Por
CHRISTOPHER MIMS
Le creo al presidente ejecutivo de Apple Tim Cook cuando dice que realmente quiere proteger a los dueños de sus iPhones. Gran parte del acceso que tuvieron recientemente hackers a fotos de celebridades desnudas a través de copias de seguridad en la nube, copias que quizás no sabían que existían, sugiere que este ataque funcionó en parte porque nunca se le ocurrió a nadie en Apple que esas fotos serían tan comunes como para atraer a los hackers.
Pero estoy siendo caritativo. También es igualmente posible que el liderazgo de Apple o sus equipos de seguridad decidieron hace mucho tiempo que era mejor ahorrarle a la empresa el gasto y el esfuerzo de crear un perímetro de seguridad más sólido alrededor de iCloud, con la esperanza de que nunca se convirtiera en un problema.
Me siento cómodo escribiendo algo tan cínico porque casi todos los expertos en seguridad con los que hablé mientras investigué para esta columna estaban sorprendidos de que Apple haya dejado por tanto tiempo que los usuarios de su servicio de respaldo en iCloud para iPhone sean tan vulnerables.
Y antes de que alguien desestime esto como un tema que afecta sólo a los famosos, recuerde que evidencia reunida por especialistas en seguridad que se infiltraron en los muros de mensajes de los hackers donde se intercambiaban estas fotos de desnudos descubrieron que no sólo estaban vulnerando la privacidad de celebridades, sino también de personas comunes y corrientes. A menudo, la gente era señalada por alguien cercano, alguien sin destrezas técnicas que simplemente quería invadir su privacidad, y que luego se asociaba con un hacker.
No sabemos cuán a menudo pasaba eso; podrían ser unas pocas decenas de personas o podrían ser miles. Pero cuando cada vez más de nuestras vidas es almacenado en nuestros teléfonos inteligentes y respaldado en la nube —incluyendo, potencialmente, datos financieros y médicos— todas esas copias de seguridad de los contenidos de nuestros smartphones en la nube se volverán exponencialmente más atractivos para los hackers. Se convertirán en conductos para fraude financiero, robo de identidad, venganza y locura en general. Deberían ser al menos tan seguras como nuestras cuentas bancarias y direcciones de email primarias, y hasta ahora los ajustes que hizo Apple en iCloud no están a la altura de las medidas que seguridad que protegen esas otras cuentas.
Para entender por qué, a continuación, una explicación de una de las formas en que el respaldo de los iPhones en iCloud —aunque no se activa por default— sigue siendo vulnerable. Hay muchas rutas para acceder a una cuenta en línea, pero a menudo la mejor forma es ignorar la "puerta delantera" —la página que pide la contraseña— e intentar con una "puerta trasera". La más común es el proceso de recuperación de contraseña.
Para renovar una contraseña perdida de iCloud, los usuarios deben contestar "preguntas de seguridad" que contestaron antes. Todos las hemos creado alguna vez, y suelen tener respuestas como el nombre de su primer novio o novia, o el nombre de soltera de su madre. El problema es que con los medios sociales, mucha de esta información es pública o se consigue con un pedido de amistad, y estas preguntas son muy inseguras y una ruta favorita de los hackers para penetrar cuentas.
Algunas firmas envían un enlace para reestablecer la contraseña al email del usuario. Pero algunos, como Apple, simplemente permiten que los usuarios reestablezcan sus contraseñas directamente, sin recibir un email.
Es aún peor, claro, si usted es una figura pública. Y no es que esta vulnerabilidad sea nueva. Un ex hacker que participó en el ataque al teléfono de Paris Hilton en 2005 me dijo que el equipo ingresó a través de las preguntas de seguridad. "Una vez que conseguimos el nombre de su perro, conseguimos todo", dijo.
Apple, y muchos otros, no deberían permitir recuperar la contraseña a través de preguntas de seguridad, dice Chris Gaun, director de marketing de Apprenda, que ayuda a bancos y empresas en la lista de Fortune 100 a conectarse de forma segura a sus actuales sistemas de tecnología de la información en la nube. Una alternativa podría ser crear un "turno de asesoramiento" que conecte al usuario con un equipo de apoyo al cliente, como en las cuentas de Google, GOOGL -0.91% por ejemplo.
