivo significa que, al final, tu derecho de uso depende de la buena voluntad de terceros muy ricos e indiferentes, y obtener un buen resultado como en este caso parece más bien la excepción.

    • Me pregunto cuál sería una mejor solución que mantenga la función antirrobo.
      Un iPhone o una Mac con bloqueo de activación suele valer apenas lo que se pueda obtener vendiéndolo por piezas en mercados extranjeros y, si tienes mala suerte, hasta recibes mensajes amenazantes para que elimines el dispositivo de iCloud.
      El hecho de impedir que un ladrón instale firmware nuevo y lo use como si fuera un equipo nuevo es un punto de venta clave y, para algunos compradores, incluso podría justificar un precio más alto.
      0: https://old.reddit.com/r/applehelp/comments/13yn1o0/phone_st...
      1: https://old.reddit.com/r/applehelp/comments/16fcd4c/recently...
    • La parte de “no tener la clave privada de tu propio dispositivo” es un malentendido.
      Creo que, para empezar, poseer una computadora Apple es imposible.
    • El artículo original elogia Activation Lock, pero critica que se pueda omitir durante la configuración, y aquí se está convirtiendo eso en una afirmación de que Activation Lock en sí es malo.
      No es más que el típico ataque automático contra Apple de este sitio; es aburrido, poco significativo y nada interesante.
    • Esto no es un problema impuesto por la empresa, sino uno que el usuario se buscó por completo.
      En 2023 ya se sabe todo sobre la telemetría, el hardware irreparable, los reportes de bugs y el servicio al cliente en plan “que te den”, y el hecho de que ya no eres dueño de tu propia máquina.
      Quien compra Apple, y en un sentido más amplio Microsoft, lo hace sabiendo que no le darán acceso a sus propios dispositivos, y sabiendo también que existen mejores opciones de código abierto, así que debe asumir las consecuencias tal cual.
    • Hoy en día nadie posee de verdad ni siquiera el hardware.
  • Cuando soporte al cliente no puede o no quiere resolver un problema de producto, compro el correo electrónico y el número de teléfono del CEO en sitios que venden datos de contacto y me comunico directamente.
    Hace poco resolví así un problema para cobrar el acuerdo de una demanda colectiva contra Google, y me enviaron el cheque por correo exprés.
    Sin embargo, con Cash App me salió al revés: me respondieron que “la cuenta fue cerrada porque contacté a un empleado fuera del sistema de soporte”.
    Ahora me pregunto cuánto costará el número de celular de Sundar Pichai. Tengo el nombre de usuario, la contraseña y el correo de recuperación, pero no puedo entrar a mi cuenta de Google porque ya no tengo el número de teléfono antiguo.

    • Lo de Cash App probablemente se arregle rápido si presentas una queja ante la Consumer Financial Protection Bureau.
    • Si puedes compartirla, me gustaría escuchar la historia de Cash App.
      Que te cierren la cuenta por intentar resolver un problema con su servicio suena insultante.
    • En Australia existe la ACCC para ayudar a los consumidores, y la ley de consumo también es bastante fuerte.
      Por eso algunas empresas dudan en entrar a Australia para evitar lidiar con el gobierno, pero como los consumidores australianos gastan mucho dinero, al final tienen que ajustarse a esas reglas.
    • Comprar un número de teléfono personal y usarlo para pedir soporte podría considerarse acoso.
    • Otra vía es contactar al departamento de relaciones con inversionistas.
      Es mejor si eres accionista, pero no es estrictamente necesario; la ética de usar canales no estándar cuando el procedimiento estándar no funciona queda a criterio de cada quien.
      Esas bandejas de entrada suelen ser atendidas por gente competente y, como mínimo, remiten el caso a la persona adecuada para cerrar un ticket generado internamente.
      Patio11 también trata este método y el contacto con el equipo legal en la sección “Where exactly should I address letters?” de https://www.kalzumeus.com/2017/09/09/identity-theft-credit-r...
      Si no encuentras la dirección, puedes enviar una carta a la sede central con “ATTN LEGAL DEPARTMENT”, y ese tipo de correo lo abren personas caras.
      Una vez envié al departamento de relaciones con inversionistas una pregunta sobre el reporte anual de una empresa en la que tenía acciones, con una capitalización de mercado de unos 2,000 millones de dólares, pero no me respondieron ni siquiera tras un correo de seguimiento, así que vendí la mitad de mis acciones y, al final, quedé muy satisfecho.
  • Hay una razón por la que ya no compro MacBooks para uso personal.
    En 2019 gasté más de 3,000 euros en una MacBook de 15 pulgadas con la configuración más alta de ese momento, lo que equivalía a más de dos meses del salario promedio en mi país europeo.
    Dos semanas antes de que terminara la garantía de un año, falló la barra espaciadora y, como era un problema de diseño, el centro de servicio local la reemplazó en pocos días bajo garantía.
    Un año después, la batería se estaba muriendo, y al ir a un taller autorizado me dijeron que para cambiar la batería había que reemplazar todo el teclado y el trackpad, por unos 750 euros.
    Un taller de reparación de PC me dijo que podía hacerlo por unos cientos de euros, así que se la dejé; funcionó bien, pero tres meses después la laptop se apagó de repente.
    Apple se negó incluso a repararla pagando, porque había usado una batería no oficial, y la Mac quedó convertida en un ladrillo.
    Al final me costó 3,500 euros usarla 2.5 años para uso personal, más que un auto usado barato.

