El incidente de iCloud y su impacto a los servicios de nube

Apple rechaza una intrusión a sus sistemas, pero no es casualidad que las fotos de cientos de usuarios del servicio iCloud se hayan filtrado al mismo tiempo; más aún cuando estas fotografías muestran imágenes comprometedoras de personalidades reconocidas en el mundo de la farándula, como Jennifer Lawrence –de quien más se ha hablado al respecto–, Victoria Justice, Kate Upton, Kirsten Dunst, Mary Elizabeth Winstead, Avril Lavigne, Hillary Duff, Kaley Cuoco, Kim Kardashian, Rihanna, Scarlett Johansson y Selena Gomez, entre otras.

Independientemente de la forma en que fueron obtenidas las fotografías (algunas de las cuales fueron supuestamente borradas de la cuenta de los usuarios hace meses o años), este no es solamente un caso que expone públicamente a figuras famosas, sino que deja al descubierto fallas de seguridad en un sistema de cómputo creado para salvaguardar las posesiones digitales de usuarios, tanto individuos como empresas.

Haciendo una investigación retrospectiva, la semana pasada el sitio 4Chan habría pagado cierta cantidad de dinero a alguien para liberar imágenes de actrices conocidas. El domingo 31 de agosto se publicaron las fotografías, a cambio de que los usuarios hicieran aportaciones en moneda electrónica o Bitcoins a cuentas de PayPal.

La primera reacción fue culpar a Apple por lo que sea que haya provocado que los hackers accedieran a las imágenes que se habían almacenado en iCloud. Como siempre, “ahogado el niño se tapa el pozo”, las notas para incrementar la seguridad de los usuarios en la nube y cómo desactivar la opción de almacenamiento inmediato de las imágenes en la nube de Apple surgieron al por mayor.

Cómo se realizó la brecha

Sin embargo, la pregunta sigue en el aire: ¿cómo se realizó la filtración? ¿Fue un solo ataque de hackers o es el resultado de un trabajo de años realizado por un grupo de atacantes?

Algunas de las teorías que han recopilado publicaciones como NBC News y The Verge, incluyen:

Ingeniería social. Uno o varios hackers pudieron dedicarse a adivinar las contraseñas de las cuentas de las celebridades. Las cuentas pudieron obtenerse desde otro servicio en línea, no necesariamente relacionado con Apple. Una vez que el atacante obtiene un correo electrónico o ID de acceso, puede intentar ingresar al sitio deseado usando la funcionalidad de “Olvidé mi contraseña” – esta teoría se basa en el hecho de que muchos usuarios utilizan las mismas credenciales para diversas actividades en línea.
Ataque de fuerza bruta. El anuncio de la filtración se dio poco después de que un equipo de desarrolladores dieran a conocer su hallazgo de una falla en el servicio Find My Phone de Apple, lo cual permitiría a cualquiera que consiguiera el ID de un usuario intentar introducir la contraseña cientos o miles de veces, hasta atinarle a la correcta.
Intercambio de “tarjetas”. Las imágenes pudieron recopilarse entre varios hackers y no solamente ser extraídas desde una sola fuente. Durante años, los hackers pudieron intercambiar imágenes y videos de actrices famosas hasta que alguien decidió difundir “su colección”.

Como sea, este incidente ha elevado aún más las dudas sobre la seguridad de los servicios en la nube que muchas empresas también utilizan para almacenar información confidencial. ¿Qué le garantiza a las compañías que su información no será extraída, tal como sucedió con las imágenes de estas famosas?

Los hackers no vulneraron la seguridad de iCloud, dice Apple

Apple confirmó que algunas cuentas de iCloud se vieron comprometidas, pero asegura que la seguridad de su sistema de respaldo automático no fue violada.

Las fotografías privadas de las celebridades involucradas en este incidente fueron obtenidas en un “ataque cuidadosamente dirigido hacia nombres de usuario, contraseñas y preguntas de seguridad”, dijo Apple en un comunicado. Pero la compañía no dio más detalles de cómo los atacantes obtuvieron los pedazos de información deseada.

De hecho, se ha especulado sobre si estas fotografías se obtuvieron mediante la explotación de una vulnerabilidad en el servicio Find My iPhone de Apple, lo cual ha negado la empresa. “Ninguno de los casos investigados han sido resultado de brechas en nuestros sistemas, incluyendo iCloud”, dijo Apple.

A pesar de esta negación, Apple silenciosamente arregló la vulnerabilidad de Find My iPhone que los desarrolladores habían publicado días antes, y que permitía a los atacantes múltiples intentos hasta encontrar la contraseña correcta.

Preocupaciones por la seguridad en la nube

El incidente ha renovado las dudas acerca de los servicios basados ​​en la nube y fue una llamada de atención para impulsar mejores procesos de autenticación.

El modelo tradicional –que se basa en los nombres de usuario, contraseñas y los preguntas de seguridad– es ampliamente considerado defectuoso porque los atacantes pueden moverse fácilmente entre estas revisiones.

El consultor independiente de seguridad, Graham Cluley, dijo que Apple debe hacer de la autenticación de dos factores algo obligatorio para todos los usuarios de sus servicios. Actualmente, la autenticación de dos factores que mejora la seguridad al exigir una contraseña de una sola vez es opcional, pero Cluley dice que no todos los usuarios saben que está disponible. “Sería muy bueno ver que Apple haga dicha protección obligatoria, y no solamente una opción para los pocos que se sabe acerca de ella”, escribió en un blog.