En respuesta a los ataques a iCloud, Tim Cook anunció el viernes dos cambios en la seguridad de iCloud. El primero es que los usuarios ahora recibirán alertas cuando alguien intente conectarse a su cuenta de iCloud o cambiar su contraseña, o cuando se conecte un aparato nuevo. Pero como afirmó el investigador de seguridad Ashkan Soltani, alertar a los usuarios no los protegerá del ataque. El motivo es simple: un atacante puede descargar el contenido de una cuenta de iCloud en sólo minutos.
Apple también protegerá las cuentas de iCloud con seguridad de "dos factores", que ya estaba disponible para proteger las cuentas de iTunes, asociadas con tarjetas de crédito. Eso es bueno para quienes se toman en serio su cyberseguridad, pero la mayoría de la gente no se molestará en activarlo. Además, la seguridad de dos factores no protegerá de un ataque para reestablecer la contraseña hasta que los usuarios actualicen al sistema operativo iOS 8, que será lanzado esta semana.
Así llegamos a la pregunta más fundamental del ataque a iCloud: prevemos que Apple sea la mejor en cuanto a hardware y software. ¿Pero está lista para igualar esa calidad en términos de seguridad? Anteriormente, los servicios en la web no fueron la especialidad de Apple y es difícil no ver este ataque como un producto de esa debilidad histórica.
¿Cómo puede Apple justificar una seguridad por debajo del estándar y a la vez posicionarse como una marca de lujo, como se rumorea con el lanzamiento de teléfonos más grandes y costosos, más un reloj iWatch que casi con seguridad será respaldado en la nube?
Los bancos funcionan de forma rutinaria con la asunción de que los usuarios son ingenuos y merecen protección. Lo mismo suele ser verdad en Google. Tener en cuenta el lugar desde donde se ingresa a la cuenta, la hora, el tipo de aparato y otros factores les permite a estas empresas presentar obstáculos extra para posibles intrusos, o incluso bloquear cuentas con comportamiento sospechoso.
Lo que queda en evidencia con iCloud es que los contenidos de nuestros smartphones ahora no son menos sensibles que los contenidos de nuestras cuentas bancarias. Si Apple no puede establecer un nivel alto de seguridad para todos sus usuarios, la empresa no merece acceso a las categorías cada vez más amplias de datos importantes que ahora ingieren los teléfonos inteligentes y que, por automáticamente envían a la nube.
CHRISTOPHER MIMSLe creo al presidente ejecutivo de Apple Tim Cook cuando dice que realmente quiere proteger a los dueños de sus iPhones. Gran parte del acceso que tuvieron recientemente hackers a fotos de celebridades desnudas a través de copias de seguridad en la nube, copias que quizás no sabían que existían, sugiere que este ataque funcionó en parte porque nunca se le ocurrió a nadie en Apple que esas fotos serían tan comunes como para atraer a los hackers.
Pero estoy siendo caritativo. También es igualmente posible que el liderazgo de Apple o sus equipos de seguridad decidieron hace mucho tiempo que era mejor ahorrarle a la empresa el gasto y el esfuerzo de crear un perímetro de seguridad más sólido alrededor de iCloud, con la esperanza de que nunca se convirtiera en un problema.
Me siento cómodo escribiendo algo tan cínico porque casi todos los expertos en seguridad con los que hablé mientras investigué para esta columna estaban sorprendidos de que Apple haya dejado por tanto tiempo que los usuarios de su servicio de respaldo en iCloud para iPhone sean tan vulnerables.
Y antes de que alguien desestime esto como un tema que afecta sólo a los famosos, recuerde que evidencia reunida por especialistas en seguridad que se infiltraron en los muros de mensajes de los hackers donde se intercambiaban estas fotos de desnudos descubrieron que no sólo estaban vulnerando la privacidad de celebridades, sino también de personas comunes y corrientes. A menudo, la gente era señalada por alguien cercano, alguien sin destrezas técnicas que simplemente quería invadir su privacidad, y que luego se asociaba con un hacker.
No sabemos cuán a menudo pasaba eso; podrían ser unas pocas decenas de personas o podrían ser miles. Pero cuando cada vez más de nuestras vidas es almacenado en nuestros teléfonos inteligentes y respaldado en la nube —incluyendo, potencialmente, datos financieros y médicos— todas esas copias de seguridad de los contenidos de nuestros smartphones en la nube se volverán exponencialmente más atractivos para los hackers. Se convertirán en conductos para fraude financiero, robo de identidad, venganza y locura en general. Deberían ser al menos tan seguras como nuestras cuentas bancarias y direcciones de email primarias, y hasta ahora los ajustes que hizo Apple en iCloud no están a la altura de las medidas que seguridad que protegen esas otras cuentas.
