Tras el CelebGate, ¿cómo de seguras están nuestras cosas en la nube?

La noche de ayer fue una noche intensa en la red de redes. Cuando el cielo oscurecía en Europa y al otro lado del Atlántico comenzaba la tarde, decenas y decenas de fotografías de famosas desnudas empezaron a difundirse en redes sociales, servicios de alojamiento de imágenes y redes de intercambio de archivos. ¿El origen de las imágenes? Un supuesto ataque a las cuentas de iCloud de estas celebrities. ¿El motivo? Parece que el dinero que pedían por ellas.

Todo comenzaba la semana pasada cuando, en los foros de 4chan, uno o varios usuarios anónimos -según cuenta la publicación Gawker- anunciaban estar en posesión de una serie de fotografías de famosas con alto contenido erótico. Los responsables anunciaban que el domingo iban a empezar a filtrarlas y, como comprobamos estupefactos en la noche de ayer, así fue. Las famosas afectadas irían desde Jennifer Lawrence a Selena Gómez o Mary E. Winstead y aunque la veracidad de algunas de estas fotografías está en entredicho, la autenticidad de otras tantas ha sido directa o indirectamente confirmada por las víctimas de esta grave violación de la privacidad.

Tras el Celebgate, ¿cómo de seguras están nuestras cosas en la nube? - imagen 2

Aunque el hackeo de teléfonos móviles o servicios en la nube no es nada nuevo, suponiendo que el robo de estos archivos -entre los que podría haber hasta vídeos- se hubiese realizado realmente desde las cuentas de iCloud de las afectadas y otros servicios similares en la nube, como apuntan diversas fuentes, ¿a qué nos estaríamos enfrentando?

Agujeros de seguridad o negligencias de las usuarias

En inevitable cuestionarse si plataformas en la nube similares a iCloud, a la que señalan gran parte de los rumores, u otro tipo de servicios poseen graves agujeros de seguridad o el Celebgate, como ya se ha bautizado al triste robo, es fruto de un nulo mimo a los sistemas de protección de estas cuentas como todo parece apuntar. Siendo así, ¿cómo podrían haberlo hecho los hackers?

Así podrían haber sustraído las fotos de las famosas

La formas más sencilla mediante la cual un hacker, o un cracker mejor dicho, podría haber accedido a las cuentas de estos personajes famosos es mediante un ataque de fuerza bruta.

En la mayoría de los casos, más si cabe si somos especialmente precavidos a la hora de elegir nuestras contraseñas, un ataque de esta índole acabaría siendo bloqueado tarde o temprano por los servicios en cuestión mediante el añadido de mecanismos como captchas, por ejemplo, pero si la única barrera era una contraseña débil, los delincuentes informáticos podrían haberla adivinado sin demasiada dificultad.

El recordatorio de contraseña podría haber sido otro de los métodos podrían haber empleado para entrar en las cuentas. Según la configuración de los diferentes servicios, puede recuperarse una contraseña olvidada o crearse una nueva a través de un enlace mandado a una dirección de correo electrónico que hubiésemos indicado, gracias al envío mediante un mensaje de texto de un código a un número de teléfono previamente verificado o, y esta podría ser otra probable vía de entrada para los ciberdelincuentes, la respuesta de una serie de preguntas de índoles personal.

Tras el Celebgate, ¿cómo de seguras están nuestras cosas en la nube? - imagen 3

Siendo un personaje público, con gran parte de tu vida aireada, con un poco de investigación alguien malintencionado podría hacerse con las soluciones a esas cuestiones supuestamente privadas.

Una tercera vía para el robo de esos archivos audiovisuales de índole sexual podría haber sido el ataque por fuerza bruta al correo electrónico de las víctimas. De nuevo, una débil contraseña podría haber dado acceso al correo electrónico a través del cual podrían haber generado una nueva contraseña para un servicio de almacenamiento de archivos y acceder a él de forma limpia.

Y ligada a las tres formas de acceso combinadas tendríamos una cuarta que podría aprovechado la utilización de una única contraseña en varios servicios para atacar el más débil y, a partir de ahí, comprometer el resto.

El último extremo al que podrían haber recurrido los hackers o crackers sería la ingeniería social, una amenaza no baladí. Fue la técnica llevada a cabo hace un par de años con el reportero de la publicación Wired, Mat Honan, al que sustrajeron cuentas de correo electrónico e iCloud, entre otras. Tras haber fracasado con ataques de fuerza bruta y utilización de información pública, los atacantes acabaron recurriendo al soporte técnico de las compañías para, mediante engaños, hacerse pasar por el propio Honan y conseguir de una forma relativamente sencilla lo que pretendían: tener acceso a sus cuentas.

¿Qué podemos hacer para prevenirnos de ataques similares?

La principal y más importante recomendación es sencilla pero bien efectiva: elegir contraseñas extremadamente fuertes o, lo que es lo mismo, escoger contraseñas de longitudes mayores a los clásicos seis u ocho caracteres con combinación de letras mayúsculas y minúsculas, números y símbolos. Y si crearlas o recordarlas es un problema, existen gestores de contraseñas sumamente útiles y potentes como LastPass o Keepass.

La segunda recomendación sería la comprobación de los métodos de recuperación de contraseña que tenemos en cada uno de los servicios que utilizamos. Véase recuperación mediante el envío de un SMS, el envío de un correo electrónico o la realización de un cuestionario de preguntas personales. ¿El más seguro cuál es? Quizás, la recepción de un mensaje SMS. A no ser que el atacante sea alguien de nuestro entorno con acceso a nuestros objetos personales, por lo general un ciberdelincuente no tiene por qué tener acceso a nuestro terminal.

Tras el Celebgate, ¿cómo de seguras están nuestras cosas en la nube? - imagen 4
Google y el logotipo de Google son marcas comerciales registradas de Google Inc., que se deben utilizar con permiso

Por último, pero no por ello menos importante, el empleo en la medida de lo posible de la autenticación en dos pasos o dos factores. Como su nombre muy bien indica, este sistema de seguridad verifica dos parámetros del usuario para que sea más complicado un ataque uniendo a la contraseña  un código que se envía al teléfono del usuario, al que en teoría no tiene acceso nadie más. Con ello, alguien que quisiera simplemente acceder a nuestra cuenta de Twitter o Google por ejemplo, servicios que disponen de este sistema, tendría que conocer nuestra contraseña además de tener nuestro terminal en su poder.

Como muchas veces hemos dicho, más vale prevenir que curar. Hay que ser cautos y celosos con nuestra seguridad si no queremos que nuestra privacidad se vea comprometida.

ACTUALIZACIÓN 01/09/2014 16 horas: Según hemos podido saber, la hipótesis de un fallo de seguridad en iCloud habría cobrado veracidad; aportamos la última información en el artículo Un fallo de seguridad en iCloud podría ser responsable del Celebgate.

Relacionados

Opiniones de los usuarios

Nos encanta escucharte ¿Nos dejas tu opinión?