Una falla de Apple habría facilitado la filtración de las fotos de famosas desnudas
Las fotos privadas de varias celebridades, como la actriz ganadora del Oscar Jennifer Lawrence y la modelo Kate Upton, entre muchas otras, invadieron la web después de publicarse por primera vez en el foro 4Chan.
El suceso despertó la atención de expertos en seguridad informática a causa de la masividad del robo. Es relativamente común encontrar despechados que publican imágenes de sus ex, pero casi único un hecho como este, donde al menos fueron publicadas las fotos privadas de 100 famosas.
¿Qué sucedió? Las miradas apuntan a la seguridad de iCloud, el sistema de almacenamiento online de Apple para sus dispositivos Mac y iOS.
De acuerdo con The Next Web, los hackers que revelaron las fotos habrían aprovechado una vulnerabilidad en el sistema de Find My iPhone, la funcionalidad de iCloud que permite rastrear un equipo cuando éste fue robado o perdido.
Los hackers habrían usado un código malicioso para conducir un ataque de fuerza bruta para adivinar nombres de usuario y contraseña. Gracias a la falla de seguridad en Find My iPhone, los atacantes probaron numerosas veces hasta conseguir los datos de forma exitosa (y sin alertar a los dueños de los Apple ID vulnerados) y así es como accedieron a las imágenes en cuestión.
En otras palabras, el código maligno probaba repetidamente caracteres hasta encontrar la contraseña sin que el sistema de Apple alertara sobre el suceso al dueño de la cuenta que se intentaba vulnerar.
Según el creador del código malicioso, publicado en GitHub, la vulnerabilidad en el sistema de Apple fue arreglada en las primeras horas del lunes, luego de que se conocieran las imágenes.
La herramienta estuvo disponible al menos durante dos días antes de que su existencia trascendiera en el sitio Hacker News. Ahora, Find My iPhone se bloquea tras cinco intentos fallidos, y Apple dijo que investiga el suceso para determinar responsabilidades.
Ésta no es la primera vez que iCloud queda en el ojo de la tormenta. A fines de mayo, hackers australianos dijeron que habían tenido acceso a una serie de perfiles del servicio. En esa oportunidad, los atacantes habrían sacado ventaja de una vulnerabilidad de Find My iPhone para bloquear iPhone, iPad y Mac e impedir el acceso a los dispositivos por parte de sus dueños.
Si bien Apple dijo en esa oportunidad que sus servidores no habían sido el blanco de los ataques, la seguridad de iCloud quedó en la mira. El servicio fue criticado por varios por ser, además, poco claro respecto de su funcionamiento y sus medidas de seguridad.
La seguridad en la nube
iCloud es empleado para guardar y sincronizar fotos, calendarios y contactos entre los dispositivos Apple de los usuarios.
El sistema hace backup de forma periódica para que, en caso de que los usuarios tengan problemas con sus dispositivos o deban resetearlos en caso de pérdida o robo, no pierdan sus archivos. Se puede elegir desde el dispositivo qué datos se quieren sincronizar con la nube.
Al igual que en cualquier otro servicio basado en internet, el último eslabón de seguridad es el usuario. Tomarse unos minutos para no caer en contraseñas obvias o simples es una necesidad, así como asegurarse de mantenerlas privadas y no repetirlas para distintos sitios.
Apple exige a los usuarios que tengan una contraseña fuerte, de ocho letras o más, con al menos una mayúscula, una minúscula y un número. También ofrece verificación de dos pasos para elApple ID, con la cual los usuarios deben ingresar, además de una contraseña, un código numérico enviado por SMS al celular.
El almacenamiento en la nube demanda una cuota de «responsabilidad extra» por parte de los usuarios, ya que implica que sus datos pueden estar en distintos dispositivos.
«El mayor problema radica en que lo único que nos valida para acceder a esos servicios es lacontraseña, un dato relativamente simple de robar, no al proveedor, sino al dueño de la cuenta. Los proveedores están comenzando a implementar sistemas de doble factor de validación, que ayudan a mitigar este problema, pero aún no es algo de uso común ni sencillo para todos», explicó a Infobae Joel Bo, gerente de Operaciones de Trend Argentina.
En igual sentido se manifestó Pablo Rodríguez Romeo, socio de CYSI Peritajes Informáticos: «Las plataformas en la nube son tan seguras como métodos de autenticación se utilicen. En esto cumple un rol central la contraseña. Si utilizamos contraseñas fácilmente vulnerables, más fácil será el ingreso de un hacker. Lo aconsejable es contar con contraseñas más robustas. ¿Esto qué quiere decir? Que cuenten con un segundo nivel de autenticación».
Más allá de las contraseñas, en lo que respecta a fotos almacenadas en dispositivos móviles de Apple, es necesario tener en cuenta que para borrar una imagen hay que hacerlo desde el Carrete de imágenes (almacenamiento local en el dispositivo) y también desde Mis Fotos en streaming, para que el archivo no pueda sincronizarse a través de iCloud. La funcionalidad para compartir las fotos en streaming desde el iPhone o iPad debe ser activada por el usuario en el equipo.
«Cuando sacas fotos con tu dispositivo iOS o importas fotos desde una cámara digital a tu computadora, iCloud carga automáticamente las fotos nuevas de Mis Fotos en streaming en iCloud y envía las fotos mediante push a tus otros dispositivos», detalla Apple en su página de ayuda.
«Cuando eliminas una imagen de Mis Fotos en streaming en un dispositivo iOS, una Mac o una PC mediante el Panel de control de iCloud, esa foto se elimina de la vista Mis Fotos en streaming de todos tus dispositivos», explica la empresa de la manzanita, a la vez que recuerda: «Las copias de fotos de Mis Fotos en streaming que hayas guardado en el Carrete de un dispositivo iOS […] no se borrarán cuando elimines fotos de Mis Fotos en streaming».
«No podemos perder de vista que estamos confiando nuestra información a un tercero, quien nos está brindando sus métodos de seguridad como guardianes de nuestra información», remarcó Rodríguez Romeo.
Bo insistió con que «la nube da mayor seguridad en cuanto a la persistencia de nuestros datos a lo largo del tiempo y la conveniencia del acceso 24×7 desde cualquier lugar. Pero hay que recordar que lo único que nos protege de accesos no autorizados es la contraseña. Por lo tanto demanda más cuidado en cómo elegirla y como protegerla».
Ambos especialistas coincidieron en que se debe dar prioridad al uso de la verificación en dos pasos en los servicios que el usuario emplee.
«Es importante concientizarse sobre las técnicas de ingeniería social más comunes para evitar ser engañados para relevar la contraseña o datos que puedan llevar al hacker a adivinarla», concluyó Bo.
Deja una respuesta