Realmente, no sé qué es más inquietante. Si la revelación tardía de un intento (fallido, aparentemente) de robo de claves de tarjetas SIM entre 2010 y 2011, o la ligereza con la que se nos explica que no ha pasado nada y, por tanto, no hay motivo para alarmarse.

La noticia que me ocupa nace de otro documento de la colección robada por el prófugo Edward Snowden, difundido a través de su vehículo favorito, The Intercept: según esta publicación online, las agencias de espionaje NSA (EEUU) y GCHQ (Reino Unido) intentaron – y el documento dice que lo lograron – hace cinco años romper el cifrado de claves que, supuestamente, les darían acceso a millones de smartphones en todo el mundo. La víctima habría sido la empresa franco-holandesa Gemalto, líder del mercado de tarjetas SIM.

En una tensa rueda de prensa, el CEO de Gemalto, Olivier Pion, tuvo que admitir que sólo supo del incidente cuando The Intercept le llamó para pedirle un comentario sobre la noticia que iba a publicar. Urgido por la revelación, cinco años después de los hechos, Gemalto practicó una investigación interna que en seis días llevó a la conclusión de que la intrusión «probablemente ocurrió, pero no dio como resultado el robo masivo de las claves de cifrado de tarjetas SIM». Hay indicios, añadió, de que los atacantes llegaron a hackear a varios empleados para penetrar en su red interna, pero fallaron en el objetivo de interceptar el punto en el que esta se comunica con los sistemas de los operadores.

«En 2010, ya teníamos un sistema de transferencia segura, aunque puede haberse registrado alguna fuga excepcional». Entre los 12 operadores mencionados en el documento, hay uno de Somalía, que no es cliente de Gemalto, al que le habrían robado 300.000 claves. Un ataque masivo – precisó Pion – sólo hubiera sido posible sobre redes 2G, puesto que «las de 3G y 4G no son vulnerables» a la técnica conocida como man-in-the-middle, en la que un atacante inserta su propio equipamiento entre dos dispositivos que se comunican. Sobre la identidad de los atacantes, no quiso pronunciarse, aunque respondió que llevar ante los tribunales a una agencia de espionaje sería perder el tiempo.

The Intercept siguió su campaña, atribuyendo a varios especialistas en criptografía la opinión de que es imposible que en seis días Gemalto reuniera la información necesaria para completar una investigación forense y desmentir el documento de (presuntamente) la NSA. El catedrático Matt Green, de la universidad John Hopkins, fue más allá: «[…] parece haber sido diseñada para producir un resultado positivo». Entretanto, las acciones de Gemalto habían sufrido una caída en la bolsa de Amsterdam.

El principal competidor de Gemalto, la firma alemana Giesecke & Devrient (G&D), reaccionó con una declaración formal en la que ratifica que las tarjetas SIM – que suministra a 350 operadores tarjetas que en parte produce en su fábrica de Barcelona – son un medio seguro basado en estándares probados durante más de dos décadas.

«No tenemos conocimiento de que una sola de nuestras tarjetas haya sido atacada – dice el comunicado de G&D – pero hemos tomado medidas adicionales para reforzar la seguridad de nuestros procesos de seguridad». Stefan Auerbach, director de la compañía germana, agrego una frase sagaz: «[la tarjeta SIM] es una tecnología tan segura que, en el caso de que se trata, incluso organismos de inteligencia habrían preferido robar las claves en lugar de atacar la lógica de las tarjetas como medio de autentificación del usuario de una red móvil».

El episodio coincide – no me tomen por suspicaz – con una situación muy revuelta en el mundo de los pagos a través de dispositivos móviles. La aparición de ApplePay, que introduce un método de autentificación por tokens ha tenido como consecuencia que todas las partes implicadas empiecen a hablar de las virtudes de la ´tokenización`. Visa Europa, por ejemplo, implementará esta técnica en los próximos meses. Me ha interesado la opinión de Will Graylin, CEO de LoopPay, startup especializada que acaba de ser comprada por Samsung: «[En el mejor de los casos] la ´tokenización` será un estándar adicional sobre los que ya existen. Retirar cualquier componente del actual ecosistema de pagos, necesariamente va a llevar tiempo».

Será uno de los temas de mi agenda en el Mobile World Congress, donde tengo previstos varios encuentros en torno a la cuestión de los pagos móviles y los distintos métodos de autentificación. Ya los contaré, no sé todavía si en el newsletter o en una crónica del sitio web.

