web analytics

Cómo robaron realmente las fotos de Jennifer Lawrence y del #Celebgate

El atacante que robó fotos de famosas actrices y cantantes se declara culpable, aunque no se ha demostrado que fuese la persona que las publicó en internet

Por Manu Contreras ,

Se cumplen dos años desde que saltó uno de los escándalos de filtraciones de información personal más llamativos por la implicación de grandes estrellas del mundo del espectáculo. Hablamos del llamado “celebgate“, una increíble campaña de phishing (suplantación de personalidad mediante ingeniería social) que logró engañar mujeres, estrellas del cine y de la música de EE.UU. para robar fotos y publicarlas en internet.

Ryan Collins, de 36 años, es el hombre responsable de crear una campaña para engañar a estas personas para que revelasen su contraseña de iCloud, para después acceder a su cuenta y robar las fotografías íntimas. Aunque no se ha logrado demostrar que Collins sea el responsable de subir las fotos a foros como 4chan, que fue desde donde se compartieron a todo el planeta.

El pasado martes 15 de marzo Collins se declaró culpable como parte de un trato en el juicio que se está celebrando en Los Ángeles. Se enfrenta a una condena por violación del Acta de Fraude y Abuso de Computadoras de EE.UU. enfrentándose a una condena de prisión de como mínimo 18 meses, aunque podría llegar hasta los 5 años.

El caso de ‘phishing’ más importante de internet

ingenieria-Social

Por las personas a las que esta persona estaba atacando y la cantidad de imágenes que fue capaz de recolectar y después publicar, este caso se puede considerar como uno de los ataques de phishing más importantes y de mayor impacto del mundo.

La nota que ha publicado la justicia de Los Ángeles muestra los delitos de Collins, pero además detalla cómo logró acceder a tantas cuentas personales. Según la documentación publicada, esta persona logró acceder hasta 50 cuentas de iCloud, el servicio de copia de seguridad y sincronización de Apple usado por los iPhone. También accedió a 72 cuentas de Gmail para acceder a su correo electrónico y desde ahí, poder conseguir más datos.

snapchat-snappening-leak

Collins mandaba correos a sus víctimas haciéndose pasar por correos legítimos de Apple o Google y engañar con que debían acceder de nuevo con su usuario y contraseña. Al acceder a una web falsa, estos datos pasaban a una base de datos que el culpable después usaba para acceder a las cuentas de iCloud y Google, donde no solo se almacenan las fotos y vídeos de los iPhone y móviles Android, también había agendas llenas de números de teléfono, correos electrónicos y detalles de otras famosas a las que después atacaría.

Gracias a conocer el método usado por Collins, se confirma de una vez que el servicio de Apple no fue hackeado, una posibilidad que se barajó al acceder a tantas cuentas de personajes públicos.

Le puede pasar a cualquiera

Los ataques de phishing son muy frecuentes y es muy raro que un usuario de internet con una cuenta de correo electrónico no reciba alguno todos los meses. Tan solo tienes que revisar tu bandeja de spam para comprobar como la mayoría recibe correos electrónicos haciéndose pasar por bancos, servicios de tarjetas de crédito o cualquier tipo de servicio que requiera tu nombre de usuario y contraseña.

Estos ataques son cada vez son más eficientes y más difíciles de distinguir, pero tan solo tienes que seguir estos simples pero importantes pasos para evitar que te roben tu usuario y contraseña.

  1. Ningún banco, emisor de tarjetas o servicio online te pedirá que muestres tu contraseña. Jamás reveles tu contraseña si alguien te la pide por correo o por mensaje. Si recibes un mensaje que parece real, pero en el que te piden que debes mandarle estos datos, aunque te den detalles personales, pulsa el botón de “reportar como spam” y olvídalo, están intentando robarte información.
  2. Verifica que el mensaje llega desde un emisor real. Es muy común que el remitente venga desde cuentas de correo que no tienen nada que ver con el servicio. Si un banco te tiene que enviar un aviso, lo hará desde una dirección de correo que use su dominio real.
  3. Si tienes que escribir tu usuario y contraseña, que sea en un servidor seguro (HTTPs). Verifica en la barra de direcciones de tu navegador que la dirección empieza por https:// (con “s”) y no por http:// (sin “s”). La primera significa que la conexión entre tu ordenador y el servidor está cifrada, haciendo más difícil que te roben tu contraseña.

Captura de pantalla 2016-03-16 a las 12.43.37

  1. Usa verificación en dos pasos. Muchos servicios de internet como Google, Facebook, Twitter, o banca en internet, ofrecen la llamada verificación de dos pasos. Esto quiere decir que además de tu contraseña, te pedirán un código que se enviará mediante SMS a tu móvil o que requiere una aplicación que genera códigos aleatorios. Así, aunque tengan tu contraseña no podrán acceder a tus datos a no ser que tengan físicamente tu móvil.
  2. Toda buena seguridad empieza por una buena contraseña. Olvidate de contraseñas que se repiten pero cambiando un número ode palabras que cambian letras por números. Si quieres una contraseña robusta, que sea una frase que solo tú conozcas y que tenga sentido para ti. Asociar frases aleatorias es más fácil que recordar contraseñas alfanuméricas sin sentido y es mucho más difícil de descifrar para ordenadores que se dedican a intentar entrar a tu cuenta por fuerza bruta.

+ Info | NBC News

Puedes seguirnos en Twitter, Facebook y en Instagram.

Compartir en: