( Reuters ) – Los piratas de software han secuestrado la tecnología diseñada por Apple para distribuir versiones pirateadas de Spotify, Angry Birds, Pokemon Go, Minecraft y otras aplicaciones populares en iPhones, según Reuters.

Distribuidores de software ilícitos como TutuApp, Panda Helper, AppValley y TweakBox han encontrado formas de utilizar certificados digitales para acceder a un programa que Apple introdujo para permitir que las corporaciones distribuyan aplicaciones comerciales a sus empleados sin pasar por la App Store de Apple.

Al usar los llamados certificados de desarrollador empresarial, estas operaciones piratas proporcionan versiones modificadas de aplicaciones populares a los consumidores, lo que les permite transmitir música sin anuncios y burlar los aranceles y reglas de los juegos, privando a Apple y a los fabricantes de aplicaciones de los ingresos.

Al hacerlo, los distribuidores de aplicaciones piratas están violando las reglas de los programas para desarrolladores de Apple, que solo permiten que las aplicaciones se distribuyan al público en general a través de la App Store. La descarga de versiones modificadas viola los términos de servicio de casi todas las aplicaciones principales.

TutuApp, Panda Helper, AppValley y TweakBox no respondieron a múltiples solicitudes de comentarios.

Apple no tiene forma de rastrear la distribución en tiempo real de estos certificados o la propagación de aplicaciones modificadas incorrectamente en sus teléfonos, pero puede cancelar los certificados si encuentra un uso incorrecto.

“Los desarrolladores que abusan de nuestros certificados empresariales violan el Acuerdo del Programa Empresarial para Desarrolladores de Apple y sus certificados serán cancelados y, si corresponde, serán eliminados de nuestro Programa para Desarrolladores por completo”, dijo a Reuters un portavoz de Apple. “Estamos evaluando continuamente los casos de mal uso y estamos preparados para tomar medidas inmediatas”.

Después de que Reuters contactó a Apple para hacer comentarios la semana pasada, algunos de los piratas fueron expulsados ​​del sistema, pero en pocos días estaban usando certificados diferentes y estaban operativos nuevamente.

“No hay nada que impida que estas compañías vuelvan a hacer esto desde otro equipo, otra cuenta de desarrollador”, dijo Amine Hambaba, jefa de seguridad de la firma de software Shape Security.

Apple confirmó un informe de medios el miércoles que requeriría una autenticación de dos factores, utilizando un código enviado a un teléfono y una contraseña, para iniciar sesión en todas las cuentas de desarrollador a fines de este mes, lo que podría ayudar a evitar el uso indebido del certificado.

Los principales creadores de aplicaciones Spotify, Rovio y Niantic han comenzado a contraatacar.

Spotify se negó a comentar sobre el tema de las aplicaciones modificadas, pero el proveedor de música de streaming dijo a principios de este mes que sus nuevos términos de servicio frenarán a los usuarios que están “creando o distribuyendo herramientas diseñadas para bloquear anuncios” en su servicio.

Rovio, el fabricante de juegos móviles de Angry Birds, dijo que trabaja activamente con socios para abordar la infracción “en beneficio de nuestra comunidad de jugadores y de Rovio como negocio”.

Niantic, que fabrica Pokemon Go, dijo que los jugadores que usan aplicaciones pirateadas que permiten hacer trampas en su juego están regularmente prohibidos por violar sus términos de servicio. Microsoft, que posee el juego de construcción creativa Minecraft, declinó hacer comentarios.

Sifonando los ingresos

No está claro cuántos ingresos están desviando los distribuidores piratas de Apple y los fabricantes legítimos de aplicaciones.

TutuApp ofrece una versión gratuita de Minecraft, que cuesta $ 6.99 en la App Store de Apple. AppValley ofrece una versión del servicio de transmisión de música gratuita de Spotify con la publicidad eliminada.

Los distribuidores ganan dinero al cobrar $ 13 o más por año por suscripciones a lo que ellos llaman versiones “VIP” de sus servicios, que dicen son más estables que las versiones gratuitas. Es imposible saber cuántos usuarios compran tales suscripciones, pero los distribuidores piratas combinados tienen más de 600,000 seguidores en Twitter.

Los investigadores de seguridad han advertido durante mucho tiempo sobre el uso indebido de los certificados de desarrollador empresarial, que actúan como claves digitales que le dicen a un iPhone que se puede confiar y abrir un software descargado de Internet. Son la pieza central del programa de Apple para aplicaciones corporativas y permiten a los consumidores instalar aplicaciones en iPhones sin el conocimiento de Apple.

El mes pasado, Apple prohibió brevemente que Facebook y Alphabet usaran certificados empresariales después de que los usaron para distribuir aplicaciones de recolección de datos a los consumidores.

Los distribuidores de aplicaciones piratas vistos por Reuters están utilizando certificados obtenidos en nombre de negocios legítimos, aunque no está claro cómo. Varios piratas se han hecho pasar por una filial de China Mobile. China Mobile no respondió a las solicitudes de comentarios.

El sitio web de noticias Tech TechCrunch a principios de esta semana informó que el abuso de certificados también permitía la distribución de aplicaciones para pornografía y juegos de azar, ambos de los cuales están prohibidos en la App Store.

Desde que la tienda de aplicaciones debutó en 2008, Apple ha tratado de presentar el iPhone como más seguro que los dispositivos rivales de Android porque Apple revisa y aprueba todas las aplicaciones distribuidas a los dispositivos.

Desde el principio, los piratas informáticos “jailbreak” modificaron su software para evadir los controles de Apple, pero ese proceso anuló la garantía del iPhone y asustó a muchos usuarios ocasionales. El uso indebido de los certificados de empresa vistos por Reuters no se basa en el jailbreak y se puede usar en iPhones no modificados.

( Reporte de Stephen Nellis y Paresh Dave en San Francisco; editado por Greg Mitchell y Bill Rigby )