Las fallas en la seguridad de Apple

El método opcional de autenticación de la firma es deficiente en el rubro de servicios en la nube; una empresa especializada en seguridad asegura que el sistema aún no es un producto terminado.
iphone  (Foto: AP)
Julianne Pepitone

Apple recientemente reforzó su sistema de autenticación en un esfuerzo por impedir los ataques informáticos, pero un nuevo informe revela que la medida de seguridad es deficiente en un rubro importante: su servicio en la nube.

Desde marzo, Apple dio a conocer un método opcional de inicio de sesión de "autenticación de doble factor" para la ID de Apple. Es una herramienta de seguridad básica ya utilizada por Google, Facebook y Dropbox que requiere una contraseña y una pieza de datos, como una serie de números enviada a través de un mensaje de texto. Twitter también presentó recientemente un sistema de este tipo a raíz de una serie de ataques a cuentas.

Sin embargo, la compañía de software de seguridad ElcomSoft explicó el jueves en un blog que las nuevas medidas implementadas protegen a los usuarios sólo en ciertas situaciones: en la compra de aplicaciones y música, cuando se gestiona una cuenta ID de Apple o al recibir asistencia al cliente. No protege otras informaciones importantes, como fotos y otros archivos almacenados en su servicio iCloud.

Un hacker que se las arregla para averiguar la ID y la contraseña de un usuario puede ingresar a la cuenta iCloud de ese usuario, y descargar toda la información potencialmente confidencial almacenada allí, incluso si ese usuario tiene activado el sistema de doble factor. ElcomSoft acusó a Apple de hacer "un trabajo a medias", argumentando que la protección de doble factor debe implementarse también en las copias de respaldo en iCloud.

ElcomSoft expuso cómo un hacker podría descargar esos datos usando una ID comprometida para iniciar sesión y restaurar la configuración de un dispositivo a través de una copia de seguridad de iCloud. El atacante también podría usar un sencillo programa para descargar en un ordenador los datos que un usuario tiene en iCloud.

Apple envía un correo electrónico alertando a los usuarios cuando un nuevo dispositivo es restaurado utilizando una copia de seguridad de iCloud, pero ElcomSoft no recibió un mensaje de alerta luego de usar un programa para descargar los datos.

"El enfoque de Apple al implementar la autenticación de doble factor no parece un producto terminado", escribió ElcomSoft en su blog. "La solución no es tan segura como uno cabría esperar".

Una portavoz de Apple declinó comentar el tema, y ElcomSoft dijo que obtuvo la misma respuesta.

Para ser justos con Apple, la compañía nunca dijo que su sistema de doble factor protegería a iCloud. ElcomSoft escribió en su blog que el sistema "hace todo lo que asegura hacer". Pero como señala la compañía de software, el sistema de Apple simplemente no ofrece el blindaje que podría ofrecer. Y los usuarios podrían suponer que la autenticación de doble factor los tiene protegidos en todos los ámbitos.

 "Como es costumbre, Apple se niega a comentar sobre cualquier cosa concerniente a la seguridad, por lo que sólo podemos especular si la protección en dos pasos se extenderá para cubrir la información almacenada en iCloud", señaló ElcomSoft en su post.

Si bien la vulnerabilidad de los datos en el servicio iCloud fue la principal deficiencia que ElcomSoft detectó, la compañía también mencionó otra preocupaciones.

Por ejemplo, cuando un usuario habilita la autenticación de doble factor, el código de verificación se envía como un mensaje ‘FindMyPhone', es decir, un mensaje que aparece en la pantalla del dispositivo, incluso cuando éste está bloqueado. Eso seguramente se debe a que los iPods y las iPads no pueden recibir mensajes de texto. Pero reviste un problema si un dispositivo de Apple se pierde o es robado y cualquiera puede ver fácilmente el código de verificación.

Ahora ve
Cómo se prepara y se come una pizza en el espacio
No te pierdas
×