El escándalo tras la difusión de fotos de desnudos de cien celebridades puso en el ojo de la tormenta a Apple. Según el hacker que reveló las imágenes de artistas como Jennifer Lawrence, las mismas fueron obtenidas gracias a una falla de seguridad en iCloud, el sistema de almacenamiento en la nube de la empresa fundada por Steve Jobs.
Ayer, un hacker publicó decenas de imágenes de Jennifer Lawrence y otras celebridades en el sitio 4chan.org. Rápidamente se redistribuyeron a través de sitios y redes sociales. La representante de la artista salió a decir que el hackeo se trata de una “flagrante violación a la privacidad” de J-Law.
¿Pero cómo fue que hackearon el móvil de Jannifer y de otras estrellas de Hollywood? Según explica el sitio especializado The Next Web, el o los hackers que atacaron los teléfonos celulares lo hicieron a través de lo que se conoce como ibrute, brute force attack o ataque de fuerza bruta. Se trata de un ataque de tipo criptográfico que permite obtener información encriptada como las passwords.
El hacker habría atacado iCloud, el sistema donde dispositivos como iPhone y iPads suben a la nube de manera automática –si es que el usuario lo tiene así seteado- las fotos y videos que va capturando.
Según Owen Williams de The Next Web, el pirata habría aprovechado una vulnerabilidad en el servicio Find My iPhone –que permite ubicar el móvil cuando está perdido- para poder colarse en iCloud y robar miles de archivos. Entre las víctimas se encuentran además de Lawrence, estrellas como Wynona Ryder, Kim Kardashian, Avril Lavigne, Hillary Duff, Lea Michelle, Rihana y Selena Gómez, que ya había sido víctima de otro hacker en el pasado.
Los ataques de fuerza bruta consisten en utilizar un script malicioso que dispara contraseñas repetidamente hasta descubrir la correcta. A partir de ahí, el hacker se movió por las cuentas de las celebridades como si fuera ellas misma y obtuvo todo lo que quiso.
Find my iPhone debería haber enviado una alerta ante este tipo de ataques, pero por algún motivo la misma no se activó.
La herramienta con la que se habría llevado a cabo el hackeo, fue publicada dos días antes por el sitio Hacker News y estaba alojada en GitHub, una plataforma en la que los programadores comparten código. La herramienta, según le explicó el autor a The Next Web, se trata de un script Python. En programación de computadoras, un script es un programa o secuencia de instrucciones que se interpretan o son llevadas a cabo a través de otro programa y no por el procesador de la computadora. En el caso de Phyton se trata de un lenguaje de programación muy sencillo que permite escribir conceptos en muy pocas líneas de código.
Según @hackappcom, el autor de la herramienta, Apple logró solucionar el problema a las 3.20 am de hoy. “El fin de la diversión, Apple acaba de parchear el bug de FindMyIphone. Así ibrute no es aplicable más”, dijo en su cuenta de Twitter.
El propio @hackappcom se encargó de publicar una galería de fotos en la que explica las fallas de seguridad de iCloud, antes de que Apple detectara y solucionara el problema.
Sin embargo, en algunos países de Europa, como Italia por ejemplo, usuarios reportan que el problema sigue vigente. Un usuario publicó un link en el que muestra como luego de 30 intentos de hackear una cuenta, aún no ha sido bloqueada.
UnivisionNoticias.com se intentó comunicar con Apple para que hiciera su descargo, pero hasta el momento no se ha recibido respuesta. Según el diario The Independent, lograron comunicarse con la empresa que se negó a hacer comentarios sobre la difusión de las fotos y cómo se habría logrado.
Ahora, cuando alguien intenta acceder repetidamente a una cuenta de iCloud, a la quinta prueba, Apple deshabilita el ID del usuario. “Tu Apple ID ha sido deshabilitado por cuestiones de seguridad. Para restablecer tu cuenta resetea tu password en iforgot.apple.com”, dice el mensaje que desde esta madrugada reciben los usuarios.
Esta no es la primera vez que iCloud se encuentra en el ojo de la tormenta. En el pasado, fallas de seguridad permitieron que hackers bloquearan los dispositivos de ciertos usuarios y pidieran dinero a cambio de liberarlos.
Aunque Apple aún no ha confirmado si este ha sido el procedimiento a través del cual se obtuvieron las fotos de las celebridades, usuarios anónimos en 4chan.org insisten en que ese ha sido el modo en que se hackearon los dispositivos de las estrellas.
Un factor que podría haber ayudado al hacker a acceder a las cuentas de las famosas son las passwords extremadamente sencillas.
¿Cómo protegerse de este tipo de ataques? Una forma es tener claves muy robustas y difíciles de adivinar. Para ello, es necesario que las passwords:
• Sean al menos de 8 caracteres
• Contengan al menos una letra
• Tengan al menos una letra en mayúscula
• Posean al menos un número
• No tengan múltiples caracteres idénticos
• No tengan los mismos caracteres que el nombre de usuario
• No sea una password común
• Cambiarla una vez al año
Los consejos los da el mismo @hackappcom, el creador de la herramienta que habría utilizado el hacker para cometer lo que sería el mayor ataque cibernético contra celebridades de la historia.