    • Suena como si cambiar la batería de una laptop Apple fuera de garantía no pudiera hacerse por menos de 1,000 euros.
      Si eso es cierto, es tan increíble que debería ser noticia de primera plana para que nadie vuelva a cometer el error de comprar una laptop Apple.
    • Mi laptop Toshiba de 400 dólares comprada en 2013 todavía funciona perfectamente, y el modelo de 2015 también aguanta bien.
    • Por otro lado, también podrías haber comprado AppleCare por 3 años por 140 dólares.
  • Apple me devolvió los AirPods Max, pero parecía que los habían reemplazado por una unidad reacondicionada.
    No los usé durante unos días y, cuando los saqué porque hicieron un sonido, apareció en mi iPhone una notificación de que esos AirPods Max estaban vinculados a una cuenta de iCloud.
    Me incomodó que Apple me hubiera dado audífonos rastreables, así que le envié un correo a Tim explicándole la situación.
    Al día siguiente me llamó el equipo de servicios ejecutivos de Apple para preguntar detalles, y dije que quería audífonos nuevos, no reacondicionados, y que confirmaran si realmente podían rastrearse.
    Al día siguiente llegaron ambas respuestas: no habría reemplazo por un producto nuevo, efectivamente podían rastrearse con la cuenta vinculada a Find My, y lo sentían.

    • Para empezar, no tiene sentido que te los reemplacen por un producto reacondicionado.
    • No esperaba ese desenlace.
      Cuesta creer que, ante el problema de los audífonos, básicamente respondieran que había que aguantarse.
  • Que el equipo ejecutivo de Tim haya resuelto el problema se siente bien, pero visto en un plano más amplio parece indicar que hace falta un mecanismo que vincule identidad real, identidad digital y dispositivos.
    En lugar de presentar comprobantes de compra, uno presentaría una identificación gubernamental vinculada a una cuenta o dispositivo y, si el proceso de verificación de identidad es confiable, se confirmaría que esa persona es quien vinculó esa identidad al dispositivo, para recuperar el acceso al dispositivo o a la cuenta.
    Enviarle correos a Tim no escala.
    Alguna vez presenté comentarios ante la FTC sobre el vacío regulatorio en la recuperación de cuentas, y la identidad es un factor que se aborda en el trabajo de seguridad de la información centrado en servicios financieros.

    • Vincular la identidad real a una máquina es una pésima solución para este problema, y surge de no entender bien el problema mismo.
      El punto central es que los dispositivos se venden sin que el comprador tenga la propiedad de la clave privada usada para configurarlos.
      Si la clave no es mía, el dispositivo tampoco es mío.
    • Vincular la identidad real con la identidad digital y los dispositivos crea más problemas de los que resuelve.
    • Estonia tiene un sistema algo parecido: https://e-estonia.com/solutions/e-identity/id-card/
    • Definitivamente no quiero que mi identidad quede vinculada al hardware.
      En cuanto eso ocurra, la industria empezará una campaña para vincular también las cuentas en línea.
      No confío en el gobierno ni en la industria hasta ese punto.
    • Para evitar esta situación no hacía falta meter la identidad real; habría bastado con una conexión entre la identidad digital y la propiedad del dispositivo.
      El autor original tuvo la oportunidad de crear esa conexión, pero decidió no hacerlo.
      Me gustan los servicios de Apple, pero entiendo la resistencia a que la computadora de uno se comunique constantemente con una gran tecnológica.
      Lo que cuesta entender es por qué alguien a quien no le parece bien comunicarse con Apple sí consideraría aceptable comunicarse con el gobierno.
  • Toda empresa debería poder atender a sus clientes de persona a persona.
    Se está normalizando la actitud de “somos demasiado grandes para que clientes humanos hablen con humanos”, y es una tendencia que habría que revertir.
    Hacer crecer las fuentes de ingresos sin invertir en el soporte que esas fuentes de ingresos necesitan es una mala práctica empresarial.

    • Irónicamente, una de las razones por las que uso productos Apple era el personal humano de soporte al que podía recurrir cuando vivía en Londres.
      Con problemas de Dell, HP o Lenovo había que enviar el equipo y rezar, pero con un problema de Apple podía entrar a la tienda de Covent Garden y preguntar.
      Mi experiencia con el soporte de Apple fue en general muy buena, salvo un incidente en el que pedí mal AppleCare y AppleCare+ para el trabajo.
    • Hace poco, en una sucursal bancaria local, después de esperar 30 minutos, el empleado que me atendió me dijo que resolviera el problema por la línea telefónica de atención.
      No podía resolverlo en persona, o no quería hacerlo.
    • Según mi experiencia, Apple puede hacer que un representante te llame por teléfono bastante rápido.
      https://support.apple.com/contact
    • Moralmente puede ser una mala práctica, pero desde el punto de vista del negocio también podría verse como bueno gastar lo menos posible en los “departamentos de costo”.
    • Me pregunto si nunca les tocó alguien inútil que les hiciera perder más tiempo que un chatbot.
  • Al activar un MacBook por primera vez, Apple facilita omitir la configuración de Find My, pero si las consecuencias de no hacerlo son graves, parece razonable proponer que se cambie el flujo de configuración.
    Deberían advertir claramente las consecuencias de omitir ese paso, o revisar la política de desbloqueo en sí.