Tendré que dejar para otro día un análisis de los resultados trimestrales de Hewlett Packard, presentados el martes por la noche. No habría espacio suficiente en este comentario para abarcar las cifras de una empresa que es proteica por definición y, en este momento, más compleja si cabe por el proceso de separación entre dos grandes ramas que el 1 de noviembre serán empresas distintas. Pero hay un aspecto que me parece relevante. Tiempo atrás, advertí aquí que los cambios en la paridad entre monedas de diferentes bloques económicos provocarían perturbaciones en las cuentas de las empresas. Esas perturbaciones ya eran visibles al cerrar su ejercicio 2014, pero es ahora cuando se manifiestan con crudeza.

«Hay un par de factores que han tenido impacto sobre nuestros resultados financieros – empezó diciendo Meg Whitman, CEO de HP – y creemos que probablemente se mantendrán durante el resto del año. El entorno macroeconómico repercute en movimientos monetarios desfavorables». Para una empresa que genera el 65% de sus ingresos fuera de Estados Unidos, la apreciación del dólar provoca una distorsión que tiene varias dimensiones.

En los últimos doce meses, el tipo cambiario del dólar con respecto al euro ha ganado un 21%. Lo que erosiona el valor de los ingresos que esta compañía estadounidense recauda fuera de su país [en el caso de IBM, la proporción sería del 55% y en el de Intel del 83%]. Para una filial europea de HP, significa que para cumplir los objetivos comprometidos ante la corporación, debería facturar un 21% más en euros. Y para el grupo en su conjunto, significa que sus ingresos del primer trimestre del año fiscal han sido un 4,7% inferiores en moneda corriente y un 2% inferiores en moneda constante. El impacto financiero, según dijo Cathy Lesjak, CFO de HP, se puede estimar en unos 800 millones de dólares. El gráfico habla por sí solo:

La distorsión cambiaria se traslada a los precios y eventualmente podría afectar las decisiones de inversión/gasto de los clientes. En los servicios – intensivos en recursos locales – el efecto se atenúa porque costes e ingresos se pagan en la misma moneda; lo contrario ocurre en las operaciones de los grupos Enterprise y Personal Systems. Con el agravante de que, considerando el contexto económico y competitivo, es poco probable que HP pueda corregir sus precios para compensar. Tendrá que actuar sobre los costes operativos para tratar de restablecer el equilibrio, pero la distancia se antoja demasiado grande.

La paridad entre el dólar y el yen plantea otra disyuntiva interesante. La política de depreciación de la moneda japonesa no ha disipado del todo la prolongada recesión interna, pero ha favorecido las exportaciones de los competidores de HP en el negocio de impresión, que ahora están en condiciones de ser agresivos en precios. No es menos cierto que, por otro lado, HP también se beneficia del menor coste de los componentes que compra en Japón.

HP no es, ni mucho menos, la única empresa estadounidense afectada, pero se le nota más. Otras, con un desglose diferente de sus ingresos, van a acusar la cuestión en otro tema sensible: sus beneficios que acumulan fuera de Estados Unidos – para evitar el coste fiscal de su repatriación – se devalúan en la proporción correspondiente. Son los epifenómenos de la globalización.

Norberto La presentación de resultados anuales de Orange ha tenido un colofón que ha desplazado el eje de atención, de los datos a la intersección entre la política e Internet. Stéphane Richard, CEO del grupo francés, no dejó pasar la oportunidad de criticar duramente lo dicho 48 horas antes por Barack Obama en una inusual entrevista al portal Re/code. «Europa no es el felpudo digital [paillasson numérique] de Estados Unidos», comentó Richard, declarándose estupefacto por las declaraciones de Obama a Kara Swisher.

Para situar al lector, ¿qué dijo Obama? «Nosotros [EEUU] financiamos la invención de Internet, y nuestras empresas lo han extendido de manera que ellos [Europa] no serían capaces de igualar […] la respuesta europea acerca de ciertos problemas, presentada como nobles intenciones, no es en realidad otra cosa que la protección de intereses económicos». Con esta frase, Obama respondía a una pregunta sobre la ´hostilidad` europea hacia los campeones estadounidenses de Internet [a los que la prensa francesa ha bautizado con el acrónimo GAFA: Google, Apple, Facebook, Amazon]. El CEO de Orange replicó, a su vez, que «Internet es hoy un bien de toda la humanidad, y todos contribuimos a su desarrollo […] Europa es tan capaz de innovar como Estados Unidos». En cambio, sólo tuvo elogios hacia la nueva Comisión Europea.

