Actualidad

La filtración de cientos de fotos íntimas de famosas pone en duda la seguridad de iCloud

 

Poco antes de la publicación de las imágenes trascendió un fallo en el servicio de localización de teléfonos de Apple que permitía realizar ataques de fuerza bruta

Captura de pantalla utilizada por el presunto hacker como prueba de autenticidad.
2
SEP 2014

La comidilla de esta semana es sin duda la publicación de toda una fototeca íntima que desnuda literal y figuradamente a algunas de las estrellas más famosas de Hollywood. Todo comenzó cuando en uno de los foros de la comunidad 4Chan un usuario anónimo aseguró tener en su posesión una ingente cantidad de fotografías comprometedoras tomadas por conocidas actrices, entre ellas la oscarizada y actual it girl Jennifer Lawrence.

Aparentemente, la persona responsable de esta filtración trató de lucrarse solicitando ingresos mediante BitCoin tras publicar una lista con las famosas a cuyas fotografías había accedido, así como varias vistas previas a modo de adelanto y como garantía de autenticidad. Poco después, los álbumes comenzaron a inundar las redes sociales fotográficas más populares de Internet.

Ariana Grande, Mary Elizabeth Winstead e Yvonne Strahovski son algunas de las actrices afectadas por esta filtración, pero también la futbolista Hope Solo y la modelo Kate Upton. Algunas de ellas ya han reconocido la autenticidad de las fotografías, tomadas en un contexto íntimo para sus parejas.

El aparente denominador común de todas las víctimas es que utilizaban el servicio de almacenamiento en la nube de Apple, donde los usuarios de un iPhone pueden almacenar de forma automática las imágenes capturadas con sus teléfonos. Poco antes de que estallara el escándalo, el desarrollador detrás de la cuenta de Twitter @hackappcom desveló un importante fallo de seguridad en la plataforma en la nube de Apple que podía haber facilitado el robo de las fotos.

Este agujero de seguridad, descubierto a través de un script de Python publicado en el repositorio GitHub, permitía realizar ataques de fuerza bruta contra el servicio de localización de teléfonos de Apple. Este tipo de argucias permiten lanzar un gran número de contraseñas aleatorias o tomadas de un diccionario hasta dar con la clave correcta, para después acceder a las funciones de iCloud.

Lo normal es que el sistema reconozca dichos ataques y bloquee el acceso tras varios errores, pero aparentemente este hack no era detectado por Apple ni llegaba a alertar a los usuarios legítimos de las cuentas.

Este agujero ya ha sido parcheado por Apple, que, envuelta en el escándalo, ya ha abierto una investigación para averiguar si el fallo de seguridad en iCloud fue realmente el agujero por el que se escaparon las imágenes. Lo delicado de la situación no ha impedido que algunas compañías hayan querido hacer leña del árbol caído. Sin ir más lejos, Samsung ha aprovechado el escándalo para promocionar el acceso mediante huella dactilar del Galaxy S5, que permite crear carpetas privadas con protección biométrica.

No hay certeza de que un fallo en iCloud sea el origen

A pesar de que numerosos medios no han tardado en señalar un fallo de seguridad en iCloud como origen de la filtración, lo cierto es que todavía no está claro cómo fueron extraídas las imágenes en cuestión. De hecho, la mayoría de filtraciones similares hasta la fecha no han sido posibles gracias al descuido de los proveedores de servicios, sino al exceso de confianza de los propios usuarios.

La ingeniería social sigue siendo el método preferido de hackers y pillos para obtener fotografías comprometedoras. Un caso ejemplar fue la filtración en 2011 de varias imágenes tomadas por Scarlett Johansson, Mila Kunis y Christina Aguilera. Christopher Chaney, detenido por el FBI, confesó no haber utilizado técnicas especialmente complejas para acceder a dichos álbumes.

En lugar de utilizar herramientas especializadas, Chaney leía la prensa rosa en busca de información que pudiera servirle para adivinar una contraseña. Una vez descubierta la contraseña y accedido al buzón personal de su objetivo, se limitaba a introducir un redireccionamiento a otra cuenta de correo electrónico para recibir cualquier nueva contraseña en caso de que la víctima cambiara de clave.

En otras ocasiones algunos hackers han utilizado la técnica del wardriving, desplazándose en busca de redes Wi-Fi poco protegidas a fin de tener la información necesaria para lograr sus fines. En cualquier caso, los ataques directos contra posibles debilidades en las plataformas de almacenamiento en la nube de Apple, Google o Microsoft son virtualmente inéditos, al menos con este objetivo.

Sea cual sea el origen de las filtraciones, una contraseña robusta y una profilaxis mínima es la mejor protección contra este tipo de ataques.

El uso de combinaciones aleatorias de letras y números (o frases de un libro escogidas al azar, si no se tiene tan buena memoria) y evitar utilizar contraseñas privadas en espacios públicos o de seguridad dudosa bastan para prevenir la mayoría de los intentos no autorizados para acceder a una cuenta personal. Desactivar la subida automática de vídeos e imágenes a la nube también puede ser una opción muy recomendable.

0
Comentarios


  • Comenta este artículo

    No estás identificado

    Entrar