• De como descubrí que un Mac aparentemente robado no lo era

    LaptopRobadaUnos días atrás me tocó lidiar con un par de ordenadores Mac (un MacBook Pro y un iMac) bloqueados por iCloud y por EFI. El tío que me los trajo me explicó que el dueño anterior de los dos Macs se los había bloqueado después de haberle pagado en metálico. Lógicamente, antes de sospechar que lo habían timado, lo primero que pensé fue que los Macs eran robados y que me estaba vendiendo un cuento. El tío vio mi cara de sospecha y me explicó todo. Lo que me contó fue lo siguiente:

    Quedó con el antiguo propietario por whatsapp y acordaron que, de gustarle ambos productos, el trato se haría en metálico allí donde quedaran. Se encontraron en el parking de un centro comercial y el intercambio se hizo sin problemas. El nuevo propietario no sospechó de nada porque el número de serie de las cajas se correspondía con el que había en cada uno de los Macs. El dueño anterior le explicó que no tenía la factura pero, como de todos modos ya había pasado más de un año, la garantía había vencido. En USA, donde habían sido comprados originalmente, la garantía de los productos electrónicos es de 1 año, por lo que, en principio, la factura no tendría ningún sentido. Los teclados de ambos Macs eran teclados norteamericanos por lo que hasta aquí iba todo bien. Llegó a casa y comprobó que, como le había dicho el antiguo dueño, ambos sistemas estaban instalados y las cuentas por defecto no tenían contraseñas. El dueño simplemente, y al parecer con prisas, había borrado todos sus archivos y entregado ambos Macs con las cuentas como estaban. Le dio la impresión de que el tipejo habría contraído alguna deuda de juego o alguna mierda por la que necesitaba dinero urgente para pagar algo. De ahí el trato en metálico. El nuevo propietario, después de comprobar todo, decidió que al día siguiente se pondría a formatear y re-instalar todo. Y así fue. A la mañana siguiente, previo a formatear, se conectó a internet con ambos ordenadores (vaya uno a saber por qué) y ambos ordenadores se le apagaron de golpe. Al encenderlos nuevamente le salió un mensaje diciendo que los ordenadores estaban bloqueados por iCloud. Uno de ambos ponía algo como «este Mac ha sido robado». Pensó que lo habían timado. Le escribió al tío para contarle y para su sorpresa el tío le respondió. El antiguo propietario le dijo que le devolviera los MacBooks y que llegarían a algún tipo de acuerdorelacionado con la devolución del dinero, pero él me dijo que no pensaba hacerlo. Que había comprado las cosas «legalmente» y que el otro tío le quería joder. También me dijo que había metido hasta 1700 números manualmente en el MacBook Pro, intentando desbloquearlo, pero que no había podido y que era super tedioso porque cada ciertas combinaciones el sistema ya no le dejaba meter más.

    Después de soltarme toda la perorata le pregunté que ¿qué quería que hiciera con los Macs? Me dijo que quería que se los desbloqueara. Y que me pagaba 100€ por ello. Evidentemente le dije que no lo iba a hacer porque no tenía la garantía de que lo que me estaba contando fuera verdad. Me mostró entonces los mensajes de whatsapp del contacto que supuestamente le había vendido los macs y me juró y perjuró que todo era cierto. Me pareció raro que el nombre que le había asignado al contacto fuese en realidad su número de teléfono. Pero luego recordé que mucha gente «vaga» hace eso y le concedí el privilegio de la duda. Privilegio que de por sí era un privilegio grande, dado que lo normal sería no creerle. Se me ocurrió entonces que podía tener una forma de comprobar que lo que me decía era verdad y acepté el trato. Le dije que pasara después de unos días.

