Web Analytics
Conecta con nosotros

Noticias

Apple niega fallo de seguridad en iCloud

Publicado el

shutterstock_175540514

Apple se ha manifestado acerca del escándalo de las fotografías de famosas desnudas filtradas a la Red hace un par de días y, supuestamente, robadas de su servicio de almacenamiento en la nube. Su respuesta es que no ha sido debido a un fallo de seguridad en iCloud.

Después de más de 40 horas de investigación, hemos descubierto que ciertas cuentas de celebridades fueron comprometidas por un ataque muy específico sobre nombres de usuario, contraseñas y preguntas de seguridad, una práctica que se ha vuelto muy común en Internet. Ninguno de los casos que hemos investigado es resultado de algún incumplimiento en cualquiera de los sistemas de Apple, incluyendo iCloud o Buscar mi iPhone.

Apple se defiende así de las informaciones que apuntaban a una vulnerabilidad en el servicio Buscar mi iPhone, por el cual podrían haber conseguido los atacantes acceso a las cuentas de las víctimas; o en el propio iCloud, a base de un ataque de fuerza bruta, que consiste en automatizar la prueba de contraseñas hasta dar con la correcta. Por su parte, la compañía dice continuar investigando el suceso en colaboración con la policía con el fin de encontrar al culpable.

Lo cierto es que las noticias publicadas sobre este caso son realmente confusas, tanto como para no dar por hecho ningún supuesto. ¿Ha sido un fallo de seguridad del software de Apple? La compañía lo desmiente, pero era difícil que hubiese sido de otra manera: la firma de la manzana nunca se ha caracterizado por ser transparente en nada que ataña a sus intereses y un incidente de este calibre puede hacerle mucho daño a su imagen.

Si se descubriese que la violación se ha cometido mediante un ataque de fuerza bruta contra el servicio, no hay quien salve a Apple de la quema. La razón es que hay métodos para evitar esas técnicas, como bloquear temporalmente una cuenta tras registrar varios errores consecutivos al ingresar la contraseña y advertir al usuario cuando esto pasa.

El comunicado oficial dirige en último punto a la página de ayuda sobre la seguridad para con la ID de Apple, por si alguien lo necesita.

[Imagen: Shutterstock]

Enfocado en las nuevas tecnologías empresariales y de usuario final. Especializado en Linux y software de código abierto. Dirijo MuyLinux y escribo en MC, MCPRO y MuySeguridad, entre otros.

30 comentarios
  • Xbit

    Teniendo en cuenta que han robado fotos de muchas famosas, ni Apple se cree que haya sido un ataque de fuerza bruta. En serio, como pueden decir tal burrada? ains…

  • kornival

    Si el fallo es por fuerza bruta los servidores están configurados con el culo, porque miles de ellos permiten tan solo un cierto número de intentos de login desde la misma IP. Si se usaron zombis ya es otra historia.
    En si un ataque por fuerza bruta no expone ningún bug, sin una mala configuración.

  • kornival

    Este es el fallo:

    http://www.seguridadapple.com/2014/09/bug-en-icloud-es-este-el-fallo-del-leak.html

    El script en cuestión permite saltarse los controles y alertas por lo que se lee. Y por lo que se lee Apple ha tenido que parchear y ahora si se bloquea el acceso después de cinco intentos.
    No era tan difícil Apple, hay que ponerse las pilas en seguridad.

  • kornival

    Si era por fuerza bruta mediante scripts. Ya está parcheado para bloquear las cuentas tras cinco intentos.

  • Xbit

    Anda que…

  • kornival

    Lo que es no tener ni idea de seguridad. Han podido joder a miles.

  • Xbit

    Bueno, supongo que una pequeña lección de humildad les vendría bien.

  • Josué Morales Padilla

    Es fácil echarle la culpa solo a Apple, pero curiosamente indican que en muchos de los selfies, esas celebridades tienen teléfonos Android además de iPhones. Además indican que se han encontrado archivos thumbs.db que son generados en las carpetas de imágenes de Windows y temporales de dropbox. Esto indica que el ataque no sólo ha sido a Apple si no a otros servicios, pero claro, echarle la culpa solo a Apple vende y los medios se cuelgan de Apple para hacer sus titulares más llamativos, pero el ataque está presente en más de un servicio de la nube.

