Un fallo de seguridad permite hackear cuentas iCloud

Software

El pasado año 2014 pudimos ver cómo cientos de fotografías íntimas de famosas se filtraban por un fallo de seguridad de iCloud. Después de varios meses, un grupo de informáticos tras el nombre Pr0x3 ha publicado iDict, una herramienta que permite el acceso no autorizado a cuentas de almacenamiento iCloud. Te explicamos cómo funciona y cómo evitar que roben nuestra cuenta con iDict.

Un fallo de seguridad en la autenticación en dos pasos de iCloud, que debería proporcionar mayor seguridad a los usuarios, permite a iDict llevar a cabo de forma satisfactoria ataques de fuerza bruta. El problema está, precisamente, en que iCloud no bloquea el acceso a las cuentas tras un número ilimitado de intentos con diferentes contraseñas. Dado este fallo de seguridad, y que Apple no lo ha solucionado, pudimos ver cientos de fotografías íntimas filtradas y podría volver a repetirse, aunque no es tan fácil como parece.

Desde que ha sido publicada la herramienta, varios usuarios han tratado de experimentar probando con cuentas de iCloud para acceder haciendo uno de estos ataques de fuerza bruta. Ahora bien, la gran mayoría de ellos han hecho saber que “la herramienta no funciona”, lo que ha hecho creer que tan solo se trataba de un engaño. Nada más lejos de la realidad, sino que iDict sólo cuenta con un diccionario limitado de contraseñas, por lo que si ninguna de las que tiene almacenadas funciona en el acceso, entonces no se puede acceder a la cuenta objetivo. En cuanto a las capacidades de este software, sus desarrolladores han explicado que cuenta con poco más de 500 palabras con las que probar suerte, lo que no quiere decir que cientos de cuentas sean vulnerables al ataque.

La única solución es tener una contraseña segura

Como hemos explicado en varias ocasiones, si tu contraseña no combina números y letras, mayúsculas y minúsculas, y es excesivamente corta… entonces es prácticamente como si no utilizásemos contraseña. Por lo tanto, la única solución a este problema, al menos hasta que la compañía de Cupertino actualice iCloud en materia de seguridad, es utilizar una contraseña segura siguiendo los parámetros explicados anteriormente.

Escrito por Carlos González

Fuente > The Hacker News

Continúa leyendo
Comentarios
8 comentarios
  1. Islander 04 Ene, 15 7:35 pm

    Cupertino ya actualizó. La herramienta en cuestión dejó de funcionar esta mañana.

  2. Anónimo
    Usuario no registrado
    04 Ene, 15 7:37 pm

    Llegáis tarde. Apple ya activó el control en dos niveles hace unas semanas. Podéis conseguir el password, pero saltará la verificación en dos pasos. Fin de la historia.

  3. Anónimo
    Usuario no registrado
    04 Ene, 15 7:45 pm

    Al final será verdad, que una escopeta de ferias va mucho mejor que el sistema de Apple.
    A mí no me cogerán, no tengo nada de Apple.

  4. Anónimo
    Usuario no registrado
    04 Ene, 15 8:51 pm

    que una empresa como apple permita hacer ataques de fuerza bruta porque no bloquea la cuenta durante unos minutos tras varios intentos es inmensamente triste

  5. maxton 04 Ene, 15 10:31 pm

    un dia me dijo un colega muy convencido yo no almaceno en el disco duro de mi ordenador prefiero en la nube, le dije yo no me fiaria de dejar nada en internet, el que es seguro que no pasa nada que era un antigüo, pues toma noticia compadre jajajaja

  6. delahoya 05 Ene, 15 10:37 am

    Pero las contraseñas complejas solo evitan los ataques de fuerza bruta, todos saben que hay muchos tipos de ataques para extraer la contraseña por muy compleja que sea. La seguridad de un sitio no puede basarse solo en la seguridad de la contraseña.

  7. Anónimo
    Usuario no registrado
    05 Ene, 15 3:42 pm

    madre mia eso es un epic fail en toda regla.

    hasta el programador mas chapuero pone un limite de accesos a una cuenta por seguridad.

    en fin apple como siempre vendiendo imagen de “Seguridad” sin ser seguro y lo peor es que la gente se lo cree.

    1. Anónimo
      Usuario no registrado
      05 Ene, 15 7:39 pm

      El problema es que ahora nos meten la nube con calzador en todas partes. Tu propio móvil si no lo configuras bien, sube automáticamente tus fotos y configuración a servidores “en la nube”. Y todo eso está subido en sistemas de dudosa seguridad, al alcance de cualquier mafia (de las que no avisan de lo que hacen para que nadie se entere).