No, la seguridad de iCloud no se ha visto comprometida

A pesar de lo que leas hoy sobre el robo de fotos de famosos "en pelotas" que es el gancho que repetirán hasta la saciedad, no, la seguridad de iCloud no se ha visto comprometida. En todo caso, la candidez de los propietarios de las fotos, pero aún hay más.

A pesar de lo que leas hoy sobre el robo de fotos de famosos “en pelotas” que es el gancho que repetirán hasta la saciedad, no, la seguridad de iCloud no se ha visto comprometida. En todo caso, la candidez de los propietarios de las fotos, pero aún hay más.

Más allá de la lista de celebridades cuyas fotos han sido robadas hay un par de detalles que no te van a contar los múltiples artículos que se han publicado ya acerca de que la seguridad de iCloud se ha visto comprometida.

Para empezar, si ésto hubiera ocurrido, las comunidades especializadas en seguridad estarían en alerta máxima, cosa que no ha sido el caso salvo varios comentarios acerca de lo que sí ha podido ocurrir: un posible ataque de phishing para recuperar las contraseñas de los usuarios afectados.

Por otra parte, la fuente de la intrusión ha sido una serie de comentarios anónimos en el foro 4chan que apuntan a una intrusión en iCloud y en los teléfonos móviles de los usuarios afectados. Sin embargo, en algunas de esas filtraciones de fotos hay archivos de bienvenida de Dropbox o algún .thumb de Windows relacionado con Dropbox.

Como comentario personal, se me han adelantado en el artículo de mañana de la serie “Calentando la Keynote” en el que vaticinaba un escándalo importante relacionado con Apple justo esta semana. Curioso.

In this article


Join the Conversation

27 comments

  1. bitomule

    Me gustaría saber cuanto están pagando todas las marcas que están cagaditas de miedo para que aparezcan todas estas noticias “ligeramente tendenciosas”. A ningún redactor con algo de conocimiento se le deberían pasar por alto cosas tan evidentes.

  2. Pablo Romeu

    Antes la he visto, pero no la encuentro… Juraría que era un nexus, o eso me ha parecido al primer vistazo.

  3. Santiago

    Pues yo, dos horas después de estar viendo las fotos he conseguido localizar el móvil 😛

    Yo diría que es un iPhone 4:

    [IMG]http://i.imgur.com/cd613Lp.jpg[/IMG]

    Joer que he equivocado de modelo, que es éste:

    [IMG]http://i.imgur.com/SwnHOLA.jpg[/IMG]

  4. Pablo Romeu

    No es esa la foto que he visto yo. Pero sí, esa parece un iPhone

  5. Carlos Burges

    #4 evidentemente no todos los teléfonos serán Android. Pero por usar un iPhone no quiere decir que se haya roto la seguridad de iCloud.

  6. abaskiat

    Es curioso como hoy hay más de una noticia negativa que apunta a Apple. Se comenta en Wall Street que el elevado valor de las acciones de Apple puede suponer una venta masiva de títulos en cuanto salga el iPhone 6 y lo que le acompañe. Parece que hay mucha gente interesada en hacer ruido estos días para perjudicar la salida de lo que salga y apuesto que entre otros Google y Samsung están detrás como de costumbre. Apple no debería dormirse y contraatacar.

  7. b1b72ed7

    #7 una de las maniobras de Apple últimamente es hacerse con el mayor número de acciones para así evitar en lo posible a los oportunistas!

  8. autoy

    No está claro, por una parte TNW publicó el hack que se pudo usar: http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/
    Existía un agujero que permitía fuerza bruta y Apple lo parcheó ayer pero eso no significa que ese fuera el hack usado ya que hoy The Guardian revela que fue seguramente una estrategia de phishing o ataque al correo de las cuentas afectadas: http://www.theguardian.com/technology/2014/sep/01/nude-celebrity-pictures-hack-jennifer-lawrence-rihanna?CMP=twt_gu

  9. Santiago

    A mí me da igual -en este caso- si es fallo del iCloud o de lo que sea. Yo ahora mismo me limito a estar agradecido por las pequeñas alegrías. [-o<

  10. Santiago

    #5 A ver, alguien tenía que hacerlo por amor a la rigurosidad de la información y me he vuelto a ver tooodas las fotos de Jennifer Lawrence y tooodas las de Kate Upton (varias veces, parándome en cada una un rato) y llego a la conclusión de que JL usa un iPhone en las suyas, mientras que las de Kate Upton cuesta más verlo:

    [IMG]http://i.imgur.com/sTcRU4z.jpg[/IMG]

    Sin embargo no hay que olvidar que Kate Upton

    [IMG]http://i.imgur.com/QyebAHh.jpg[/IMG]

    También me he visto las fotos de Kirsten Dunst y Jessica Brown por si acaso. Ah, qué vida TAN sacrificada.

  11. Carlos Burges

    #11 En vez de buscando fotos deberías estar trabajando para levantar España.

