Un robo masivo de fotos cuestiona la seguridad de la nube

Desde un inocente selfie en el probador de una tienda a un desnudo en el baño o la foto de los genitales de su pareja. La intimidad de un centenar de actrices, modelos y cantantes estadounidenses, como Jennifer Lawrence, Kirsten Dunst, Kate Upton, Rihanna o Hillary Duff, ha quedado expuesta después de que un desconocido colgara en un foro de internet fotos y vídeos que guardaban en sus móviles y que, en principio, no habían pensado compartir. Todas, según explicaban en la web donde se han publicado las imágenes, usaban iCloud, el servicio de almacenamiento y copias de seguridad en internet para dispositivos de Apple, como el iPhone y el iPad, cuya seguridad podría haber sido burlada por delincuentes informáticos.

El Nudeleaks, como ya llama la prensa estadounidense al caso, ha puesto en cuestión el sentido de la privacidad que tienen los usuarios sobre sus asuntos, pero también la seguridad de los servicios de almacenamiento en internet. La llamada nube (cloud, en inglés) consiste en delegar la custodia de los datos (correos, fotos, vídeos, documentos, favoritos del navegador) a una empresa (llámese Google, Apple, Microsoft, Dropbox, Mega, Evernote, Adobe o Box) que los guarda en un servidor en algún lugar del planeta y a los que el usuario accede gracias a unas contraseñas desde una web.

NEGOCIO BOYANTE / Son negocios boyantes (se cobra a partir de un cierto espacio ocupado) y cada vez más populares por la comodidad que suponen para el usuario, que no ha de esperar a abrir el dispositivo que los guarda físicamente para acceder a la información. En Apple, lo activa el usuario y funciona solo entre los dispositivos de la marca (iPhone, iPad, Mac, Apple TV). En Microsoft o Adobe, es una web abierta a todo tipo de sistemas. Y en Google engloba desde ordenadores a móviles o televisores. En principio, el sistema ha de ser tan seguro como si se guardaran los datos en un disco duro desconectado de cualquier red. O mejor para evitar sustos, en varios, como sabe cualquiera a quien un disco duro externo le haya dejado de funcionar.

Pero si con los discos duros un robo de información requería acceder físicamente al dispositivo, con la nube, el acceso, al ser remoto, está al alcance de cualquiera... que sepa hacerlo. «En seguridad informática no existe el 100% y las empresas son seguras yo diría que según el mes. Depende de la complejidad del servicio, del tamaño, de los cambios que  se hagan y de cómo se hagan», explica Raúl Siles, fundador de Dinosec y consultor de seguridad. «Es difícil saber hasta qué punto es segura Apple porque no publica los resultados de auditorías de seguridad», añade.

El fallo más probable, en este caso, parece estar en no haber implementado una precaución básica en la herramienta de recuperación de contraseñas del servicio para localizar los móviles extraviados, llamado Buscar mi iPhone, que permite también borrar o bloquear el teléfono en caso de robo. Por lo visto, cuando se intentaba acceder a este servicio con una contraseña errónea, no daba error al cabo de un determinado número de veces, como suele ser habitual. Al no existir esta limitación, explica Siles, se podía lanzar lo que se llama «un ataque de fuerza bruta», es decir, un programa que fuera generando y probando contraseñas hasta dar con la adecuada. Con esas claves, un intruso podía acceder al resto de la cuenta de iCloud del usuario que hubiera elegido.

Esta vulnerabilidad fue revelada el pasado octubre en un congreso de seguridad informática internacional por el consultor ruso Vladímir Katalov, que reclamó más seguridad sobre todo para los servicios de guardar y compartir fotos.

HERRAMIENTA AUTOMATIZADA / En Github, un repositorio de programas que pide la colaboración de informáticos para mejorar un código, este sábado apareció un script que permitía generar contraseñas de modo automático e ir probándolas. Los autores, un grupo de seguridad ruso llamado Hackapp, le llamaron iBrute. Ayer su Twitter desmentía que hubiera pruebas de que el programita se hubiera usado para acceder a las cuentas de las famosas. Tampoco Apple admitía el fallo, aunque se apresuró a arregarlo. El mal ya estaba hecho.

«No parece un ataque a iCloud en sí, porque si no es como entrar en un banco y robar solo los clips. Tiene toda la pinta de ser un ataque dirigido contra objetivos concretos. Seguramente ya tenían la lista de correos de los que querían las contraseñas», aventura Dani Creus, analista de seguridad de Kaspersky España.