  • juancarlos

    Una cosa es falta de seguridad, pero decir que han podido joder es decir mucho.

    Si tu te haces fotos desnuda o con cierta ligereza de ropa y te las guardas en icloud o mejor dicho internet,cde quien es la culpa tuya o de apple?

    En icloud existe la posibilidad deshabilitar las fotos para que no haga copias

  • kornival

    Si meto dinero en un banco y un tipo consigue las contraseñas y roba mis ahorros. ¿de quién es la culpa?. ¿Mía también?.

    Lo que no puedes hacer es ofrecer lo que no tienes y en el caso de apple es seguridad.

    Toda la seguridad de la cuenta y las configuraciones se pierden en cuanto alguien obtiene las contraseñas. Por lo que por mucho que deshabilites lo que sea, el que la tenga podrá habilitarlo.

    Por otra parte desde hace milenios existen los ataques por fuerza bruta, no tener configurado el servidor para que bloquee la cuenta tras ciertos intentos es una falta de profesionalidad tremenda a día de hoy. Mira que rápido lo parchearon. No era tan difícil.

    «iCloud te cubre las espaldas.»

  • kornival

    Pues por mucho que les duela a algunos, el fallo es de apple y solo de apple. De hecho han sido ellos los que lo han parcheado.

    http://www.seguridadapple.com/2014/09/bug-en-icloud-es-este-el-fallo-del-leak.html.

    Si hackean mi passport la culpa será o bien mía en mi máquina o de Microsoft en las suyas, no se puede culpar a Google. Pues lo mismo pasa aquí, dos veces han hackeado los servidores de Apple, una vez para desbloquear iphones robados y ahora esta para conseguir acceso. Eso no es culpa ni de dropbox ni de Microsoft ni de nadie mas que los que ofrecen el servicio ICloud.

  • kornival

    Humildad y Apple no son palabras compatibles.

  • Josué Morales Padilla

    Pues ya se verá como avanza la cosa y, como dije, no todas las fotos provienen de iCloud (ni de dispositivos iOS). Ya las investigaciones me darán la razón o me harán tragarme mis palabras, sólo hay que esperar. Finalmente esto va a hacer que estos servicios en la nube se preocupen un poquito más en la seguridad de sus usuarios.

  • kornival

    Si no invierten tiempo en seguridad el usar almacenamiento en nube va a ser poco menos que una locura, o de gente que sube archivos poco comprometedores.

    http://3.bp.blogspot.com/-4hZWOchT9Fo/VAVd-9jjIeI/AAAAAAAAL4U/7jJL3toR_Ao/s1600/1.PNG

    Como se ve en la captura del script Apple ya lo hizo.

  • Eric Ciurana

    La estupidez por parte del usuario de subir fotografías de desnudos a internet y exponerte a que te las roben… eso sería la «culpa» del usuario, es decir, que si te ven el culo te jodas por capull@.
    Por otro lado tenemos que en Apple habían hecho mal las cosas y, más allá de las fotos, vídeos, etc de cada usuario de su servicio, es la exposición de los archivos y el no haber sabido protegerlos correctamente lo que es culpa de Apple.
    Así que culpa para los dos, cada uno en su medida y por diferente motivo.

  • Xbit

    Meh…

  • Yo llevo años diciendo lo mismo, Microsoft me inspira más confianza en temas de seguridad que Apple, de hecho la empresa de Cupertino en estos aspectos es de lo más siniestro que hay en la informática.

  • kornival

    Muchas veces viendo vídeos de Chema Alonso me he dado cuenta de que cuando algún universitario o alguien de los que van a las charlas le pregunta por Mac al grupo se mediosonríen mirándose unos a otros. Deben estar quemados de contestar siempre lo mismo y que apple no se moleste en solucionarlo antes de que aparezcan los problemas.
    Al menos Microsoft cuenta con este elemento que, además de las risas por el show mediático, presenta problemas y los encara como un profesional, sea cual sea el sistema en que este realizando la charla.

  • kornival

    Yo no creo que les haya jodido tanto el que hayan salido a la vista cuatro fotos mas de las que ya hay como el echo de que se las hayan robado de un sitio en el cual confiaban.
    Y confiaría cualquiera después de pagar lo que valen sus equipos y de escucharles decir lo de:

    «iCloud te cubre las espaldas.»

