Apple sostén que as filtracións non teñen nada que ver cun fallo nos seus sistemas, aos que, asegura, os hackers non accederon ilegalmente. Apunta a que o problema está nas claves débiles coas que se protexen as contas
03 sep 2014 . Actualizado á 14:09 h.A onda de filtracións de fotografías e vídeos íntimos de famosos a través de Internet converteu en tema de conversación da opinión pública a seguridade dos servizos de almacenamento de datos na nube, unha cuestión que, desde o principio, os consumidores sempre miraron con receo.
As imaxes de actrices como Jeniffer Lawrence, Rihanna, Kirsten Dunst, Scarlett Johansson ou Selena Gomez correron como a pólvora o pasado domingo nas redes sociais. A primeira -a que máis repercusión tivo- ameazou xa con demandar a calquera medio que publique as súas «fotografías roubadas». Pero, quen é o culpable? Son os medios de comunicación responsables da difusión deste material privado? Trátase só dunha fenda na seguridade do servizo de almacenamento? canta culpa teñen os usuarios que gardan as súas fotos na nube?
Adiviñáronse as claves?
Os primeiros tanteos apuntan a un posible buraco de seguridade, aínda por confirmar, no sistema de iCloud de Apple. Este servizo permite aos usuarios almacenar datos no mundo virtual, sen ocupar espazo na memoria real dos aparellos electrónicos. A compaña da mazá atópase investigando o sucedido, pero, inicialmente, descarta que o fallo se localice na vulnerabilidade dos seus sistemas. «Ningún dos casos que investigamos produciuse como resultado dun acceso ilegal aos nosos sistemas, incluído iCloud e Find my iPhone», informou a factoría tecnolóxica este martes. O ataque produciuse mediante o emprego de «nomes de usuario, claves e preguntas de seguridade» dos afectados, mantén Apple, «unha práctica que se converteu en moi frecuente na internet». Este tipo de incidencias, engade, ocorren por protexer mal as contas, utilizar claves débiles e doados de descifrar e non activar o método de verificación de dous pasos.
As imaxes tomaron posicións nunha mensaxe no foro 4chan, colgadas por unha persoa (ou grupo) anónimo. Aseguraba que foron obtidas das contas de iCloud de Lawrence e outras famosas como Kate Upton e Mary Elizabeth Winstead. Os expertos en seguridade barallan varios escenarios posibles. Unha das opcións apunta a que os hackers obtiveron o correo electrónico das vítimas e lograsen enganar ao servizo de iCloud para solicitar unha clave nova adiviñando a pregunta de seguridade. Outra, segundo indicou á axencia EFE Jesús Molina, consultor de seguridade independente, sostén que os piratas atopasen unha vulnerabilidade que permitise o acceso a cóntaas, por exemplo, a través da aplicación Find my iPhone (Atopa o meu teléfono), que permite o rastreo e bloqueo a distancia dun teléfono perdido ou roubado. A maioría dos servizos en liña teñen un número determinado de intentos para introducir a clave pero, segundo descubriron recentemente dous enxeñeiros rusos do grupo de informático Defcon Group DCG#7812, este non era o caso desta aplicación, algo que xa foi reparado.
«Moita xente ten cousas na nube sen sabelo»
Molina considera que «non é unha esaxeración» a desconfianza desatada entre algúns usuarios tras este incidente porque, en realidade, «non sabemos onde van os nosos datos». Ademais, «moita xente ten cousas na nube sen sabelo», xa que hai teléfonos móbiles intelixentes nos que determinados servizos, como os de localización, están activados por defecto, e cre que as compañas «xogan con nosa vagancia e ignorancia». «Cústanos ir ata a configuración, ver se está activado, se non está activado...», explica Molina, que considera que este incidente «vai axudar á xente a que vexa o que ten».
En canto ás explicacións de Apple, o experto coincide en que se utilizan claves «moi inseguras», pero recoñece que «é moi difícil para unha persoa do montón dicir: vou usar un password que nunca usei antes ou vou usar un moi complicado». Considera que como usuarios «teriamos que implicarnos máis» e ler todas as condicións que as compañas nos presentan á hora de baixarnos unha aplicación. Por parte das empresas, «debería existir unha forma para saber que datos está a enviar o teu teléfono, de forma doado e sinxela; que estamos a mandar e a que fonte».
Quen está detrás do ataque?
En canto ao autor ou autores do ataque informático, Molina cre que o fixo alguén que buscaba notoriedade, xa que «se vendese estas fotos a publicacións obtivese máis diñeiro». «Probablemente é un mozo ou un grupo de mozos que non tiña moita idea do que estaban a facer, conseguírono e logo non o pensaron moito», engadiu. O caso é que a lista de famosas hackeadas foi publicada por un usuario anónimo con ID «ffR+At7b» e «UggsTju5». A súa identidade é ata o de agora descoñecida. Descoñécese de momento se se trata dun único usuario o que está detrás desta filtración. Un deles, segundo a consultora Grayling, podería ser un mozo de 26 anos de Lawrenceville, Xeorxia, cuxa identidade xa se fixo pública. Admitiu tratar de vender en Reddit fotos de espidos por 100 dólares, baixo o pseudónimo BluntMastermind, pero nega ser o responsable desta filtración. No entanto, parece que ten suficientes coñecementos (ao ser administrador de servidores) e publicou pantallazos con gran similitude aos de 4chan (aínda que defende que son imaxes trucadas).
As contas de Twitter que publicaron as imaxes foron clausuradas e algunhas das afectadas ameazaron con emprender accións legais contra estes usuarios.
Que poden facer os usuarios para non ser hackeados?
Os expertos recomendan -levan facéndoo xa tempo- utilizar diferentes claves para as distintas contas e servizos que teñamos. Se compartimos claves en varias contas, polo menos cambiar a clave de Apple. Ademais, é importante elixir unha clave complicada, mesturando letras e números, e evitar claves evidentes como datas de nacemento, números de teléfono ou a clásica palabra «inicio». E, para rematar, lembrar que a nube non é inviolable e, consecuentemente, aplicar o sistema de autenticación de dobre factor sempre que sexa posible. Respecto a iCloud, pódese evitar a subida automática de fotos desde un dispositivo Apple á nube desabilitando nos axustes do teléfono este servizo.