Después del incidente, Apple ha recomendado a los usuarios elegir una contraseña segura y permitir la autenticación de dos factores. La compañía no ha dicho mucho sobre el incidente ni la pieza de software llamada iBrute que explotaba una vulnerabilidad en el servicio Find My iPhone; sin embargo, se aplicó un parche y dicho servicio tiene ahora un límite de cinco intentos.

Llamado a reducir los riesgos

Para Raj Samani, director de tecnología de McAfee Europa, los procesos de autenticación deben ser reforzados por otras tecnologías biométricas. “La autenticación biométrica reemplaza contraseñas, teniendo en cuenta los atributos humanos como las huellas digitales, el reconocimiento de voz o facial para proporcionar un mayor nivel de seguridad”, dijo.

El incidente llamó la atención de las empresas para ajustar sus procesos de seguridad y asegurarse de que no estén expuestos al riesgo a través del uso de servicios basados ​​en la nube por parte de los empleados. “Las empresas deberían pensar en los servicios en la nube que sus empleados pueden utilizar para almacenar información de la empresa y asegurarse de que están protegidos o retirar la información de dichos servicios”, dijo Bob Doyle, consultor de seguridad de Neohapsis, firma de gestión de riesgos.

Temas sobre transparencia de datos

El FBI anunció que se ha sumado a la investigación de Apple. Todavía no existe evidencia concreta de que las fotos fueran robadas de iCloud y algunos analistas han sugerido el uso de múltiples brechas.

Los abogados que actúan en nombre de Jennifer Lawrence y Kate Upton han amenazado con procesar a cualquier persona que difunda o duplique las imágenes obtenidas ilegalmente.

Más allá del tema legal, el incidente ha develado preocupaciones sobre la transparencia de la ubicación de los datos. “Cuando uno sincroniza su teléfono con su laptop o tableta, esos datos casi seguramente van a otro lugar, donde se almacenan y respaldan”, dijo Tim Erlin, director de seguridad y riesgo en Tripwire.

“Cada uno de estos lugares y sistemas crea un vector de ataque que debe ser protegido. Estamos en el punto donde nada de lo que se hace en el iPhone puede ser considerado como privado”.

De acuerdo con Eduard Meelhuysen, vicepresidente de Netskope para Europa, una firma de análisis en la nube y aplicación de políticas, este suceso debe ser una advertencia para las empresas. “Incluso si las organizaciones no usan iCloud, sin duda sus empleados sí lo hacen”, dijo. Añadió que bloquear su uso en un entorno empresarial no es opción cuando este servicio es parte esencial de la vida de los usuarios.

“Para proteger los datos confidenciales de la empresa, las organizaciones necesitan entender qué datos se han movido a los servicios basados ​​en la nube y lo qué hacen los usuarios con eso”, dijo.

“En vez de bloquear iCloud, o cualquier aplicación similar, las organizaciones deben tratar de dar forma al uso al detener conductas de riesgo, como la posibilidad de subir información personal identificable o compartir contenido sensible fuera de la empresa. De esa manera se puede mitigar el riesgo al tiempo que se permite el uso de la nube en su negocio”, concluyó Meelhuysen.

Los esfuerzos técnicos de Apple

En marzo de este año la compañía introdujo la autenticación de dos factores (2FA) en iCloud y otros servicios para ayudar a proteger a los usuarios contra hackers que intentaran acceder a sus cuentas.

Esto significa que aún si los hackers roban o adivinan nombres de usuario y contraseñas, éstas no darán un acceso fiable a cuentas si no se está en posesión del teléfono móvil vinculado a la cuenta. Los hackers tampoco podrían usar la clásica técnica de solicitar el restablecimiento de contraseñas.

A cualquier persona que use la función se le enviará una clave de acceso temporal en un mensaje de texto al teléfono móvil para permitirles acceder a la cuenta o servicio de Apple. El sistema 2FA reemplazará los defectos de seguridad derivados de la facilidad de obtener información personal, como los datos de a qué escuela asistieron.

Una vez que la función está activada, el sistema permitirá cambios a la cuenta solamente con la contraseña de un solo uso (OTP) o código de verificación enviado al teléfono. Los usuarios también reciben un código de respaldo en caso de que pierdan su teléfono móvil o no puedan recibir el OTP debido a la falta de cobertura.

Aunque esta característica fue inicialmente lanzada en 11 países, en julio Apple llevó 2FA a 48 países más, alcanzando un total de 59. Sin embargo, los usuarios deben activar esta característica, ya que no está habilitado por defecto.
Con información de diversos artículos de Warwick Ashford publicados en SearchSecurity.com.

 

Fuente: http://searchdatacenter.techtarget.com/es/reporte/El-incidente-de-iCloud-y-su-impacto-a-los-servicios-de-nube?asrc=EM_EDA_33579262&utm_medium=EM&utm_source=EDA&utm_campaign=20140903_El%20impacto%20del%20incidente%20de%20iCloud%20a%20los%20servicios%20de%20nube_

Anuncios

Que te pareció ¿quieres hacer algún comentario?

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s