Apple sostiene que las filtraciones no tienen nada que ver con un fallo en sus sistemas, a los que, asegura, los hackers no han accedido ilegalmente. Apunta a que el problema está en las contraseñas débiles con las que se protegen las cuentas
03 sep 2014 . Actualizado a las 14:09 h.La oleada de filtraciones de fotografías y vídeos íntimos de famosos a través de Internet ha convertido en tema de conversación de la opinión pública la seguridad de los servicios de almacenamiento de datos en la nube, una cuestión que, desde el principio, los consumidores siempre han mirado con recelo.
Las imágenes de actrices como Jeniffer Lawrence, Rihanna, Kirsten Dunst, Scarlett Johansson o Selena Gomez corrieron como la pólvora el pasado domingo en las redes sociales. La primera -la que más repercusión ha tenido- ha amenazado ya con demandar a cualquier medio que publique sus «fotografías robadas». Pero, ¿quién es el culpable? ¿Son los medios de comunicación responsables de la difusión de este material privado? ¿Se trata solo de una brecha en la seguridad del servicio de almacenamiento? ¿cuánta culpa tienen los usuarios que guardan sus fotos en la nube?
¿Se adivinaron las contraseñas?
Los primeros tanteos apuntan a un posible agujero de seguridad, aún por confirmar, en el sistema de iCloud de Apple. Este servicio permite a los usuarios almacenar datos en el mundo virtual, sin ocupar espacio en la memoria real de los aparatos electrónicos. La compañía de la manzana se encuentra investigando lo sucedido, pero, inicialmente, descarta que el fallo se localice en la vulnerabilidad de sus sistemas. «Ninguno de los casos que hemos investigado se produjo como resultado de un acceso ilegal a nuestros sistemas, incluido iCloud y Find my iPhone», informó la factoría tecnológica este martes. El ataque se produjo mediante el empleo de «nombres de usuario, contraseñas y preguntas de seguridad» de los afectados, mantiene Apple, «una práctica que se ha convertido en muy frecuente en Internet». Este tipo de incidencias, añade, ocurren por proteger mal las cuentas, utilizar contraseñas débiles y fáciles de descifrar y no activar el método de verificación de dos pasos.
Las imágenes tomaron posiciones en un mensaje en el foro 4chan, colgadas por una persona (o grupo) anónimo. Aseguraba que fueron obtenidas de las cuentas de iCloud de Lawrence y otras famosas como Kate Upton y Mary Elizabeth Winstead. Los expertos en seguridad barajan varios escenarios posibles. Una de las opciones apunta a que los hackers obtuvieron el correo electrónico de las víctimas y lograran engañar al servicio de iCloud para solicitar una contraseña nueva adivinando la pregunta de seguridad. Otra, según indicó a la agencia EFE Jesús Molina, consultor de seguridad independiente, sostiene que los piratas encontraran una vulnerabilidad que permitiera el acceso a las cuenta, por ejemplo, a través de la aplicación Find my iPhone (Encuentra mi teléfono), que permite el rastreo y bloqueo a distancia de un teléfono perdido o robado. La mayoría de los servicios online tienen un número determinado de intentos para introducir la contraseña pero, según descubrieron recientemente dos ingenieros rusos del grupo de informático Defcon Group DCG#7812, este no era el caso de esta aplicación, algo que ya ha sido reparado.
«Mucha gente tiene cosas en la nube sin saberlo»
Molina considera que «no es una exageración» la desconfianza desatada entre algunos usuarios tras este incidente porque, en realidad, «no sabemos adonde van nuestros datos». Además, «mucha gente tiene cosas en la nube sin saberlo», ya que hay teléfonos móviles inteligentes en los que determinados servicios, como los de localización, están activados por defecto, y cree que las compañías «juegan con nuestra vagancia e ignorancia». «Nos cuesta ir hasta la configuración, ver si está activado, si no está activado...», explica Molina, que considera que este incidente «va a ayudar a la gente a que vea lo que tiene».
En cuanto a las explicaciones de Apple, el experto coincide en que se utilizan contraseñas «muy inseguras», pero reconoce que «es muy difícil para una persona de a pie decir: voy a usar un password que nunca he usado antes o voy a usar uno muy complicado». Considera que como usuarios «tendríamos que implicarnos más» y leer todas las condiciones que las compañías nos presentan a la hora de bajarnos una aplicación. Por parte de las empresas, «debería existir una forma para saber qué datos está enviando tu teléfono, de forma fácil y sencilla; qué estamos mandando y a qué fuente».
¿Quién está detrás del ataque?
En cuanto al autor o autores del ataque informático, Molina cree que lo hizo alguien que buscaba notoriedad, ya que «si hubiera vendido estas fotos a publicaciones hubiera obtenido más dinero». «Probablemente es un chico o un grupo de chicos que no tenía mucha idea de lo que estaban haciendo, lo consiguieron y luego no lo pensaron mucho», añadió. El caso es que la lista de famosas hackeadas fue publicada por un usuario anónimo con ID «ffR+At7b» y «UggsTju5». Su identidad es hasta ahora desconocida. Se desconoce de momento si se trata de un único usuario el que está detrás de esta filtración. Uno de ellos, según la consultora Grayling, podría ser un joven de 26 años de Lawrenceville, Georgia, cuya identidad ya se ha hecho pública. Ha admitido haber tratado de vender en Reddit fotos de desnudos por 100 dólares, bajo el seudónimo BluntMastermind, pero niega ser el responsable de esta filtración. No obstante, parece que tiene suficientes conocimientos (al ser administrador de servidores) y ha publicado pantallazos con gran similitud a los de 4chan (aunque defiende que son imágenes trucadas).
Las cuentas de Twitter que han publicado las imágenes han sido clausuradas y algunas de las afectadas han amenazado con emprender acciones legales contra estos usuarios.
¿Qué pueden hacer los usuarios para no ser hackeados?
Los expertos recomiendan -llevan haciéndolo ya tiempo- utilizar diferentes claves para las distintas cuentas y servicios que tengamos. Si compartimos claves en varias cuentas, al menos cambiar la clave de Apple. Además, es importante elegir una contraseña complicada, mezclando letras y números, y evitar claves evidentes como fechas de nacimiento, números de teléfono o la clásica palabra «inicio». Y, por último, recordar que la nube no es inviolable y, consecuentemente, aplicar el sistema de autenticación de doble factor siempre que sea posible. Respecto a iCloud, se puede evitar la subida automática de fotos desde un dispositivo Apple a la nube desabilitando en los ajustes del teléfono este servicio.