    Me puse inmediatamente a trabajar. Desbloqueé ambos dispositivos e inicié sesión en los dos dado que, efectivamente, las cuentas estaban sin contraseñas. Una vez en ambos escritorios, abrí una terminal en cada uno con la intención de acceder a la información de iCloud que ambos pudieran almacenar. Ejecuté entonces:

    nvram -p

    Sabía a ciencia cierta que parte de la información de iCloud del antiguo propietario tendría que estar en la NVRAM. El output me mostró mucha información. Entre otras el backlight-level, el boot-gamma, los argumentos de booteo, el volúmen del sistema (SystemAudioVolume), la identificación del disco bootcamp (BootCampHD), la información del controlador bluetooth (bluetoothInternalControllerInfo), algunas cositas interesantes como el fmm-mobileme-token-FMM, el idioma previo del sistema (prev-lang), la partición de booteo EFI (efi-boot-device), el nombre asignado al ordenador (fmm-computer-name), y muchas otras. Pero desde luego, lo más útil fue el valor de la cadena fmip.icloud.comUtokenU, porque fue allí donde encontré la dirección de mail de la cuenta de iCloud a la que estaban asociados los Macs. Y ambos coincidian!. Ya sé que tú, usuario premium, pensarás que con el mail de iCloud, es decir, con el mail del ID de Apple poco se puede hacer dado que pueden ser números y letras aleatorias y que no se puede obtener la info del vendedor sólo mirando la primera parte del mail. Sin embargo, sabiendo leer entre líneas el resultado de la NVRAM se puede ver el nombre y los apellidos del usuario asociado a esa cuenta.

    Si miras a partir de la clave fmip.icloud.comUtokenU lo primero que vas a encontrar legible es efectivamente el mail de la cuenta de Apple. Pero si sigues mirando verás que hay tres claves compiladas en la NVRAM que responden a los nombres InUseOwnerDisplayNameInUseOwnerFirstNameInUseOwnerLastName. No resulta muy difícil descubrir que las letras de los nombres y apellidos se encuentran «fácilmente» escondidos después de un %00, de forma que, por ejemplo, NiPeGun sería:

    %00N%00i%00P%00e%00G%00u%00n

    Independientemente de que más adelante, y si tienes mucha suerte, en el output de la NVRAM te puedan salir los apellidos de una forma más legible, es conveniente seguir esa forma de desencriptar los nombres ocultos en el output porque es a prueba de fallos.

    Total, que el método funcionó y me sirvió para descubrir el mail del ID de iCloud del antiguo propietario al igual que sus nombres y apellidos. Los datos coincidían en ambos Macs por lo que, hasta ese punto, el nuevo propietario no me había mentido. Sabía entonces que ambos ordenadores pertenecían a la misma persona. Lo que me quedaba por saber era si habían sido robados o no. ¿Pero, cómo averiguarlo? Pues gracias a que, por suerte, aún gozo de una buena memoria fotográfica y me acordaba del número de whatsapp del viejo propietario. Bueno, en realidad aquí hay un a y un b:

    a – No es que me acordara del nombre del contacto horas después. En realidad cuando mi «cliente» se fue, me apresuré a anotarlo en papel porque sabía que podría necesitarlo.
    b – Aún así nada me garantizaba que el número fuera efectivamente del viejo propietario. Podría ser de cualquier persona, incluso de la novia de mi cliente. Podrían estar compinchados y podrían haber tramado eso para hacerme caer por si yo quería llamar para comprobar o por cualquier cosa. Lo mismo atendía ese móvil una persona haciéndose pasar por quien no era, etc, etc.