    Sí, algunas de las personas de las que han publicado fotos tienen o han tenido en alguna ocasión un iPhone. ¿y? ¿ese es el asunto de la conversación? ¿O es otro como la veracidad de que si realmente iCloud tiene un problema de seguridad, no, ha sido un brute-force o un ataque de Phishing? Creo que esa es la conversación correcta, porque si no, el artículo estaría lleno de fotos de señoras ligeritas de ropa.

    Pero no es el caso.

  12. Diego Torres

    Samsung y Google detrás de esto ? Es el mejor chiste que he escuchado!!!

  13. Alquimista

    Pues no parece que fuera un bulo: [url=http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/]This could be the Apple iCloud flaw that led to celebrity photos being leaked[/url]

  14. Carlos Burges

    Yo tengo bastante claro que fue un ataque de Phishing porque en el caso de poder atacar con un Brute Force no se va a por las fotos de famosos, se va directamente a por los datos de usuario, todos los que puedas conseguir. Hay muchos esquemas para esto, una vez tienes los datos, empiezas a comprar apps discretamente contra una cuenta de desarrollador falsa y a cobrar (y es solo un ejemplo). Pero hubieran saltado las alarmas porque muchos usuarios tiene activada la verificación en dos pasos.

    Lo curioso de todo este esquema es que para poder acceder a la contraseña de usuario [b]necesitas también[/b] la ID de Apple. ¿Cuáles serán las ID de estos famosos? ¿DE dónde las han obtenido? Sin ese primer paso, sin el xxxx@icloud.com o el correo electrónico, no hay forma de empezar el Brute Force, así que de alguna forma lo han tenido que obtener (o ya los tenían) por lo que me decanto mucho más por un esquema de phishing.

    Y un dato más: https://twitter.com/arrozconnori/status/506508978843824128

  15. Mandibul

    Os voy a hacer una reveladora perturbación y una perturbadora revelación:
    Las fotos son tomadas por un tercero mientras las modelos sujetan un móvil enfocando al cámara.

    chanchanchaaaaaán

    No lo busquéis, fui yo

  16. Santiago

    #12 Carlos, a ver si un día te bajas de tu puto altar y dejas de dar lecciones. Sabrás tú lo que hago o dejo de hacer yo para levantar España. A lo mejor es como mínimo tanto como haces tú. Yo pago la nómina de los 16 trabajadores que tengo contratados en mi empresa. ¿Qué haces tú que te hace pensar que eres más que yo?

  17. Carlos Burges

    #17 ¿De mi altar? Estoy intentando reconducir la conversacion “al tema” y no a las trollerías que nos tienes acostumbrados. Se ve que no te gusta que los demás juguemos con las mismas reglas que tu quieres utilizar.

    Al final, es evidente, tenías que saltar porque no tienes más argumentos que enfadarte porque “sobre el tema” tienes poco que aportar.

  18. aritzasm

    Apple ha sacado comunicado:

    Apple said it was “actively investigating” the violation of several of its iCloud accounts, in which revealing photos and videos of prominent Hollywood actresses were taken and posted all over the Web.

    “We take user privacy very seriously and are actively investigating this report,” said Apple spokeswoman Natalie Kerris.

    Vamos que están investigandolo.

    Yo personalmente, dudo mucho que sea iCloud, apuesto más por otro servicio tipo Whatsapp o DropBox.

    También hay otra posibilidad, que esto sea una campaña para fastidiar el evento de apple del día 9. Las fotos habrían sido recogidas a lo largo de los años por las comunidades de seguidores de famosos en la DarkNet, donde para entrar tienes que aportar este tipo de material) Liberadas ahora para enturbiar la reputación de apple. Por lo que dicen en 4Chan hay muchas mas fotos y vídeos, que aun no han salido.

  19. Santiago

    #18 A ver Carlos: yo salto cuando me ofenden sin motivo, y esta es la segunda vez que lo haces. A qué cojones dices que trabaje para levantar España. Qué pollas sabrás tú lo que yo trabajo. Y yo no he trolleado nada. Tú aportas como fuente fidedigna lo que dice un pavo en twitter (“es un nexus”) y de hay te sacas una teoría de la conspiración (ridícula, en mi opinión, pero vale). Luego otro dice que la foto es con un Nexus. Yo simplemente enseño las fotos como broma porque, como ya he dicho, a mí me da igual de dónde venga el fallo, agradezco las fotos. El fallo, por cierto, todavía no está claro -para ti sí, pero no para Apple- de dónde viene. No digo que sea ni de iCloud ni de nada. Me la suda. Y si tú no lo entiendes es obvio que te tiene que dar más el aire.

    Y digo lo del aire porque en las fotos que se han filtrado, las que todo el mundo ha visto, no hay NI UNA imagen de Dropbox. Hay que revisarse todos los álbumes de Imgur (que ahora ya están borrados), investigar en 4-chan o bajarse las casi 500 Megas de fotos y revisarlas para, en efecto, encontrarse un imagen de Dropbox, una de explorador de Windows o un pdf de Dropbox.

    Así que dime quién más ha estado buscando fotos en vez de levantando España. Maleducado.

  20. aritzasm

    Todo empieza a tener sentido,

    Hay gente que colecciona fotos de famosos, pues uno de estos coleccionistas decidió intercambiar su colección por bitcoins este fin de semana. Consiguió unos 50 mil dólares.

