lainformacion.comInternet y Ordenadores

Practicopedia > Categorías > Internet y Ordenadores > Seguridad > ¿Cómo pudieron hackear las fotos robadas de Jennifer Lawrence?

¿Cómo pudieron hackear las fotos robadas de Jennifer Lawrence?

Una vulnerabilidad en iCloud pudo facilitar la labor de los hackers

Captura de pantalla 2014-09-03 a las 13.42.45.png
La actriz Jennifer Lawrence ha sido una de las grandes afectadas por el caso del robo de imágenes de agosto de 2014. FOTO: Imagen de Archivo - Lainformacion.com

03/09/2014 por: César Saiz

El escándalo del fin de semana ha sido la publicación en internet de cientos de fotografías íntimas de Jennifer Lawrence, Kirsten Dunst, Kim Kardashian y muchas otras. Aunque Apple ha descartado que iCloud fuera comprometido, algunos expertos aún sopesan la importancia que una vulnerabilidad recién descubierta en su plataforma haya podido tener a la hora de permitir a los hackers acceder a las fotos privadas de las celebrities. Os explicamos el camino que pudieron seguir los ladrones virtuales hasta conseguir las polémicas imágenes.

  1. 1 La primera teoría: ¿iCloud comprometido?

    La primera teoría que se barajó fue la ruptura total de la seguridad del sistema iCloud, a pesar de que parecía poco probable. En los últimos años no fueron pocos los sistemas que sucumbieron a este tipo de ataques dejando al descubierto los datos personales –y, en muchos casos, de pago– de millares de usuarios. Apple ha desmentido tras dos días de investigación que esto haya ocurrido, garantizando la integridad de la plataforma y asegurando que todos sus usuarios pueden estar tranquilos. Recomiendan, eso sí, elegir una contraseña segura y activar la autenticación de doble factor.

  2. 2 Contraseñas débiles

    Descartado el acceso masivo a los datos de iCloud hay que plantearse cómo los hackers pudieron acceder de forma individual a las cuentas de las afectadas. Para ello han tenido que coincidir varias circunstancias: que su nombre de usuario o su correo electrónico sea públicamente conocido, que las víctimas utilizaran contraseñas débiles o con poca complejidad y que los atacantes consiguieran por algún método ilegal dicha contraseña.

    ¿Qué contraseñas podemos considerar como débiles?
    Usualmente diremos que una contraseña es débil o frágil cuando esté formada por una palabra de uso común (aunque sea una palabra que sólo tenga un significado especial para el usuario), o se encuentre en una lista de contraseñas comunes. Tampoco es recomendable utilizar la misma contraseña para acceder a todas nuestras diferentes cuentas, y por supuesto hay que extremar la precaución cuando dicha cuenta contiene información confidencial o datos de pago. Recuerda siempre utilizar caracteres alfanuméricos, incluir algún símbolo, variar la contraseña en las distintas plataformas y elegir una contraseña que sea tan larga como seas capaz de recordar. Es más difícil comprometer una cuenta con una contraseña larga que con una contraseña muy compleja de tan sólo seis caracteres.

  3. 3 El enemigo invisible: la ingeniería social

    Un método siempre menospreciado en el contexto de la seguridad informática pero que en realidad tiene un elevado porcentaje de éxito es la ingeniería social. Consiste en algo tan sencillo como obtener la información confidencial directamente del usuario. ¿Cómo? Pues por medio de engaños y argucias, llevándole a pensar que son otra persona que necesita sus datos para un uso legítimo –por ejemplo, haciéndose pasar por un teleoperador de su compañía telefónica, o un responsable de recursos humanos de la empresa en que trabaje–. Hoy en día, con el auge de las redes sociales, este método también incluye revisar de forma concienzuda los perfiles de Facebook, Twitter o Instagram de las víctimas. De esta forma el hacker conseguirá información privada que puede utilizar posteriormente para intentar recuperar la contraseña de la víctima respondiendo a su pregunta de seguridad, o incluso, intentar directamente adivinar la contraseña.

  4. 4 La hipótesis más probable: el ataque de fuerza bruta

    En Github, un repositorio de código abierto comúnmente utilizado hoy en día por los desarrolladores de software, una organización underground conocida como hackappcom liberó una herramienta capaz de realizar un ataque de fuerza bruta contra los servidores de autenticación de Apple, aprovechando una vulnerabilidad que permitía introducir una contraseña errónea de forma ilimitada. Esto es particularmente importante puesto que todos los sistemas modernos de autenticación, especialmente los de empresas grandes y orientadas al almacenamiento de datos en la nube, son capaces de bloquear una cuenta preventivamente tras un número muy limitado de intentos fallidos de identificación. También lo hace así iCloud, pero sin embargo los hackers fueron capaces de localizar una brecha –ya resuelta– en el servicio "Buscar mi iPhone", por lo que pudieron saltarse esa protección.

    Así, probablemente ejecutaron un ataque de fuerza bruta sobre cada una de las cuentas de las celebrities afectadas, que no consiste más que en intentar acceder al sistema utilizando una lista de contraseñas comunes, todas las palabras del diccionario –esto se conoce como "ataque de diccionario"– o combinaciones aleatorias de caracteres con creciente complejidad. Un script automático es capaz de realizar esta operación hasta mil veces por segundo (aunque esta velocidad depende siempre del tiempo de respuesta del servidor), consiguiendo acceso a la cuenta en apenas minutos si la contraseña utilizada por la víctima es una contraseña débil como las que hemos comentado.

También te puede interesar

Cómo configurar el Firewall de tu ordenador

Cómo tener una contraseña segura en Internet

Cómo son las contraseñas menos seguras