    Pero el punto b era como «muy James Bond» (cree James Bond que de su condición todos son). Es que, joder, ¿no era mucha casualidad que el nombre del contacto sea su número? Y yo que no me fío ni de mi sombra… Me pregunté entonces ¿cómo llamar al propietario original sin traicionar a mi cliente? ¿Y si mi cliente me ha puesto esa trampa para ver si yo lo traicionaba? Le di varias vueltas al asunto y saqué algunas conclusiones:

    Si lo que me contó mi cliente es todo mentira no creo que sepa los datos de la cuenta de Apple del propietario original. Y muchos menos aún sus nombres y apellidos correctos. Pero si lo que me contó es verdad, aún sabiendo su nombre, tampoco creo que sepa los apellidos, dado que, según lo que me había contado, ni sabía ni había hecho nada en el sistema para averiguarlo. Sólo había conectado los Macs a internet momentáneamente. Eso me daba mucha ventaja, así que lo que hice fue lo siguiente:

    Me logueé en la cuenta de Skype que uso para llamar a Argentina. Es decir, la que tiene crédito para cualquier tipo de llamadas. Llamé a mi móvil para ver que número aparecía en la identificación de llamadas. Una vez que comprobé que aparecía un número raro llamé al viejo propietario. Cuando respondió le dije:

    • Hola ¿Jorge Gómez? (Nombre y apellidos ficticios)
       – No, soy Jorge Fernández – me respondió. (Evidentemente. Cambié adrede el apellido y él me dijo el correcto. Así que genial!  Era hombre; era el de la cuenta y respondió al móvil que aparecía en el contacto de los mensajes de whatsapp)
    • Ah! – Le dije – Debo haber leído mal. Te llamaba por un anuncio de unos Macs que tienes a la venta. (Si eran robados, aquí saltaría fijo. Si me decía que todavía los tenía disponibles se pisaría dado que demostraría que los quiere recuperar y re-vender y que sería un timador. Si no eran robados y no los quería recuperar para re-vender, admitiría que tenía esos anuncios y que efectivamente ya los había vendido)
    • Lo siento. Los he vendido hace unos días – me dijo. (No se los habían robado!)
    • Vaya. Lo siento. Gracias de todos modos. Y colgué

    Supongo que después de colgar se habría preguntado el por qué del número tan largo desde el que lo llamaron o por qué le había dicho yo el apellido si normalmente en ninguna plataforma de anuncios aparecen los apellidos de los vendedores. Pero eso jamás lo sabrá 🙂 También supongo que tú mismo te estarás preguntando de qué me sirvió la llamada si al final terminó «aparentemente» no pisándose. Y aquí es donde yo debería decir:

    • Elemental, mi querido Watson.

    En vez de decirme simplemente «ya los he vendido» o «ya no los tengo», me dijo: «los he vendido hace unos días». Por lo que era temporalmente imposible que mi cliente se los haya robado a alguien. Fue entre semana. Mi cliente tenía las cajas. Además el tío que compra unos Macs que valen tanto dinero (aunque los haya comprado baratos) nos los descuida en los primeros días (ni en las primeras semanas o meses) Por lo que estaba claro: el vendedor era un capullo hijo de puta, que tendría alguna deuda o lo que sea, y que le había hecho una putada a mi cliente. Por lo que se los devolví desbloqueados y me gané mis 100€. No sin antes preguntarle:

    • ¿Por qué no fuiste a la policía con todos los mensajes y tal?
    • ¿No has leído las noticias? – Respondió con otra pregunta al mejor estilo gallego. – Apple no le quiere dar las contraseñas de un iPhone al FBI. Y eso es América. Imagínate lo que harían en esta chapuza de país.

    Respetando las diferencias entre una plataforma (ordenador) y otra (móvil), entendí la analogía. No le corregí el error. Aunque casi le corrijo el otro: América es un continente, no un país. Pero entonces recordé aquella famosa frase de los raperos estadounidenses, es decir, de los raperos oriundos de «Estados Unidos de América», que dice así:

    Pick the money and shut up.

    Y pensé:

    • Cuanta razón tienen!

    ENSEÑANZA: Si no vais a pagar por transferencia bancaria siempre firmad un contrato de compraventa para reflejar la compra. Incluso aunque el producto no tenga garantía. Tendréis una prueba en caso de que os hagan los mismo y aún así afirmen que han sido robados.


    1 comentario “De como descubrí que un Mac aparentemente robado no lo era

    Deja una respuesta