Los riesgos de las nuevas tecnologías

Un robo masivo de fotos cuestiona la seguridad de la nube

Un 'hacker' difunde desnudos que varias famosas se han tomado con el teléfono móvil. Las imágenes tenían copia en iCloud, el servicio de almacenamiento de Apple

CARMEN JANÉ

02·09·14 | 03:55

0
Noticia guardada en tu perfil
Ver noticias guardadas

Desde un inocente selfie en el probador de una tienda a un desnudo en el baño o la foto de los genitales de su pareja. La intimidad de varias actrices, modelos y cantantes estadounidenses como Jennifer Lawrence, Kristen Dunst, Kate Upton, Rihanna o Hillary Duff, ha quedado expuesta después de que un desconocido colgara en un foro de internet fotos y vídeos que guardaban en sus móviles y que, en principio, no habían pensado compartir. Todas, según explicaban en la web donde han publicado las imágenes, usaban iCloud, el servicio de almacenamiento y copias de seguridad en internet para dispositivos de Apple, como el iPhone y el iPad, cuya seguridad podría haber sido burlada por delincuentes informáticos.

El nude leaks, como ya le llama la prensa estadounidense al caso, ha puesto en cuestión el sentido de la privacidad que tienen los usuarios sobre sus asuntos, pero también la seguridad de los servicios de almacenamiento en internet. La llamada nube (cloud, en inglés) consiste en delegar la custodia de los datos (correos, fotos, vídeos, documentos, favoritos del navegador) a una empresa (llámese Google, Apple, Microsoft, Dropbox, Mega, Evernote, Adobe o Box) que los guarda en un servidor en algún lugar del planeta y a los que el usuario accede gracias a unas contraseñas desde una web.

NEGOCIO BOYANTE

Son negocios boyantes (se cobra a partir de un cierto espacio ocupado) y cada vez más populares por la comodidad que suponen para el usuario, que no ha de esperar a abrir el dispositivo que los guarda físicamente para acceder a la información. En Apple, funciona solo entre los dispositivos propios de la marca (iPhone, iPad, Mac, Apple TV). En Microsoft o Adobe, es una web abierta a todo tipo de sistemas. Y en Google engloba desde ordenadores a móviles o televisores.

En principio, el sistema ha de ser tan seguro como si se guardaran los datos en un disco duro desconectado de cualquier red. O mejor para evitar sustos, en varios, como sabe cualquiera a quien un disco duro externo le haya dejado de funcionar.

Pero si con los discos duros, un robo de información requería acceder físicamente al dispositivo, con la nube, el acceso, al ser remoto, está al alcance de cualquiera... que sepa hacerlo. "En seguridad informática no existe el 100% y las empresas son seguras, yo diría que según el mes. Depende de la complejidad del servicio, del tamaño, de los cambios que se hagan y de cómo se haga", explica Raúl Siles, fundador de Dinosec y consultor de seguridad. "Es difícil saber hasta qué punto es segura Apple porque no publica los resultados de auditorías de seguridad", añade.

RECUPERAR CONTRASEÑA

El fallo más probable es que al intentar acceder al servicio de recuperación de una contraseña olvidada con una combinación falsa, este no daba error al cabo de un determinado número de veces, como suele ser habitual. Al no existir esta limitación, explica Siles, se podía lanzar lo que se llama "un ataque de fuerza bruta", es decir, un programa que fuera generando y probando contraseñas hasta dar con la adecuada. Con esas claves, un intruso podía acceder al resto de la cuenta de iCloud del usuario que hubiera elegido.

Esta vulnerabilidad había sido revelada el pasado octubre en un congreso de seguridad informática internacional por el consultor ruso Vladimir Katalov, que reclamó más seguridad sobre todo para los servicios de guardar y compartir fotos.

En Github, un repositorio de programas que pide la colaboración de informáticos para mejorar un código, este sábado apareció un script que permitía generar contraseñas de modo automático e ir probándolas. Los autores, un grupo de seguridad ruso llamado Hackapp, le llamaron iBrute. Ayer su Twitter desmentía que hubiera pruebas de que el programita se hubiera usado para acceder a las cuentas de las famosas. Tampoco Apple admitía el fallo, aunque se apresuró a arregarlo. El mal ya estaba hecho.

"No parece un ataque a iCloud en sí, porque si no es como haber entrado en un banco y robar solo los clips. Tiene toda la pinta de ser un ataque dirigido contra objetivos concretos. Seguramente ya tenían la lista de correos que querían", aventura Dani Creus, analista de seguridad de Kaspersky España.