  • Lo mío es algo más básico, y te puede resultar una tontería.

    Cuando un antivirus lleva seis meses sin detectar nada, échate a temblar, al menos que no lo tengas conectado a Internet y nunca hayas metido un pen ajeno (a mi me pasa, pero es que le dedico muy pocas horas a Windows), ya que significa que lo más probable es que el antivirus se esté tragando cosas que tendría que bloquear.

    Con los fallos de seguridad es lo mismo. Hace tropecientos años que no escucho nada al respecto de OS X (aunque si de iOS) y eso solo puede ser dos cosas. O los de Apple son los putos amos de la seguridad o son los putos amos metiendo la mierda debajo de la alfombra, y viendo la aberración tecnológica que son algunas partes de OS X (XNU por ejemplo) me da a mi que es más lo segundo que lo primero.

    Sobre iOS no tengo tantos datos, porque lo sistemas móviles me importan un pimiento, nunca me han llamado. Conozco algo mejor Android porque lo uso, porque sino ni eso, pero si se que la política de seguridad en torno a OS X es de risa y como hagan lo mismo con otros productos no quiero imaginar lo que tiene que tener escondido Apple en el sótano.

  • pillabichos

    La culpa la tienen las dos partes:

    – Apple presume que sus productos son fáciles de usar y que el usuario no se tiene que preocupar de configuraciones ni de detalles técnicos, que ellos se encargarán de todo y guiarán al usuario que no tiene que ser un experto.
    En este caso no han cumplido con su promesa y no han cuidado de un usuario cuyo perfil es de alguien de poca cultura informática, que cree que las cosas funcionan por arte de magia y que conceptos como ‘fortaleza de contraseña’ le son completamente ajenos, cosas de frikis.
    En todo caso permitir que se pueda ir probando distintas contraseñas hasta el infinito ha sido una cagada y de las gordas, un fallo de usuario principiante.

    – Por otro lado los usuarios, la moda de hacerse fotos en bolas con el móvil es muy peligrosa porque aunque no hubiera pasado esto, tu pareja se puede pelear contigo y enseñarlas a otras personas (no tiene que ser en la red), o te pueden robar el móvil, etc…
    ¿Por qué llamarán así al sentido común cuando no tiene nada de común?

  • pillabichos

    A mi que no se pueda abrir el capó nunca me inspira confianza, entendamos o no todo lo que hay debajo

  • kornival

    Todo se reduce a saber seleccionar las fuentes, eso te evita malos tragos, aunque sorpresas nunca dejará de haber.
    Yo rara vez tengo conectado el antivirus ( ahora mismo tengo instalado MalwareBites) normalmente dejo solo el firewall ( private firewall) y es raro, rarísimo, salvo cuando tengo que reparar algo, incluso tocar móviles que tenga los dos activados y se cuele algo. Todo puede ser, negarlo es de noobs, pero seleccionando las fuentes de trabajo u ocio es raro que se instale algo.
    De apple para conservar su «exclusividad» te puedes esperar lo que sea.

  • menxo

    tu no te haz hecho fotos en bolas? de lo que te estas perdiendo!

  • menxo

    solo busca enlodar a su alrededor. tiramos poca de mierda a windows. otra poca a drop y listo! apple es inocente!

  • menxo

    lo que la gente quiera hacer sean fotos comprometedoras, emails con claves, documentos empresariales. y decide guardarlo en un servicio online es su problema.

    es decir si yo decido llenar mi casa de lcd, ps4, y pongo una cerradura que se abre con un mondadientes es culpa mia si me roban porque yo llene mi hogar de esos lujos?

    por favor!

  • pillabichos

    ¿Tú sí? ¿y que ganas con ello?
    ¡Cualquier día tienes un disgusto!
    Luego no vengas llorando exigiendo el derecho al olvido, ¡porque avisado estabas!

  • Adrian

    Ya se ha comprobado que el fallo fue solo con apple Josue

  • Adrian

    Si, la culpa es de los 2, pero los únicos que pagaron hasta ahora son los usuarios. Veremos que pasa con apple, en principio ha sido la peor publicidad que podía tener el iPhone 6

  • menxo

    tu como que no detectas un comentario «ironico» jajaja

Lo más leído