(Bloomberg).- Preguntas tales como el nombre de soltera de su madre son de uso frecuente por las empresas para mejorar la seguridad en línea. El robo de fotos de famosas desnudas de las cuentas de Apple Inc. muestra la facilidad con que esas preguntas puede ser hackeadas.
Apple dijo que una serie de fotos de desnudos de actrices, incluyendo Jennifer Lawrence, que han sido publicadas recientemente en línea fueron robados por separado de las cuentas de Apple.
“Las cuentas de celebridades fueron afectadas por un ataque muy selectivo contra nombres de usuarios, claves y preguntas de seguridad, una práctica que se ha vuelto demasiado común en Internet”, dijo la empresa, con sede en Cupertino, en un comunicado.
El incidente pone de relieve cómo las técnicas adoptadas por las empresas para aumentar la seguridad están lejos de ser infalibles, dejando al descubierto un riesgo para los usuarios habituales de Internet.
Conforme la gente publica información más sensible en las redes sociales, se ha hecho más fácil para los criminales el obtener las respuestas a las preguntas de seguridad. Eso significa que los consumidores rara vez pueden depender de un solo conjunto de defensas y tienen que agregar más capas, incluso si tienen cuentas en línea menos conveniente.
Eso es especialmente cierto para las personas famosas, que han sido durante mucho tiempo los objetivos de los hackers porque las preguntas de seguridad que protegen sus cuentas en línea de los intrusos son triviales.
Con base en la información pública disponible sobre ellos, las preguntas básicas, tales como: alguien con quien fue a la escuela secundaria, o la fecha de su cumpleaños se puede ser fácilmente resuelto – y no terminan siendo una barrera de seguridad.
Preguntas personales
“Preguntas personales como mecanismo de recuperación de la contraseña es un sistema erróneo”, afirma Chris Morales, gerente de análisis y prueba de seguridad de la firma NSS Labs Inc. en Austin, Texas.
“Nunca las uso. Si tengo que hacerlo, no doy las respuestas esperadas obvias a preguntas como el nombre soltera de mi madre, el nombre de mi mascota, o donde nací. Si usted tiene un e-mail de un usuario y sabe un poco de la historia personal de esa persona, no es tan difícil de conseguir la contraseña” señala.
Apple trabajaba para calmar la tormenta sobre las cuentas de las celebridades, el mismo día en que Home Depot Inc. informó que estaba trabajando con los bancos y la policía para investigar una posible violación de datos. La semana pasada, Bloomberg News también informó que JPMorgan Chase & Co. había sido hackeada.
Apple hizo las declaraciones después de examinar los informes que señalaban que los hackers supuestamente obtuvieron las fotos de desnudos utilizando el servicio iCloud para acceder ilegalmente a archivos.
Los informes, que impulsaron una investigación por parte de la Oficina Federal de Investigaciones, amenazaban con estropear un evento de Apple el 9 de setiembre, donde la compañía está lista para revelar sus nuevos iPhones, un dispositivo portátil y un sistema de pagos móviles, señalaron personas con conocimiento del tema.
Dos pasos
Apple dijo en su comunicado que iCloud no fue violada por los piratas informáticos, y alentó a sus usuarios a utilizar contraseñas más seguras, incluidas las que tienen al menos ocho caracteres con un número, una letra, una letra mayúscula y no se utilice claves pasadas.
Apple dijo también desea que los clientes utilicen la verificación de dos pasos, lo que significa que después de introducir una contraseña, se le enviará un código adicional al teléfono móvil de una persona.
“Cuando nos enteramos del robo, estábamos indignados y movilizamos inmediatamente a los ingenieros de Apple para descubrir la fuente,” dijo la compañía. “La privacidad y seguridad de nuestros clientes son de suma importancia para nosotros”, agregó.
El auge de las redes sociales y el cambio a la computación en la nube está exponiendo a más personas al tipo de ataques que se utilizan para afectar principalmente a grandes personajes públicos.
El denominador común es un sistema de seguridad omnipresente que incluye preguntas de seguridad personales. El uso de preguntas como un mecanismo de autenticación – que fueron diseñados para ayudar a las personas cuando se olvidan sus contraseñas o requieren un nivel adicional de comprobación – conlleva a riesgos importantes para los usuarios cuando las preguntas son contestadas con honestidad.
Numerosas celebridades también han sido comprometidas previamente a través de preguntas personales de seguridad.
Cuentas de Yahoo de Sarah Palin una vez fueron hackeadas cuando un estudiante universitario utilizó una página de Wikipedia para encontrar a su fecha de nacimiento, mientras que cuentas de T-Mobile de Paris Hilton fueron violadas cuando los hackers digitaron correctamente el nombre de su perro en respuesta a su pregunta de seguridad.
Fotos de desnudos de la actriz Scarlett Johansson y otras celebridades también se filtraron después de la violación de sus cuentas realizada por un hacker que adivinó las preguntas de seguridad.