    En vista del éxito otros coleccionistas le han seguido y han ido apareciendo nuevas fotos y vídeos.

    Vamos, que como decía el articulo, la seguridad de apple no se ha visto comprometida

  21. yules

    Hay mucha gente que con Apple está a la que salta, no creo que eso sea una novedad para nadie. No hay más que pensar en el pifostio que se montó con la privacidad cuando se descubrió que alguien con acceso físico a tu iPhone o al ordenador donde tuvieras tu copia de seguridad podía acceder al registro de las antenas de telefonía a las que habías estado conectado en los últimos tiempos.

    Sin embargo, si sabes la cuenta de correo y la contraseña con la que alguien tiene configurado su Android puedes ver dónde ha estado cualquier día, con trayectorias, si estaba parado o en movimiento, etc… desde que se activó esa cuenta y aquí no pasa nada. Hace poco mataron aquí a una chica a la que el ex-novio acosaba porque “siempre parecía saber dónde estaba” y supo cuándo encontrarla en despoblado para pegarle un tiro en la cabeza, y tampoco ha pasado nada. Es verdad que se puede desactivar ¿pero creéis que la gente de a pie sabe que su teléfono está enviando a los servidores de Google y guardando un registro permanente de sus movimientos?

    En fin, siempre la doble moral.

  22. b1b72ed7

    #21 50.000 dólares para estas fotos? ufff creo que hay gente que tiene que salir más a la calle!!!!

    Sobre lo demás sólo una cosa comentaré: [b]verificación en dos pasos[/b] en icloud, en dropbox, en google, en todos los servicios que lo permitan.

    La verificación es un invento para parar los pies a todos los aburridos que se dedican por fuerza bruta a entrar donde no les han llamado. Tengo dos servidores dedicados y tengo ataques por fuerza bruta todos los días más de 20, ni pensar los que tengan servidores con cosas importantes.

  23. lordshin

    #18 Fuera aparte de la ofensa que has podido sufrir, no se como llamas a nadie maleducado cuando saltas un montón de improperios en tus comentarios, pero creo que lo peor de todo es esta frase: “a mí me da igual de dónde venga el fallo, agradezco las fotos”, esto ya demuestra la educación que tienes, y lo que realmente te interesa de todo este asunto, espero que lo pases bien jugando al solitario.

  24. Pablo Martín-Francés

    #23 verificación en dos pasos…

    Rafa, el problema de la verificación en dos pasos es que no la puedes usar fácilmente para Find My Phone. Si estás buscando tu teléfono… es que no lo tienes a mano (vale, puedes estar buscando tu iPad o tu Macbook).

    Sí que Apple podría hacer un esfuerzo en que los usuarios usen más la verificación en dos pasos. O que la active por defecto, que el común de los usuarios ni idea de cómo hacerlo, claro.

    Pero tendría que dar una vuelta al Find my phone, con preguntas secretas o con algo alternativo, como una contraseña diferente que no sea la misma de iCloud (pero obligas al usuario a recordar DOS contraseñas…).

    O desactivando temporalmente iCloud cuando alguien use el Find My Phone.

    O desactivando temporalmente el añadir un nuevo dispositivo cuando alguien use el Find My Phone…

    Si es como decían, esta gente, ha tenido que:

    1) conseguir los correos electrónicos / cuentas de Apple / cuentas de iCloud de los famosos (ya es difícil, supongo que esta gente no querrá que miles de fans les escriban a su correo a diario…

    2) Usar fuerza bruta contra Find my Phone, que aparentemente no estaba protegido hasta ayer que permita acceder a contraseñas débiles

    3) Añadir un nuevo dispositivo Apple (en la web no hay fotos, así que para verlas han tenido que añadir un nuevo iPhone, iPad…)

    4) El famoso recibe una notificación de que se ha añadido un dispositivo nuevo en el antiguo… y la ignora (vale, pudo ir corriendo a cambiar su contraseña pero el hacker ser más rápido bajando las fotos en streaming…)

    Para los puntos 1, 2 y 4 hace falta “colaboración” del usuario, normalmente por candidez o dejadez…

  25. jocoloso

    ¿Y si la verificación en 2 pasos se simplificara/reforzara vía Touch ID?
    Recibes una llamada o un mensaje con una contraseña, o simplemente con el momento exacto en el que has de verificar con el Touch ID, por lo que tienes que tener el móvil, pero aún teniéndolo, necesitas el/los dedo/s del propietario. No digo que sea la solución definitiva, pero existiendo la tecnología que protege tu teléfono, ¿por qué no extenderla a lo que está fuera de tu teléfono? Lo lógico sería pensar que el Touch ID va a estar presente en todos los dispositivos móviles, pero no estaría de más en los portátiles –son también “móviles” o “movibles”, ¿no?– e incluso en los iMacs.

  26. b1b72ed7

    #25 en efecto, pero si consigues la contraseña por Find My Phone, como comentas es necesario añadir un dispositivo, y ahí si te pedirá el segundo paso de verificación.

    Pero tienes razón que para la muchos de los usuarios lo del segundo paso es chino.