    • Si hacen eso, de inmediato los van a acusar públicamente de asustar a los usuarios para obligarlos a crear una cuenta.
      Aquí no hay una postura que deje satisfecho a todo el mundo.
    • Si no agregar el dispositivo a una cuenta de Find My significa que otra persona puede agregarlo a su propia cuenta y bloquearte el acceso, el aviso debería decir exactamente eso.
      Algo como: “Si omites este paso, alguien podría agregar este dispositivo a su propia cuenta de Find My y bloquearte el acceso al dispositivo. Si eso ocurre, Apple no te ayudará bajo ninguna circunstancia. Para conservar el acceso a este objeto caro que acabas de comprar, recomendamos agregar este dispositivo a tu cuenta de Find My”.
    • En un MacBook modelo 2019 que quedó inutilizable por una actualización del SO, estoy trabado con un bloqueo de firmware.
      Si solo arrancara el SO, no necesitaría la contraseña de firmware; solo hace falta al borrar el equipo. No quiero borrarlo, quiero que arranque.
      Lo compré en efectivo en Grand Central, tengo el correo de “Welcome to your New Mac” de la semana de lanzamiento y todavía aparece en Find My.
      Pero no conservé el recibo en efectivo y, antes de un viaje al extranjero, configuré una contraseña de firmware que ya no recuerdo.
      Aunque está en Find My y fue mío de principio a fin, Apple no me desbloquea el equipo.
      Tampoco aceptan desbloquearlo, corregir la actualización rota del SO y volver a bloquearlo.
      Desde mi punto de vista, Apple rompió mi máquina y me está impidiendo volver a repararla.
      Así que Find My tampoco te salva de ellos mismos.
  • Es un tema un poco distinto, pero creo que dispositivos como Activation Lock deberían tener una fecha de vencimiento de 2 a 3 años.
    Se podría reducir mucho la basura electrónica sin sentido de computadoras perfectamente funcionales que se desechan solo porque alguien no cerró sesión.

    • Antes trabajé en una concesionaria de autos, y vi personalmente más de 10 iPads que terminaron desechados porque, con el tiempo, nadie podía iniciar sesión.
      Después de más o menos un año, aproximadamente un tercio terminaba así.
    • El año pasado, el dueño de un bar me dio una caja de iPhones que habían dejado ahí; muchos estaban casi nuevos, pero de unos 24, solo se pudo recuperar un iPhone 7, y el resto se convirtió en basura electrónica.
    • Si se trata de MacBooks empresariales, no existe esa preocupación.
    • La basura electrónica es un problema, pero convertir el dispositivo en un ladrillo es la única medida disuasoria contra robos realmente fuerte.
      Muchos delincuentes estarían dispuestos a robar un iPhone nuevo si pudieran revenderlo tres años después.
  • Esta política existe para evitar que alguien venda una laptop, el nuevo comprador configure una cuenta de Find My Mac, y luego el vendedor la vuelva a robar y le pida a Apple que la marque como suya.

    • Cualquier política que haga Apple no va a coincidir exactamente con la definición real de propiedad legal.
      En muchas jurisdicciones, bajo ciertas condiciones, incluso los bienes robados pueden comprarse legalmente; y aunque existe el principio de “que el comprador tenga cuidado”, si el bloqueo ocurre después de la compra, en teoría se podría obligar a Apple a desbloquear el equipo para el nuevo propietario.
      Además, hay muchas transferencias de propiedad mucho menos sospechosas, y en un contexto donde la ley reconoce el mercado de segunda mano, Apple no está en posición de arbitrar todos esos casos.
    • Ese escenario suena apenas un poquito más plausible que hackear y hacer explotar una planta nuclear con una MacBook.
      Y para ese tipo de escenario, la MacBook tampoco tiene ninguna protección.
    • ¿De verdad pueden ocurrir tan seguido los casos de vender algo y luego volver a robarlo como para justificar esta política?
  • Creo que mi carta a Tim Cook también tuvo efecto.
    macOS Big Sur rompió el soporte para monitores externos de alta tasa de refresco en Macs Intel.
    Era un problema con la función DSC de HDMI/DisplayPort, y quienes cuatro años antes usaban sin problemas 4K@144Hz en Catalina quedaron limitados a 60Hz después de Big Sur.
    El soporte y el equipo de ingeniería de Apple me pidieron instalar Catalina para demostrar que 4K@144Hz realmente funcionaba, recopilaron un montón de datos de diagnóstico y luego respondieron que “como solución, podía volver a Catalina”.
    Envié una carta a Tim Cook con el número de caso y, para mi sorpresa, se corrigió en macOS Sonoma.