Para entender por qué, a continuación, una explicación de una de las formas en que el respaldo de los iPhones en iCloud —aunque no se activa por default— sigue siendo vulnerable. Hay muchas rutas para acceder a una cuenta en línea, pero a menudo la mejor forma es ignorar la "puerta delantera" —la página que pide la contraseña— e intentar con una "puerta trasera". La más común es el proceso de recuperación de contraseña.
Para renovar una contraseña perdida de iCloud, los usuarios deben contestar "preguntas de seguridad" que contestaron antes. Todos las hemos creado alguna vez, y suelen tener respuestas como el nombre de su primer novio o novia, o el nombre de soltera de su madre. El problema es que con los medios sociales, mucha de esta información es pública o se consigue con un pedido de amistad, y estas preguntas son muy inseguras y una ruta favorita de los hackers para penetrar cuentas.
Algunas firmas envían un enlace para reestablecer la contraseña al email del usuario. Pero algunos, como Apple, simplemente permiten que los usuarios reestablezcan sus contraseñas directamente, sin recibir un email.
Es aún peor, claro, si usted es una figura pública. Y no es que esta vulnerabilidad sea nueva. Un ex hacker que participó en el ataque al teléfono de Paris Hilton en 2005 me dijo que el equipo ingresó a través de las preguntas de seguridad. "Una vez que conseguimos el nombre de su perro, conseguimos todo", dijo.
Apple, y muchos otros, no deberían permitir recuperar la contraseña a través de preguntas de seguridad, dice Chris Gaun, director de marketing de Apprenda, que ayuda a bancos y empresas en la lista de Fortune 100 a conectarse de forma segura a sus actuales sistemas de tecnología de la información en la nube. Una alternativa podría ser crear un "turno de asesoramiento" que conecte al usuario con un equipo de apoyo al cliente, como en las cuentas de Google, GOOGL -0.91% por ejemplo.
En respuesta a los ataques a iCloud, Tim Cook anunció el viernes dos cambios en la seguridad de iCloud. El primero es que los usuarios ahora recibirán alertas cuando alguien intente conectarse a su cuenta de iCloud o cambiar su contraseña, o cuando se conecte un aparato nuevo. Pero como afirmó el investigador de seguridad Ashkan Soltani, alertar a los usuarios no los protegerá del ataque. El motivo es simple: un atacante puede descargar el contenido de una cuenta de iCloud en sólo minutos.
Apple también protegerá las cuentas de iCloud con seguridad de "dos factores", que ya estaba disponible para proteger las cuentas de iTunes, asociadas con tarjetas de crédito. Eso es bueno para quienes se toman en serio su cyberseguridad, pero la mayoría de la gente no se molestará en activarlo. Además, la seguridad de dos factores no protegerá de un ataque para reestablecer la contraseña hasta que los usuarios actualicen al sistema operativo iOS 8, que será lanzado esta semana.
Así llegamos a la pregunta más fundamental del ataque a iCloud: prevemos que Apple sea la mejor en cuanto a hardware y software. ¿Pero está lista para igualar esa calidad en términos de seguridad? Anteriormente, los servicios en la web no fueron la especialidad de Apple y es difícil no ver este ataque como un producto de esa debilidad histórica.
¿Cómo puede Apple justificar una seguridad por debajo del estándar y a la vez posicionarse como una marca de lujo, como se rumorea con el lanzamiento de teléfonos más grandes y costosos, más un reloj iWatch que casi con seguridad será respaldado en la nube?
Los bancos funcionan de forma rutinaria con la asunción de que los usuarios son ingenuos y merecen protección. Lo mismo suele ser verdad en Google. Tener en cuenta el lugar desde donde se ingresa a la cuenta, la hora, el tipo de aparato y otros factores les permite a estas empresas presentar obstáculos extra para posibles intrusos, o incluso bloquear cuentas con comportamiento sospechoso.
Lo que queda en evidencia con iCloud es que los contenidos de nuestros smartphones ahora no son menos sensibles que los contenidos de nuestras cuentas bancarias. Si Apple no puede establecer un nivel alto de seguridad para todos sus usuarios, la empresa no merece acceso a las categorías cada vez más amplias de datos importantes que ahora ingieren los teléfonos inteligentes y que, por automáticamente envían a la nube.
No hay comentarios:
Publicar un comentario
Gracias por opinar