El pasado 21 de mazo, Motherboard publicaba una noticia sobre un grupo de hackers que aseguraba tener acceso a 300 millones de cuentas de iCloud de todo el mundo. Estos individuos amenazaron a Apple con borrar remotamente todos los dispositivos asociados a estas cuentas si la compañía no abonaba un rescate antes del 7 de abril. La cuantía exigida por los hackers es de $75.000 en Bitcoin, aunque también ofrecen la posibilidad de recibir $100.000 en tarjetas de regalo de iTunes.
ZDNet, dando continuidad y profundizando sobre la noticia inicial, logró hacerse con un listado de 54 e-mails y contraseñas de iCloud procedente del grupo de hackers. Al realizar diversas comprobaciones sobre la validez de las compañías, ZDNet llegó a las siguientes conclusiones:
- Las 54 direcciones de correo están asociadas a una cuenta de iCloud. Algunas de las direcciones incluyen “me.com” y “mac.com”, previas incluso al lanzamiento de iCloud en 2011.
La mayoría de cuentas no tienen iMessage activo.
De las 54 personas, 10 confirmaron que las contraseñas obtenidas por los hackers eran correctas. Todas ellas, de Reino Unido. Los hackers se negaron a proporcionar un breve listado de cuentas de iCloud basadas en los Estados Unidos.
Nueve de esas diez personas confirmaron que la contraseña ha sido exactamente la misma desde que crearon su cuenta en iCloud. La décima persona confirmó que la contraseña, efectivamente, era correcta, pero dejó de estar en uso hace aproximadamente dos años.
Siete personas confirmaron que utilizan la misma contraseña en otros servicios como Facebook o Twitter. Las tres restantes confirmaron lo opuesto.
Dos de las diez personas confirmaron que alguien ha intentado acceder a su cuenta de iCloud durante las últimas horas.
Apple, en un comunicado oficial emitido tras la noticia de Motherboard, asegura que la compañía no ha sido víctima de ningún ataque. “La lista de correos y contraseñas parece que han sido obtenidas de servicios de terceros que fueron comprometidos”, afirmaron portavoces de Apple a Motherboard.
¿Es real el hackeo?
Los hackers tienen acceso a determinadas cuentas de iCloud, pero la historia destaca por su inconsistencia y sus múltiples incógnitas:
- Los hackers se contradicen en el número de cuentas comprometidas. En une-mails a Motherboard, afirmaron tener 300 millones de cuentas comprometidas. En otro, en cambio, afirmaron tener 559 millones —casi el doble—.
Los hackers, procedentes de Londres, se negaron a proporcionar un listado de cuentas de iCloud estadounidenses. Las 54 cuentas entregadas eran, precisamente, de Reino Unido. ¿Por qué?
Más de 80% de las cuentas entregadas a ZDNet no tenían una cuenta de iMessage asociada. Al no tener un teléfono asociado a la cuenta, la “validez” de dichas cuentas queda en el aire. Podrían ser cuentas antiguas en desuso, cuentas falsas creadas por los propios hackers, etc.
Nueve de las diez personas confirmaron que su contraseña de iCloud había sido la misma desde la creación de la cuenta. La décima persona confirmó que la contraseña, efectivamente, era correcta, pero antigua; esta persona cambió su contraseña hace aproximadamente dos años. El hack, por lo tanto, se produjo en algún momento entre 2011 y 2015, aproximadamente.
Siete personas reconocieron usar la misma contraseña en otros servicios, lo que confirmaría la versión de Apple.
No obstante, otras tres personas afirmaron justo lo opuesto, lo que desmentiría la versión de Apple. ¿Quizá sí usaron la misma contraseña en otro servicio pero no lo recuerdan?
Enumeradas estas consideraciones, es evidente que los hackers tienen acceso a varias cuentas de iCloud, pero ¿son reales? ¿El número de cuentas afectadas asciende a 300 millones como afirman? ¿Por qué no proporcionaron un breve listado de cuentas estadounidenses? ¿Por qué el 80% de las cuentas de iCloud proporcionadas no tenían iMessage activo? La historia comunicada por “Turkish Crime Family”, que es como se hacen llamar, no es firme. La versión oficial de Apple, que alude a servicios de terceros y malas prácticas por parte de los usuarios, sí parece más verosímil.
¿Qué puedo hacer para protegerme?
Cambiar contraseñas de forma periódica. No es necesario hacerlo cada día, semana o mes; pero tampoco cinco años. Cambiar las contraseñas de forma periódica —sobre todo la de servicios con información muy sensible— ayuda a reducir el impacto de futuros ataques.
No repetir contraseñas. Una de las posibles razones de este hackeo es el uso de contraseñas iguales en diferentes servicios. Esto no suele aumentar ni reducir el riesgo de hackeo, pero en caso de producirse, el daño que el atacante puede llegar a producir es mucho mayor. Para evitar esta práctica, gestores de contraseñas como 1Password pueden ser de gran utilidad.
Utilizar contraseñas seguras. Varios informes de seguridad revelan que las contraseñas más utilizadas por los usuarios son “12345” o “asdf”, fáciles de adivinar y obtener por parte de los atacantes. Utilizar combinaciones más complejas que combinen caracteres alfanuméricos (letras y números) sin un sentido lógico aparente, aumenta la seguridad.
Verificación en dos pasos. La medida por excelencia. Los servicios que implementan esta función requieren dos contraseñas diferentes para iniciar sesión. La primera de ellas, la contraseña estándar fijada por el usuario. La segunda, en cambio, es un código efímero enviado por SMS al teléfono del propietario de la cuenta. De esta forma, quien no tenga acceso al teléfono del propietario de la cuenta, no podrá acceder a la información almacenada en su interior.
"No se ha producido ninguna brecha de seguridad en los sistemas de Apple, incluyendo iCloud y Apple ID. La presunta lista de correos electrónicos y contraseñas parece haber sido obtenida de servicios de terceros comprometidos en el pasado. Estamos monitorizando de forma activa para prevenir accesos no autorizados a las cuentas de los usuarios y trabajando con las autoridades para identificar a los criminales involucrados. Para proteger ante este tipo de ataques, siempre recomendamos utilizar contraseñas fuertes, no utilizar la misma contraseña en diferentes servicios y activar la verificación en dos pasos".