Aparte de este episodio, los resultados de Orange en 2014 muestran un descenso del 2,5% en sus ingresos, aunque inferior al que se registró en el tránsito de 2012 a 2013. El EBITDA también cayó un 2,5%, pero Richard proclamó el cumplimiento de su objetivo de estabilización de las cuentas de la compañía. Ramón Fernández, director financiero y de estrategia, indicó que cada trimestre de 2014 ha sido mejor que el anterior. En 2015, sin embargo, el grupo espera otro descenso del EBITDA. La intención de llegar a un total de 300 millones de usuarios este año, parece difícil de conseguir (cerró 2014 con 244,2 millones] a menos que Richard acometa alguna adquisición importante. Richard se negó a comentar los rumores según los cuales Orange estaría negociando la compra de los activos de Bharti en África.

Los resultados europeos han sido buenos en Francia, España y Bélgica. «La compra de Jazztel – dijo Richard – será fundamental para la progresión de nuestro negocio en España, sin abandonar nuestro programa de inversión en despliegue de fibra»

Preguntado por la consolidación del número de operadores en Europa, el CEO de Orange puso como ejemplo de esa tendencia la compra de EE por BT en Reino Unido y la de O2 por el grupo Hutchinson, pero no olvidó advertir que Orange no sería parte de ninguna operación similar en Francia, y sólo podría aspirar a adquirir algunos activos que el regulador obligara a desinvertir.

Stéphane Richard, que recientemente ha visto renovado su mandato, reiteró ante los analistas que una línea maestra del plan estratégico hasta 2020, que presentará el próximo 17 de marzo, se basará en establecer la compañía como un operador convergente en todos los mercados donde opera, ya sea mediante inversión orgánica o comprando otras empresas. Fernández tranquilizó a un analista preguntón advirtiendo que la creciente penetración de ofertas convergentes ha restablecido la posición competitiva de Orange a la vez que contribuía a una sensible caída de la ratio de fuga de clientes (churn rate).

Ahora que los índices de la banca se tornan optimistas, el problema es la sostenibilidad. Fortalecer los servicios digitales, automatizar las funciones de back y front-office para mejorar los beneficios, satisfacer las exigencias de los reguladores y luchar contra nuevos competidores, son los retos que enumera el estudio ‘The Road Back: McKinsey Global Banking Annual Review 2014, elaborado por McKinsey. Además, aporta cifras: el retraso digital puede erosionar hasta en un 35% el beneficio de una entidad financiera, mientras que los ganadores verán como crece un 40% o más. En definitiva, la ventaja competitiva será para los bancos que logren dotarse de estrategias digitales rentables. Leer más

Comparado con cosas peores de los últimos tiempos, el hallazgo de una vulnerabilidad en el software instalado por defecto en ciertos portátiles de Lenovo, puede parecer peccata minuta, pero de mi infancia salesiana creo recordar que también los pecados veniales requieren arrepentimiento y propósito de enmienda: no estoy seguro de que Lenovo haya cumplido de buena gana con este precepto. O quizá fuera una tormenta en un vaso de agua, que ya se ha disipado.

Los primeros indicios aparecieron en foros de usuarios de Lenovo en enero: Superfish, un programa de «descubrimiento visual» preinstalado en máquinas vendidas desde septiembre, resultó ser una amenaza potencial. En la práctica, no se han denunciado casos reales de sustracción de datos de usuarios, pero los expertos sostienen que es posible, sobre todo en conexiones wifi desde hoteles y cafeterías. A una pregunta sobre la disparidad de pareceres entre Lenovo y las empresas de seguridad, el CTO de Lenovo, Peter Hortensius, ha respondido: «no voy a polemizar con quienes trabajan con modelos teóricos, pero estoy de acuerdo en que es algo que no merecería estar en nuestros PC». Como líder mundial del mercado de PC «nuestra reputación está por encima de todo», concluye la frase.

El objetivo proclamado por Lenovo de la preinstalación de Superfish es «mejorar la experiencia de shopping de los consumidores». Es obligado creerle, porque la mínima comisión que la compañía recibe por instalar el adware no puede ser la causa de su adopción. Parece más bien un fallo de discernimiento, provocado por el deseo de diferenciar sus productos de los de la competencia, añadiendo por defecto aplicaciones de terceros.

Superfish ha sido desarrollado por una empresa californiana-israelí que tiene otras aplicaciones de reconocimiento de imágenes en buscadores móviles, es un software que se define como auxiliar de navegación. Cuando el usuario busca un producto, lanza una búsqueda de imágenes en la web para presentarle productos idénticos o similares que podría adquirir en más de 70.000 tiendas y compara para optimizar (sic) su decisión de compra», explica la documentación. Lenovo se defiende así: «no rastrea los datos de los usuarios ni vigila su comportamiento ni Lenovo acumula información alguna».

