Screen Shot 2014 09 02 at 3 47 35 PM

Tras revelarse que las fotos de docenas de celebridades fueron publicadas online por hackers y de asociarse el “leak” o filtración a iCloud, el servicio de la nube de Apple, la empresa se ha puesto a investigar de qué manera pudo haber sucedido. Ya hemos publicado cómo proteger nuestra información y fotos en una serie de tips.

 Como señalamos en el artículo inicial, habían dos posibles escenarios: 

  • Un aprovechamiento de una debilidad en la seguridad de iCloud
  • Social Engineering o Ingeniera Social, donde, a través de la unión de cabos sueltos, se consigue adivinar la contraseña. (por ej: responder a preguntas de seguridad como “tu color favorito”, o “colegio de la infancia”; datos personales bastante vulnerables de una figura pública, pues es conocimiento general). 

Al parecer, según las investigaciones de la empresa, se trata de lo segundo. Es decir, no ha habido un acceso indebido a iCloud. Según Apple:

Queríamos proveerlos con una actualización de nuestra investigación en el robo de imágenes de ciertas celebridades. Cuando nos enteramos del robo, estuvimos indignados e inmediatamente movilizamos a los ingenieros de Apple para descubrir la fuente. La privacidad y seguridad de nuestros usuarios es de gran importancia para nosostros. Después de más de 40 horas de investigación, hemos descubierto que ciertas cuentas de celebridades fueron comprometidas por un ataque muy dirigido en nombres de usuario, contraseñas, y preguntas de seguridad, una práctica que se ha vuelto muy común en Internet. Ninguno de los casos que investigamos es resultado de ningún tipo de brecha en los sistemas de Apple, incluyendo iCloud o Find My iPhone. Estamos continuando el trabajo con las fuerzas de la ley para identificar a los criminales involucrados.

Para protegerse frente a este tipo de ataque, recomendamos a los usuarios a siempre utilizar una contraseña segura y activar la verificación de dos pasos. 

 

Así que ahí lo tienen. Al parecer, el problema se originó, como describíamos, de un inteligente uso de información públicamente disponible. Vamos, seguramente muchos de ustedes conocen el color favorito de J. Law, o incluso hasta el nombre de su profesor favorito, este tipo de información.

Ayer recomendamos y explicamos cómo activar la verificación de dos pasos y generar contraseñas seguras, como una manera de evitar este tipo de ataques, así que les recomiendo que le den un vistazo. al artículo. Tengan siempre en cuenta que el ID de nuestro teléfono, el que usamos como cuenta principal, debe estar protegido siempre por la verificación de dos pasos.

  • Liquendroid

    Las preguntas de seguridad para el iCloud son fijas, al crear la cuenta elijes 3 de 18 (agrupadas en grupos de 6). Yo creo que para un personaje público, del cual es posible hayan publicado un libro con la biografía “autorizada”, las respuestas son fáciles de obtener. El truco está en como escribir las respuestas, pues es posible que sean medianamente identificables, como en mi caso en el entorno familiar y de amigos cercanos.

    Creo que ayudaría a la seguridad de iCloud que las preguntas fueran personalizables y no fijas.

    • dan_cant pee

      es sabido hace tiempo que a apple no le importa la seguridad foros especializados de seguridad lo verifican, en paginas rusas por 1500$ te venden apps para hackear totalmente IOSX,pq creen que el servicio secreto prohibe a obama usar iphone(obvio el comercio nunca lo publico ni lo haria..en una cumbre del tibet les regalaron USBs a los defensores del tiber y volaron las macbooks

  • Checo

    Fue por fuerza bruta, flaco. No puedes decir que “Al parecer se trata de lo segundo”; a lo mucho decir “fue un poco de ambos puntos”. Y claro, parece que no es un “fallo de seguridad” que puedan probar 30,000 contraseñas seguidas sin que te notifiquen. Idiotas los de Apple en no empeñarse en hacer poner contraseñas seguras, en lugar de culpar a los usuarios.

  • Mauricio

    Por la cantidad de personas que fueron hackeadas, yo investigaría si alguien pudo obtener la información desde dentro. A nivel comercial, es menos dañino decir que un hacker obtuvo la información de cientos de cuentas con ingeniería social, wikipedia y demas, pero convengamos que es mucho mas fácil obtener esto desde un acceso interno.

  • dan_cant pee

    no seas parcial con apple, es conocido de hace tiempo que icloud no bloquea los intentos fallidos de password, si quieres mantener tu blog deberias ser imparcial, mas portales indican lo contrario de lo que dices y los expertos en seguridad nunguno defiende a apple,dime como no hackean las cuentas de gmail de las estrellas?