No sólo las fotos sino otra información puede estar comprometida por el acceso a la cuenta iCloud de los famosos.
La noticia del robo masivo de fotos de famosos y su publicación -con fines de extorsión- en sitios web de imágenes llama la atención sobre el comportamiento de los usuarios respecto de situaciones que tienen que ver con su privacidad y seguridad. Además del error de Apple al no poner límites a los intentos fallidos de inicio de sesión, es necesario que el usuario tome conciencia de la importancia de mantener hábitos de seguridad sobre su información en línea, como por ejemplo el uso de contraseñas.
El error de Apple afectó a la reputación de la compañía sin duda por tratarse de famosos, pues la noticia ocupó muchos espacios en los medios. Los famosos afectados buscaron en Apple la culpa de ser exhibidos en Internet al considerar que los servidores de iCloud habian sido hackeados cuando en realidad se trató de un hackeo a las credenciales de acceso a la cuenta iCloud del famoso.
No se explotó ninguna vulnerabilidad ni se rompió la seguridad de los servidores de Apple para penetrarlos. Por el contrario, los cibercriminales accedieron a iCloud utilizando el ID de Apple (dirección de correo electrónico) y la contraseña del ID. ¿Cómo lo hicieron? Mediante un ataque para romper la contraseña del ID de Apple. Lo único que requirieron fue conocer el ID de Apple del famoso, algo que puede encontrarse en Internet o redes sociales.
La contraseña en Apple suele conformarse por al menos 8 caracteres, y contener al menos una letra minúscula, una letra mayúscula, y un número. Datos útiles para iniciar el ataque para romper la contraseña del ID de Apple. Y aquí fue donde Apple cometió el error que afectó su reputación, al no bloquear el acceso por intentos fallidos de acceso.
Como el proceso para extraer la información es lento, se presume que los atacantes pudieron haber utilizado la herramienta Elcomsoft Phone Password Breaker (EPPB) una solución que los oficiales de la ley e investigadores de seguridad utilizan para el análisis forense de datos, permitiendo la extracción de datos de dispositivos Apple o respaldos iCloud. Vladimir Katalov, CEO de Elcomsoft, ha afirmado que EPPB no explota fallos de los servicios de Apple sino que es utilizado una vez que se ha accedido a la cuenta de iCloud y extraer la información en pocos minutos. El atacante podría configurar un dispositivo y restaurarlo con los datos de iCloud de la víctima.
Por lo mismo, si los atacantes entraron a la cuenta iCloud del famoso es posible que hayan descargado no sólo las fotos sino más información como mensajes de texto, archivos adjuntos, registros de llamadas, libretas de direcciones, calendarios, configuración de cuenta de correo electrónico, y otra información si el famoso respaldó sus datos en iCloud. Datos que tambien pueden ser vendidos en el mercado negro de Internet.
Lo sucedido puede pasarle a cualquiera que tenga sus datos no sólo en iCloud sino en otros servicios relacionados en la nube. Una alternativa podría ser no utilizar dichos servicios pero como no sucederá, entonces es conveniente utilizar contraseñas fuertes, y de ser posible privilegiar la autenticación de dos factores.
Es casi seguro que en los próximos días las fotos robadas serán utilizadas para generar spam y distribuir malware en los sistemas de los usuarios, aprovechando técnicas de ingeniería social que atraen la curiosidad del usuario. El malware podría robar datos personales, bancarios y financieros del usuario víctima. Es recomendable no hacer click en enlaces que se reciban pretendiendo mostrar la desnudez del famoso. Es recomendable mantener actualizado el software antivirus, además del sistema operativo y aplicaciones.