Redacción - El Semanal
El servicio de iCloud ofrecido por Apple, que permite el almacenamiento en la nube de la información personal y las fotos de los usuarios de iPhone y iPad, tiene una «falla de seguridad fundamental», según el experto en informática Alan Woodward, profesor de protección informática de la Universidad de Surrey, en el Reino Unido.
Woodward comentó que la vulnerabilidad aparente detectada equivale a cerrar la puerta principal con doble llave pero dejar la ventana abierta. iCloud ha estado bajo escrutinio intenso en los últimos días tras el robo y posterior filtración de fotos personales de varias actrices, entre ellas la ganadora del Oscar Jennifer Lawrence.
A raíz de este incidente, ha circulado información sobre la efectividad de un mecanismo de seguridad conocido como «verificación en dos pasos», recomendado por Apple, particularmente después de la filtración.
Algunos especialistas en el área indican que esta herramienta se puede burlar usando un programa que permite acceder a las copias de respaldo que existen en iCloud. Apple no ha realizado comentarios al respecto.
El software requiere que los hackers sepan cuál es el correo electrónico y la contraseña de los usuarios, y por el momento no hay evidencia de que haya sido utilizado en las filtraciones.
La «verificación en dos pasos» funciona cuando Apple envía un código corto que la persona tiene que utilizar para poder acceder a su cuenta y ofrece un nivel adicional de protección. Pero al incentivar el uso de este mecanismo, tras reconocer que algunos usuarios fueron víctimas de ataques específicos en su contra, Apple estaría ofreciendo una «sensación de seguridad falsa», según la opinión de un especialista en el área.
Desde Rusia, la revista tecnológica Wired fue la primera en reportar que el programa informático ElcomSoft, elaborado por una compañía rusa, se estaba mencionando en un grupo de discusión de hackers en internet como una herramienta útil para infiltrar cuentas en iCloud.
El software, comercializado para el uso de organismos de seguridad, ofrece acceso al contenido almacenado virtualmente sin necesidad de que quien lo use esté en posesión del iPhone o iPad en cuestión. Utiliza un sistema diseñado por el programador ruso Vladimir Katalov. No se sabe si el mismo fue empleado por quienes robaron las fotos de Jennifer Lawrence desnuda.
Pero Katalov le dijo a la BBC que, aunque no podía estar 100% seguro, creía que su programa había sido utilizado en esa filtración porque es el único capaz de hacer lo que se hizo. Añadió que si bien a su compañía no le «gusta mucho» que el software se utilice con fines ilegales, lo ha vendido tanto a particulares como a organismos oficiales.
Mikko Hypponen, experto en seguridad, le dijo a la BBC que el problema radica en el proceso de «verificación en dos pasos» que, a su juicio, fue implementado únicamente para proteger la tarjeta de crédito del usuario.
En la explicación que da Apple con respecto al funcionamiento de la «verificación en dos pasos», no menciona nada sobre fotos, contactos o eventos en el calendario, elementos que también se respaldan en iCloud. Pero según información que maneja la BBC, sí sirve para evitar que los hackers utilicen el mecanismo de «¿olvidó su contraseña?» que está en el sitio web de Apple.
Sin embargo, Hypponen considera que al concentrarse en la protección de pagos e identificaciones, Apple se equivocó al definir qué es lo que le importa a los usuarios. «Muchos preferirían que les robaran los datos de la tarjeta de crédito y no fotos privadas», afirma.
Otros expertos en seguridad consideran que la recomendación de Apple con respecto al sistema de «verificación en dos pasos» es engañosa. «Es peligroso sugerir que este mecanismo protege, obviamente no es el caso. La armadura tiene rendijas que podrían aprovecharse», señala David Emm, de Kaspersky, una empresa de seguridad informática.
Considera que, si bien la seguridad es importante para Apple, le preocupa el hecho de que ElcomSoft ha estado en el mercado desde 2012. «Creo que esta falla se ha presentado en varias ocasiones, por lo que me sorprende que la empresa no haya reforzado el mecanismo de protección».
Hypponen añadió que iCloud no era el único servicio con errores en sus sistemas. «No sabemos si esa es la única forma de ingresar. Es muy probable que quienes no utilizan los productos de Apple también se conviertan en víctimas».
GIPHY App Key not set. Please check settings