jennifer-lawrence-v3 (1)

iCloud, el servicio de nube y sincronización de Apple, no es tan seguro como parecía y este problema ha nuevamente elevado la discusión sobre la seguridad y vulnerabilidad de los servicios de nube después de la filtración de fotos de Jennifer Lawrence desnuda, entre otras celebridades.

El día de ayer domingo, cientos de imágenes de celebridades fueron filtradas en la Web, aparentemente “hackeadas” por una o más personas, del servicio de Apple, iCloud. Entre las personas afectadas, tenemos a Jennifer Lawrence, Kirsten Dunst, Lea Michele, Kate Upton, Victoria Justice, Arianna Grande, Kaley Cuoco entre otras, y fueron publicadas en 4chan, y luego distribuidas a lo largo y ancho de la web.

 

Cómo se pudo haber hackeado las cuentas de todas estas Celebridades?

Inicialmente se sospechaba que se había hecho uso de un poco de ingeniería social – es decir, usar la lógica y pistas, además de atar cabos como describimos al detalle en nuestro artículo sobre cómo hackear Facebook (y evitar que lo hagan) – para sacar las contraseñas. Después de todo, al ser figuras públicas, muchos detalles de sus vidas son conocidas. Cosas como “color favorito” o “colegio de la infancia”, datos que pueden revelar la contraseña en sitios o portales no muy seguros (o con preguntas tontas). Y si esa persona utiliza la misma contraseña en otros servicios (como suele suceder muy a menudo), pues Bingo.

Sin embargo, por temas de tiempos y sucesos podría estar apuntando a que el ataque fue uno de “fuerza bruta” contra los servidores de Apple, según TNW. Por Fuerza Bruta, nos referimos a un ataque perpetrado por los atacantes donde se intenta de manera constante, averiguar el password al lanzar millones de combinaciones de palabras del diccionario y números (otro tip: no usen contraseñas como “carro5672”) hasta dar con la adecuada.

Screen-Shot-2014-09-01-at-10.49.17-pm

Esta vulnerabilidad se hallaba en el servicio de “Find My Phone”, un componente de iCloud de Apple. Es decir, al intentar ingresar a iCloud, un atacante podía hacerlo a través de Find My iPhone. Una protección frente al ataque de fuerza bruta básicamente implica restringir el número de intentos de “adivinar” la contraseña, protección que al parecer, no había sido implementada por Apple hasta hace poco. Aquí tienen una presentación al respecto

Qfhbjr41

 

Es decir que cabe verdaderamente una posibilidad de que el ataque se haya efectuado de esta manera.

 

Por qué iCloud?

El iPhone es el smartphone más popular entre celebridades, como sucede con todo producto de Apple. Y Apple tiene una función sumamente útil, llamada Photo Stream, que nos permite guardar, de manera segura, las fotos en su servicio hasta un máximo de 1,000 imágenes.

Es decir, en cualquier otro iPhone, iPad o Mac con iPhoto donde ingresemos con nuestro iCloud, podremos ver las últimas 1,000 fotos tomadas, de manera remota, porque Apple las mantiene en sus propios servidores. Antes de que esto suceda, es necesario conocer la contraseña de iCloud (nuestro Apple ID), además de aprobar al nuevo equipo desde otro dispositivo. Pero es un mensaje fácil de ignorar / olvidar.

Así que, sabiendo la contraseña y con un poco de suerte, es posible acceder a las últimas 1,000 fotos tomadas con el iPhone, que es probablemente de donde se obtuvieron todas estas imágenes. Aquí el problema está en que muchas de estas fotos que quizás consideramos seguras por estar en nuestro teléfono, terminan estando también online debido a que las estamos sincronizando con un servicio de la nube, como sucede también en Android y Google+ Photos, o Windows Phone y el backup automático de OneDrive. Ahora que muchos estamos haciendo uso de estos servicios de la nube para respaldar nuestra información.

Iremos actualizando la información en el blog cuando tengamos los verdaderos detalles del hecho

 

Para dejarlos con un par de  recomendaciones:

  • Asegúrense de proteger sus cuentas personales más importantes (Apple ID, Google Account, Microsoft Account) con una contraseña fuerte y, de ser posible, con la verificación de dos pasos.
  • Además, también tengan en cuenta que la mayoría de cosas que hacemos en nuestro teléfono probablemente tengan algún tipo de conexión a la web, ya se para backups (como el caso de esta filtración), o algún componente social. Así que si planean tomarse selfies calatos, por favor, háganlo con cámaras sin ningún tipo de conexión a internet (o Polaroids) y mantengan ese SD card o foto bajo 7 llaves.