FilmClub

Una noticia suculenta sin duda, a la que Apple pone la guinda perfecta con infinidad de medios dando por hecho un dato que hasta el momento no es más que pura especulación: iCloud podría ser la fuente de las fotos comprometidas de varias famosoas que este fin de semana han visto la luz.

Estados Unidos ardía estas pasadas horas con la publicación de una ingente cantidad de fotos comprometidas en 4chan, el foro donde nacen la mayor parte de burradas que puedes encontrar en Internet hoy día. Jennifer Lawrence (Los Juegos del Hambre), Kaley Cuoco (The Big Bang Theory), Mary Elizabeth Winstead (Scott Pilgrim vs. The World), Kirsten Dunst (Spiderman), la modelo Kate Upton o cantantes como Ariana Grande y Selena Gómez son tan solo algunos de los nombres más conocidos de una lista que no para de crecer.

Lo que sí es seguro es que entre las fotografías vemos selfies realizados con teléfonos Android, archivos thumbs.db de Windows, vídeos en formato WebM en lugar de MP4, el PDF de iniciación a Dropbox… en fin, una serie de banderas rojas que cuanto menos deberían invitar a la precaución mientras esperamos un comunicado oficial de Apple que con toda probabilidad llegará.

Lo más acertado es la posibilidad de que el hacker haya aprovechado alguna vulnerabilidad de seguridad, como dicen estos nuevos datos sobre un fallo del API de ‘Buscar mi iPhone’ detectado hace unos días (y por fortuna, ya resuelto) que permitía realizar ataques de fuerza bruta al servicio en la nube de Apple. No se trata de defender a nadie, sino de apuntar antes de disparar.

Aún así, no es lo mismo que el caso de phishing que afectó a Scarlett Johansson y Mila Kunis hace dos años. En aquella ocasión el hacker, finalmente identificado y condenado a diez años de prisión, logró acceder a los correos electrónicos de sus víctimas mediante los clásicos mensajes falsos en los que alguien se hace pasar por nuestro proveedor de correo informándonos de algún problema y ofreciéndonos un enlace para recuperar nuestra contraseña. El eslabón más débil siempre es el usuario.

Dicho esto, y huyendo de cualquier moralina barata que señale a las víctimas y no al autor, quizás merezca la pena aprovechar este incidente para reconsiderar la seguridad y privacidad de los servicios que utilizamos. Ajena a lo que se le venía encima, Jennifer Lawrence bromeaba hace unos meses durante una entrevista para MTV sobre sus problemas para manejarse con iCloud, un servicio que por fortuna verá con iOS 8 notablemente simplificada su función de sincronización de fotos y vídeos.

Volviendo al tema, el representante de JLaw ha validado la autenticidad de las fotografías, señalando la “flagrante violación de la privacidad” que constituye su difusión. La actriz Mary E. Winstead también ha confirmado la autenticidad de las suyas, mientras que Victoria Justice ha demostrado que en su caso se trata de un montaje realizado con Photoshop. Es lo que toca, la proliferación de infinidad de falsificaciones al calor de los acontecimientos.

Al parecer todo se debe al método de acceso usado por la mentada aplicación ‘Find my iPhone’, la cual no tenía protección contra un ataque clásico informático conocido como ‘fuerza bruta’. Este ataque es básicamente usar el ensayo y error reiteradamente. Es decir, usar un nombre y contraseña. Si falla, usar otra contraseña. Y así, sucesivamente cambiando no sólo la contraseña, sino también el usuario. En la mayoría de sistemas, esto tiene un límite de 3 intentos (igual que el PIN de los móviles al encenderlos con una SIM correctamente colocada). Pero al parecer, acceder al ‘Find my iPhone’ no tenía este tipo de seguridad básica. Tampoco bloqueaba el AppleID de los teléfonos de la marca. Así que era cuestión de tiempo y ejecutar un programa para ello.