web analytics

Así hackearon y robaron las fotos de famosas desnudas… probablemente

Una vulnerabilidad de la app "Buscar mi iPhone" y una contraseña débil pueden ser los responsables del acceso a las fotos privadas de varias famosas

Por Juan Castromil ,

jennifer_lawrence_at_the_83rd_academy_awards_crop
La informática forense es una especialidad tan interesante como investigar los agujeros de un queso de Gruyère, solo que al final no siempre te comes el queso. Desde que el pasado domingo se hiciesen públicas decenas de fotos privadas de un buen puñado de famosas internacionales, todas las pistas indicaban una vulnerabilidad del sistema de copia de seguridad en la nube de los móviles de las afectadas -prácticamente todas usan iCloud para sus iPhone-.

Según parece ya se ha encontrado el punto débil por donde el hacker pudo colarse. La gente de The Next Web ha localizado una vulnerabilidad en el servicio “Buscar mi iPhone” a través de la cual, mediante un ataque de fuerza bruta se podía haber accedido a las cuentas de cualquier usuario, incluidas las famosas y sus fotos desnudas. Después solo hacia falta copiar las imágenes en el ordenador atacante y nadie se habría dado cuenta del acceso no autorizado. Un ataque de fuerza bruta consiste en probar insistentemente de manera automática contraseñas, sin que ningún sistema de seguridad bloquee el acceso, algo que parece haber sido aquí la clave. Es como si para abrir una cerradura tuvieses infinidad de llaves y la paciencia y el tiempo suficientes para probarlas hasta encontrar la adecuada. Así pues, ha sido una cuestión de conocer el email del cada famosa, invertir una gran cantidad de tiempo (varios meses según el hacker detenido) y contar con la ausencia de un sistema de bloqueo y una serie de desafortunadas contraseñas demasiado fáciles de averiguar.

celebrity-hack

A esto hay que unir que muchas famosas se conocen una a otras por lo que una vez abierta la brecha se podía obtener información del resto de los contactos, como por ejemplo las direcciones de email, lo cual permitía repetir el proceso con nuevas víctimas.

La herramienta para aprovechar este fallo de iCloud, que no daba acceso a las contraseñas sino que permitía atacar el acceso a las copias de seguridad una y otra vez, ha estado a disposición de cualquier persona que la quisiera en Github hasta hace un par de días. Coincidentemente, Apple ha solucionado su parte del problema a las 3:20 am del lunes, pero sin emitir ninguna clase de comunicado. Actualización: Apple ha publicado un comunicado asegurando que no ha existido ningún fallo de seguridad ni en iCloud ni en “buscar mi iPhone” aunque si han detectado una serie de acciones sospechosas con el servicio de recuperación de contraseñas en algunas de las cuentas hackeadas.icloud

Aún así nunca se podrá saber con total seguridad si este ha sido el método utilizado ya que existen otras posibles fórmulas y puntos débiles que pueden abrir las puertas a la información de nuestro móvil sin que nos demos cuenta. Desde el acceso directo cuando dejamos el móvil sin vigilancia, a la captura de contraseñas al usar puntos WiFi inseguros, compartir la misma contraseña en diferentes servicios o hacer públicos determinados datos personales. Lo expuesto en este texto, así como las pistas encontradas, simplemente hacen más probable que este haya sido el método utilizado.

Pero más vale no confiarse. No solo los iPhone han comprometido sus datos. Los sistemas de backup del resto de las plataformas móviles también han sufrido ataques solo que con una recompensa menos escandalosa para las famosas. Y lo mismo ocurre con ordenadores o discos duros conectados a Internet. Y esto no acabará aquí. La seguridad de los datos empieza por uno mismo –el usuario siempre es el eslabón más débil-.

MJpiEG3-660x595

Por eso es importante usar contraseñas lo más seguras posibles y en la medida de lo posible usar sistemas de doble autenticación que compliquen al máximo su posible descubrimiento. Por supuesto, tampoco está de más evitar que este tipo de fotos -o cualquier dato sensible- sea almacenado en un lugar con conexión a Internet. La caja de zapatos puede parecer un lugar demasiado extremo, pero conviene saber que ningún sistema es 100% seguro.