Como tecnología, Superfish no es nada excepcional, y representa una categoría muy usual, no peligrosa en sí misma pero casi siempre intrusiva: ¿quién no ha visto su PC invadido por una extensión del navegador o del buscador, que supuestamente optimiza su experiencia online?. Según los expertos de Microsoft que lo han analizado, el problema no está en el adware propiamente dicho sino en que genera automáticamente un certificado raíz que podría ser aprovechado por intrusos para acceder a los datos de navegación. Es lo que se conoce como ataque de intermediario [man-in-the-middle] que interfiere las conexiones seguras HTTPS. El certificado así creado se aloja profundamente en Windows, y un hacker podría – eventualmente – usarlo como firma SSL en otros sitios web ilegítimos, sin que el usuario se entere.

No ha ocurrido, sostiene Hortensius en su entrevista al Wall Street Journal. Pero podría ocurrir, motivo por el que el veterano CTO admite que «deberíamos haber sido más diligentes» antes de instalarlo. En todo caso, aclara, «los usuarios nos han hecho ver que no era útil, y dejamos de instalarlo en enero». Microsoft Defender y McAfee [ahora Intel Security] han sido los primeros en presentar herramientas para detectar y eliminar tanto la aplicación como el certificado generado por ella. Lenovo ha lanzado la suya el pasado fin de semana.

Corregida la torpeza, por tanto. Pero no creo que pueda decirse que muerto el perro se acabó la rabia. Ha sido un episodio desgraciado, que se inscribe entre otros – conocidos o por conocer – de creatividad irresponsable, en el mejor caso de ingenuidad, por parte de algún desarrollador. La revista Forbes, que hace dos años clasificó a Superfish en el puesto 64 de su ranking de «promesas empresariales americanas», ha descubierto ahora que Adi Pinhas, su fundador y CEO de la empresa, «tiene una larga historia de violaciones de la privacidad mediante la diseminación de adware, spyware, malware y crapware«. Qué miedo me dan los que me quieren ´optimizar`.

Tanto se ha malgastado la palabra innovación por mor de la mercadotecnia, que resulta aleccionador visitar la sede de los Bell Labs, un monumento vivo a la historia de la innovación verdadera en los últimos 90 años. Fue en 1925 cuando se abrió este centro de I+D [expresión inexistente entonces] en el que por cierto nunca llegó a trabajar Graham Bell, muerto tres años antes. La secuencia evoca cambios en el  tejido empresarial: del monopolio de las telecomunicaciones a su segregación forzada, y de esta a una recomposición dictada por el mercado. Apartados del extinto sistema Bell, los laboratorios fueron la base de Lucent Technologies, que en 2006 se fusionaría con la francesa Alcatel. Leer más

Ha florecido estos días otro rumor sobre Apple, cosa que suele ocurrir cuando se acerca el Mobile World Congress. Pero esta vez el rumor no tiene que ver con dispositivos móviles, a menos que uno acepte que no hay artefacto más móvil que un coche. Dicen que Apple se prepara para saltar los muros de la industria de automoción, y algunos entusiastas han interpretado que podría haber iniciado el desarrollo de un coche bajo su marca. La bola nace de una información según la cual la compañía habría fichado unos cuantos ingenieros de esa industria para ponerlos a trabajar en un laboratorio secreto. Francamente, no significa que vayan a diseñar un supuesto iCar, pero algo significa y nos quedaremos con las ganas de saberlo.

En lugar de especular con futuribles, lo oportuno sería centrarse en unos hechos verificables. Según un informe de Boston Consulting Group, el coste de las partes electrónicas de un vehículo medio era del 20% de su valor en 2004 y del 40% diez años después, y la mayor parte de ese 40% es suministrado por cuatro compañías (Bosch, Delphi, Denso y Continental) proveedoras de los ´fabricantes` que todos conocemos. Un coche de gama media-alta lleva en sus tripas un centenar de microprocesadores y al menos 100 millones de líneas de código, dice el informe de BCG. No digamos el prototipo de coche autónomo de Google, que es producto de la colaboración entre el software de la casa y una multitud de sensores de Bosch.

La conclusión es que, para un ingeniero de software, un coche contemporáneo tiene mucho parentesco con un ordenador – definido como dispositivo electrónico cuyas funciones reposan en software y aplicaciones – cuyo hardware se compone de módulos fabricados bajo contrato en alguna parte del mundo y ensamblados por los dueños de la marca.

