Aunque Apple dice que está investigando un pirateo en las cuentas de iCloud de varias celebridades, hay una forma fácil para que los usuarios protejan sus cuentas.
Durante el fin de semana, surgieron informes de que varias celebridades habían visto sus cuentas de iCloud comprometidas por hackers desconocidos, y se filtraron fotos personales a Internet. Apple dice que está «investigando activamente» la situación.
Se desconocen los detalles exactos del hacking, pero algunos investigadores de seguridad creen que Apple dejó a iCloud vulnerable a un intento de piratería de contraseñas por fuerza bruta. Básicamente, los hackers podrían usar una pieza de software para probar todas las combinaciones posibles de contraseñas una y otra vez, haciendo que sea sólo cuestión de tiempo antes de que las cuentas con contraseñas cortas y débiles puedan verse comprometidas.
Actualización: Apple tiene emitió un comunicado reconocer la violación y culpar a un «ataque muy selectivo a los nombres de usuario, contraseñas y preguntas de seguridad» de algunos usuarios de iCloud de alto perfil. La declaración no contiene ningún detalle sobre lo que ocurrió exactamente ni sobre si se han realizado cambios en el extremo de Apple para evitar infracciones similares en el futuro.
ConsejoTecnologico.com ha contactado con Apple para que le aclare estos puntos.
Es posible e incluso probable que se tratara en gran medida de un ataque de phishing en el que los usuarios eran el objetivo específico, y que la información personal se utilizara para restablecer las contraseñas a través de «preguntas de seguridad». No está claro si se utilizaron ataques de fuerza bruta.
Sin embargo, Apple ofrece un servicio llamado autenticación de dos factores. Es una forma común de proteger las cuentas en línea utilizadas por muchas compañías, incluyendo Google, Dropbox y Twitter.
Funciona requiriendo una contraseña secundaria al iniciar sesión en un dispositivo nuevo o desconocido. En el pasado, las empresas podían utilizar un dispositivo como un llavero RSA SecurID para generar un código seguro que acompañara a una contraseña. Incluso si la contraseña o el llavero estuvieran comprometidos de alguna manera, sería imposible que un hacker comprometiera una cuenta sin ambos dispositivos. En la práctica, esto hace que un hack remoto sea casi imposible.
Hoy en día, los generadores de código clave se están incorporando a las aplicaciones de los teléfonos inteligentes o funcionan a través de códigos SMS. Por ejemplo, Google ofrece una aplicación especial de autenticación para los smartphones iPhone y Android que puede utilizarse tanto con los servicios propios de Google como con servicios de terceros como WordPress.
El servicio de autenticación de dos pasos de Apple protege a los usuarios al requerir un código secundario especial que se envía a dispositivos previamente autenticados como iPhones y iPads. Cuando intentes iniciar sesión en los servicios de Apple en un dispositivo por primera vez, por ejemplo, al comprar un nuevo iPad, Apple enviará un código especial de cuatro dígitos a tu dispositivo existente que deberá introducirse junto con tu contraseña.
Aunque Apple no promueve mucho su sistema de verificación de dos pasos -que puede cambiar después de este fin de semana- una vez que se active la autenticación de dos pasos, será necesario para iniciar sesión en cualquiera de estas situaciones:
- Al iniciar sesión en appleid.appleid.com para gestionar un ID de Apple o una cuenta iCloud
- Al realizar una compra en iTunes, App Store o iBooks Store desde un dispositivo nuevo
- Para obtener asistencia relacionada con el ID de Apple
Apple utiliza un sistema de código propietario que envía una ventana emergente a tu iPhone o iPad () y un sistema basado en SMS que puede enviar códigos a un teléfono móvil pre-registrado. También hay un código de recuperación seguro que permite el acceso en caso de que pierdas o no tengas acceso a todos los demás dispositivos registrados. Este código de recuperación de un solo uso debe guardarse en un lugar seguro como una caja de seguridad para el acceso de emergencia a sus cuentas.
Código de verificación en un dispositivo Apple.
La verificación de dos pasos es fácil de usar y debería activarse en todas las cuentas de iCloud, además de en cualquier otro servicio que permita la autenticación de dos pasos, incluyendo Twitter, Dropbox, Google, y más.
A continuación, te indicamos cómo configurar la autenticación en dos pasos en tu ID de Apple o en tu cuenta de iCloud:
- Visita appleid.apple.com e inicia sesión con tus credenciales de ID de Apple (esta es la misma dirección de correo electrónico y contraseña que utilizas para realizar compras en la App Store.
- Seleccione «Contraseña y seguridad» en el lado izquierdo
- Seleccione «Get Started» en Verificación de dos pasos
Apple te guiará a través de la configuración del servicio, incluyendo la verificación de dispositivos de confianza como iPhones y iPads, así como servicios basados en SMS para la verificación de copias de seguridad. También obtendrá una clave de recuperación de 14 caracteres que debe guardarse en un lugar seguro y protegido.
Los usuarios necesitarán dos de las siguientes tres cosas para iniciar sesión en su cuenta – tener sólo una podría resultar en un bloqueo permanente de su cuenta:
- Su contraseña
- Un dispositivo de confianza
- La clave de recuperación
Si olvidas tu contraseña, necesitarás un dispositivo de confianza y tu clave de recuperación para restablecerla.
La verificación de dos pasos de Apple está disponible en docenas de países y en la mayoría de los operadores, incluidos los principales operadores de los Estados Unidos.
Aunque no conocemos los detalles exactos del hacker que comprometió las cuentas de famosos en iCloud y su privacidad personal, es probable que si se hubiera activado la verificación de dos pasos en sus cuentas, sus datos podrían no haber sido accedidos por usuarios no autorizados.
¿Utiliza la verificación de dos pasos con sus cuentas? ¿Por qué o por qué no? Háganoslo saber en los comentarios de abajo.
Actualizado 3:25 p.m. 2 de septiembrecon el comentario de Apple sobre el ataque.