Actualización: Finalmente se ha aclarado el origen de la filtración, y como ya apuntábamos los culpables han sido los propios usuarios. En este caso algunas de las celebrities confiaron sus contraseñas al hacker que usó el siempre interesante método de la ingeniería social para engañar a las víctimas.

imagen del hack @viniciuskmax

+ info | 9to5mac

Compartir en:

  • javier Sanjorge

    NAs…
    Hacker arrestado? Quien ha sido arrestado? No sabía que hubiesen arrestado a nadie (de hecho, he buscado y a las 9:00 2/9/14 hora española nadie ha sido arrestado ni saben quien/es es el autor). La vulnerabilidad de la que hablas fue expuesta públicamente y arreglada por Apple en un par de días ( lo cual no quiere decir que no fuera conocida por el hacker ANTES de ser publicada), ese volumen de información no se sacaría en un par de días.
    De todas formas, para hacerse una idea del nivel de este “hacker”, baste decir que pidió ayuda en 4Chan para subir vídeos de manera anónima.

  • Navegante

    Javier ¿en cual foro de 4chan? ¿en el de la web profunda que está en la deepweb?

  • Sicoloco Del Castin De Foolyou

    Lo que tienen que hacer es no desnudarse en el teléfono movil.atajo de cerdas inmundas.

  • asd

    Lo siento si me equivoco con lo que digo porque ni he leido la noticia entera…he leido “fuerza bruta” y he pensado: mas pánfilos con contraseñas de mierda. Yo no soy hacker y usaba esos programas para reirme de los amigos con 14 años porque se ponen contraseñas del tipo “123456”.
    Mu rica la actriz por cierto, no tiene nada de que avergonzarse aunque entiendo que no le guste que salga a la luz, pero es una buena leccion.

  • el amigo

    Vaya noticia de m*****, por favor…lean un poco antes e informense porque partiendo de que no han detenido a nadie, el resto son “supuestos” y “teorias”.No se puede afirmar una noticia así.

  • David Muñoz Diaz

    Haker?venga ya un tío se pasa meses y estudia para unas fotos de cuatro petardas que ya están mas vistas que el sol.eso no se lo traga nadie.

  • Sicoloco Del Castin De Foolyou

    Este es el castigo de ser muy pijo y utilizár APPLE.

  • pepito

    Para qué se hacen fotos, si luego no quieren enseñarlas? La culpa es de los padres.

  • rafa

    Es prácticamente imposible conseguir por fuerza bruta una contraseña. Imagínense que sea una contraseña de 10 dígitos de sólo letras mayúsculas y minúsculas en inglés (sin contar ñ), eso nos daría un total de 48^10 (48 elevado a la 10) combinaciones, lo que nos daría un total de 64925062108545024 posibles combinaciones. Si el programita en cuestión puede comprobar 100 combinaciones por segundos, eso nos daría un total de 649250621085450,24 segundos para encontrar la contraseña en el peor de los casos, es decir, la última combinación. Eso sería igual a 7514474781,0816 días, o lo que es lo mismo, 20587602,13 años para encontrar una sola contraseña mediante fuerza bruta, en el peor de los casos, y si esta sólo estuviera compuesta de letras mayúsculas y minúsculas del alfabeto inglés.

    Conclusión: han usado otros métodos, posiblemente haya sido algún trabajador de Apple, ingeniería social, alguien cercano a las famosas, yo que sé.

  • Pingback: En tu PH » Apple confirma un ataque a las cuentas de algunos famosos pero niega fallos de seguridad()

  • UnoMas

    Rafa, el problema es que la mayoría de la gente usa fechas, nombres, combinaciones de estos, palabras sencillas o combinadas. Tus cálculos están bien, pero cuando usan contraseñas tan débiles, es fácil de romper con fuerza bruta.

  • Pingback: Pay, Apple se apunta a los pagos con el móvil y NFC | Clipset()

  • Las contraseñas siempre deben ser minusculas, mayusculas, numeros y caracteres especiales y no usar siempre la mismas en todos sitios, ir variando