Si seguimos el razonamiento de BCG, no estaremos lejos de aquella frase de Marc Andreessen que hace tres o cuatro años causó sensación: «el software se está comiendo el mundo». Henry Ford y Aldred Sloan (fundador de GM) se revolverían en sus tumbas, pero dos noticias recientes nos cuentan que Ford ha abierto un centro de I+D en Silicon Valley y General Motors ha contratado 800 programadores. O sea que el titular ´Silicon Valley contra Detroit` es ingenioso pero esencialmente falaz, aunque como tuit seguro que cuela. El tema da para mucho más, así que volveremos sobre él otro día.

Samsung no ha dicho qué procesador equipará el Galaxy S6, que presentará el 1 de marzo, en vísperas de la apertura del Mobile World Congress de Barcelona. Pero es posible que sea el nuevo Exynos 7420, cuya producción masiva ya ha iniciado la filial de semiconductores de la compañía coreana. Una de sus singularidades es que se fabrica con proceso de 14 nanómetros FinFET tridimensional. Hay más motivos para detenerse en la noticia. Hasta ahora sólo Intel tenía capacidad industrial para producir chips con esa tecnología que mejora significativamente el proceso de 20 nanómetros plano que Samsung usa para sus procesadores que equipan para el Galaxy Alpha y el Galaxy Note 4. Esto no es todo. Leer más

Si no fuera una metáfora socorrida, me atrevería a decir que las noticias sobre ataques cibernéticos nos muestran que es tarea imposible hacer que el genio vuelva a la botella de la que escapó en mala hora. Una tras otra, vamos conociendo – demasiado tarde – las andanzas de hackers, mercenarios y servicios de espionaje que parecen no tener fin ni arreglo. Kaspersky Lab, una de las empresas líderes en el mercado de la ciberseguridad, ha publicado un tremebundo informe en el que desenmascara una APT (amenaza avanzada persistente) bautizada como Equation Group. El documento describe en detalle más de una década de ataques contra objetivos diplomáticos y vulnerabilidades emparentadas con Stuxnet, aquel malware presuntamente desarrollado al alimón por Estados Unidos e Israel para desbaratar los planes nucleares de Irán.

Eugene Kaspersky, el extrovertido fundador de la compañía, ha precisado que no está en condiciones de confirmar si Equation es una creación de la NSA, porque sus expertos «sólo se ocupan del análisis técnico, no de atribuir la autoría del malware». Aunque no identificó a los autores, los describió como «uno de los más grupos de ciberatacantes más sofisticados del mundo y la amenaza más avanzada que hemos visto». La lista de países afectados por la prolongada infección incluye Irán, Rusia, Afganistán, Pakistán, India y China, y en menor escala Indonesia y Vietnam. Los objetivos han sido organismos gubernamentales, empresas de telecomunicaciones, energía, petróleo e investigación nuclear. Este malware contiene un mecanismo de autodestrucción, que ha dificultado su detección durante los 14 años que se estima ha permanecido activo.

El instrumento del que se han valido los atacantes ha sido la inoculación de un código malicioso en el firmware de discos duros de la mayoría de marcas conocidas: Western Digital, Seagate, Toshiba, Maxtor, Samsung e Hitachi.  Al alojarse en el firmware, el código no puede ser escaneado y sobrevive al reformateado del disco. Sólo el fabricante podría removerlo, según el informe. Las distintas variantes del virus creada a lo largo de los años reciben nombres como DoubleFantasy, Fanny, GreyFisch y Equation Drug, además del celebérrimo y letal Stuxnet. Todos siguen vivos, bien agazapados en alguna parte.

El célebre cazador ruso de virus se ha apuntado otro tanto al desvelar que una red de hackers formada por individuos de Rusia, Ucrania, otros países del este de Europa y China, se han valido desde 2013 de un software que Kaspersky llama Carbanak para sustraer dinero de un centenar de bancos – no especificados – en 30 países. Prácticamente toda la banca rusa ha sido víctima del engaño, pero ninguna entidad estadounidense. El monto total se estima en 1.000 millones de dólares, segmentado en paquetes inferiores a 10 millones «para no llamar la atención» (sic), y sin afectar a cuentas de clientes. A un solo banco le sustrajeron 7,3 millones reprogramando el sistema de sus cajeros automáticos, y a otro 10 millones apoderándose de su plataforma online. Se trata de una banda de ladrones de bancos «muy creativa», según Sergey Golovanov, director de investigación de Kaspersky Lab. A ver qué sorpresa nos depara su próximo boletín.