El servicio de iCloud ofrecido por Apple, que permite el almacenamiento en la nube de la información personal y las fotos de los usuarios de iPhone y iPad, tiene una “falla de seguridad fundamental”, según le dijo a la BBC un experto en informática.
Alan Woodward, profesor de protección informática de la Universidad de Surrey, en Reino Unido, comentó que la vulnerabilidad aparentemente detectada equivale a cerrar la puerta principal con doble llave pero dejar la ventana abierta.
iCloud ha estado bajo escrutinio intenso en los últimos días tras el robo y posterior filtración de fotos personales de varias actrices, entre ellas la ganadora del Oscar Jennifer Lawrence.
A raíz de este incidente ha circulado información con respecto a la efectividad de un mecanismo de seguridad conocido como “verificación en dos pasos”, recomendado por Apple, particularmente después de la filtración.
Algunos especialistas en el área indican que esta herramienta se puede burlar usando un programa que permite acceder a las copias de respaldo que hay en iCloud.
El software requiere que los hackers sepan cual es el correo electrónico y la contraseña de los usuarios, y por el momento no hay evidencia de que haya sido utilizado en las filtraciones.
-
La “verificación en dos pasos” funciona cuando Apple envía un código corto que la persona tiene que utilizar para poder acceder a su cuenta y ofrece un nivel adicional de protección.
Pero al incentivar el uso de este mecanismo, tras reconocer que algunos usuarios fueron víctimas de ataques específicos en su contra, Apple estaría ofreciendo una “sensación de seguridad falsa”, de acuerdo con la opinión de un especialista en el área.
Desde Rusia
La revista tecnológica Wired fue la primera en reportar que el programa informático ElcomSoft, elaborado por una compañía rusa, se estaba mencionando en un grupo de discusión de hackers en internet como una herramienta útil para infiltrar cuentas en iCloud.
-
El software, comercializado para el uso de organismos de seguridad, ofrece acceso al contenido almacenado virtualmente sin necesidad de que quien lo usa esté en posesión del iPhone o iPad en cuestión.
El sistema que utiliza ese software fue diseñado por el programador ruso Vladimir Katalov. No se sabe si ese mismo fue empleado por quienes robaron las fotos de Jennifer Lawrence desnuda.
Pero Katalov le dijo a la BBC que, aunque no podía estar 100% seguro, creía que su programa había sido utilizado en esa filtración porque es el único capaz de hacer lo que se hizo.
Añadió que si bien a su compañía no le “gusta mucho” que el software se utilice con fines ilegales, lo ha vendido tanto a particulares como a organismos oficiales.
Seguro para pagos
Mikko Hypponen, experto en seguridad, le dijo a la BBC que el problema radica en el proceso de “verificación en dos pasos” que, a su juicio, fue implementado únicamente para proteger la tarjeta de crédito del usuario.
“Cuando se quieren ver las fotos o se desea recuperar la copia de respaldo de la información, no se necesita la verificación. Con ElcomSoft puedo usar mi computadora para obtener lo que está almacenado en el archivo virtual, algo que tú no puedes hacer”, indica.
En la explicación que da Apple con respecto al funcionamiento de la “verificación en dos pasos”, no menciona nada sobre fotos, contactos o eventos en el calendario, elementos que también se respaldan en iCloud.
Pero según información que maneja la BBC, si sirve para evitar que hackers utilicen el mecanismo de “¿olvidó su contraseña?” que está en el sitio web de Apple.
Sin embargo, Hypponen considera que al concentrarse en la protección de pagos e identificaciones, Apple se equivocó al definir qué es lo que le importa a los usuarios.
“Muchos preferirían que les robaran los datos de la tarjeta de crédito y no fotos privadas”, afirma.
Grietas en las armaduras
Otros expertos en seguridad consideran que la recomendación de Apple con respecto al sistema de “verificación en dos pasos” es engañoso.
“Es peligroso sugerir que este mecanismo protege, obviamente no es el caso. La armadura tiene rendijas que podrían aprovecharse”, señala David Emm, de Kaspersky, una empresa de seguridad informática.
Considera que, si bien la seguridad es importante para Apple, le preocupa el hecho de que ElcomSoft ha estado en el mercado desde 2012.
“Creo que esta falla se ha presentado en varias ocasiones, por lo que me sorprende que la empresa no haya reforzado el mecanismo de protección”.
Hypponen añadió que iCloud no era el único servicio con errores en sus sistemas. “No sabemos si esa es la única forma de ingresar. Es muy probable que quienes no utilizan los productos de Apple también se conviertan en víctimas”.