Luego de que el pasado fin de semana nos enteráramos de la filtración de fotos íntimas de famosas como Jennifer Lawrence, Selena Gomez, Kirsten Dunst o Hilary Duff, muchos se siguen preguntando cómo y por qué sucedió el incidente -y si se podría haber evitado.
La inmediata repercusión internacional que tomó el caso, sobre todo después de que el contenido fuera publicado en los populares 4chan, Reddit, Twitter y Tumblr, fue -una vez más- aprovechada por los ciberdelincuentes, que vieron la oportunidad perfecta para propagar amenazas utilizando a las famosas como gancho. Así, nos encontramos con una aplicación que simulaba descargar las fotos de Jennifer Lawrence, pero en realidad contenía un backdoor que permite el control remoto de los sistemas infectados.
iCloud, ¿el culpable?
Lo cierto es que inmediatamente se apuntó a iCloud como el "culpable" de la filtración de las fotos: el denominador común hallado en la mayoría de los casos fue que las celebridades utilizaban este servicio de almacenamiento en la nube. Sin embargo, y tal como confirmó Apple en su comunicado oficial, no se trató de una brecha de seguridad en iCloud, sino de un ataque dirigido que buscaba obtener credenciales:
Descubrimos que ciertas cuentas de celebridades fueron comprometidas por un ataque dirigido a nombres de usuario, contraseñas y preguntas de seguridad, una práctica que se ha vuelto muy común en Internet. Ninguno de los casos que hemos investigado resultó de una brecha en algún sistema de Apple, incluyendo iCloud® o Find my iPhone
La aclaración no es para nada menor, y nos sirve para aclarar la confusión que podría ocasionarse al pensar que la vulnerabilidad hallada en iCloud, que permitía desbloquear remotamente un iPhone perdido o robado, tiene algo que ver con este suceso. Lo que nos queda bien claro es que en este caso hubo una mezcla de factores que facilitaron la tarea del atacante, como por ejemplo contraseñas débiles o fácilmente adivinables, y respuestas a preguntas de seguridad demasiado fáciles.
El aviso de Apple da dos consejos principales: usar contraseñas fuertes y habilitar la doble autenticación. Pero hay algunas cuestiones a tener en cuenta al seguir esas recomendaciones:
- ¿Qué entendemos por contraseña fuerte y segura?
Muchos servicios se limitan a requerir una cantidad determinada de caracteres, alternando letras y números y utilizando mayúsculas. Pero a esta altura, ya sabemos que "Contraseña1234" no es para nada segura, por más de que tenga una longitud aceptable, ya que es muy fácilmente adivinable.
En este sentido, tal como explicamos en este artículo, para construir contraseñas lo suficientemente robustas que sean sencillas de recordar, y que en caso de una fuga de información no sean descubiertas, es necesario tener en cuenta un sencillo juego de probabilidades.
Básicamente, puedes utilizar cuatro tipos de caracteres: minúsculas, mayúsculas, números o caracteres especiales. Por otra parte para tener una contraseña segura ante un ataque de fuerza bruta, se sugiere que tenga por lo menos 10 caracteres mezclando cada uno de los cuatro tipos. Pero, ¿qué tan complicada de descifrar es una contraseña muy extensa que tenga solamente un tipo de caracteres, contra una contraseña más corta que tenga de los cuatro tipos de caracteres?
Para el primer caso hay un espacio más amplio de posibilidades, lo que la convierte en una alternativa estadísticamente menos probable de adivinar. Algo altamente recomendable es no usar palabras o expresiones que se encuentren en un diccionario.
- La doble autenticación, ¿me deja 100% excento?
Como solemos decir, ningún sistema es 100% seguro por sí mismo, y su uso debe ir acompañado de una resposabilidad por parte del usuario. En este caso, la doble autenticación aplicada en servicios de Apple no protege las copias de seguridad (backups). Además, no está disponible en todos los países.
Tal como explica el sitio Techcrunch, la doble autenticación no hubiera protegido a las celebridades de este masivo robo de fotos privadas, y tampoco protege a las cuentas que se vean comprometidas una vez que el atacante ha obtenido el Apple ID del usuario.
Sin embargo, queremos destacar que la doble autenticación sigue siendo un mecanismo de seguridad altamente recomendable y, a estas alturas, necesario en prácticamente todos los sistemas que la admitan. Para más información, puedes ver nuestro artículo "¿Qué es la doble autenticación y por qué la necesito?".
Entonces, ¿cómo proteger tu contenido en iCloud (y servicios similares)?
1. Revisa las opciones de backup automático
Como mencionamos anteriormente, las copias de seguridad podrían tener medidas de seguridad más débiles. Si bien es útil tener un respaldo actualizado de la información, recuerda que si tomas una fotografía y una copia de esta se guarda automáticamente en la nube, cuando la borres, esa copia permanecerá.
En este sentido, considera deshabilitar iCloud photo Sharing/Photo Stream.
2. Chequea dónde más se suben tus fotos
Al igual que iCloud, otros servicios como Dropbox suelen subir automáticamente copias de tus fotos a la nube -a menos que indiques lo contrario. De igual forma, cuando hay más de un dispositivo integrado o asociado a la cuenta, es probable que suceda algo similar, y el contenido se replique en otros equipos sin que lo notes. Así que tómate unos minutos para revisar las configuraciones de los servicios que utilizas.
3. Considera mentir -sólo un poco
La información que ingresas en Internet y en tus perfiles sociales queda al alcance de posibles atacantes, que la utilizan para intentar responder las preguntas de seguridad de tus cuentas. El nombre de tu escuela, tu mascota o un miembro de tu familia, tu fecha de cumpleaños y datos similares son buenos ejemplos. Considera poner respuestas falsas, difícilmente adivinables, para dificultar el acceso no autorizado a tus cuentas.
4. Utiliza conexiones seguras
¿Recuerdas cómo cuando eras pequeño debías estudiar de memoria las tablas de multiplicar, y repetirlas hasta que las supieras automáticamente? Pues algo similar deberías hacer con consejos de seguridad que a esta altura parecen obvios, como este: repítetelo las veces que sea necesario, pero recuerda siempre verificar que tu consexión segura. Esto significa que las comunicaciones están cifradas y que por lo tanto no podrán ser interceptadas, así que presta atención al candado y la zona verde en la barra de direcciones, y al uso de HTTPS en la URL.
5. Piensa antes de publicar una foto (sobre todo si es "privada")
Si no quieres que estén online y caigan en las manos equivocadas, considera guardarte las fotos privadas y no las compartas en servicios que no te garantizan seguridad y privacidad al 100%.
Después de todo, el nivel de privacidad que tenga tu contenido lo decides tú.