El periodista de Wired, Mat Honan, fue atacado por hackers el fin de semana, que accedieron a su cuenta de iCloud y eliminaron todos sus datos de forma remota de todos sus dispositivos Apple. El reportero investigó lo que ocurrió y escribió un exhaustivo artículo en Wired, describiendo cómo se gestó el hackeo y cómo se armó el caos en su vida digital.

Honan hace un mea culpa por no haber respaldado la información que tenía en sus equipos – incluyendo fotos de su hija y documentos. Pero lo más interesante y preocupante de la historia es la manera en que los atacantes consiguieron sus datos, aprovechándose de laxas políticas de seguridad de Amazon y Apple.

“El soporte técnico de Apple le dio a los hackers acceso a mi cuenta de iCloud. El soporte técnico de Amazon les dio la habilidad de ver una información – una tarjeta de crédito parcial – que Apple usó para entregar acceso a la cuenta. En pocas palabras, los cuatro dígitos que Amazon considera que no son lo suficientemente importantes y los despliega claramente en la web son precisamente los mismos que Apple considera suficientemente seguros para realizar una verificación de identidad. Esta desconexión expone fallas en el manejo de políticas endémicas a toda la industria de la tecnología, y apunta a una pesadilla a medida que entramos a la era de la computación en la nube y los dispositivos conectados”, escribió Honan.

Para conseguir esos cuatro números, los  hackers acudieron a Amazon. El servicio de compras online tiene un sistema para llamar por teléfono para asociar nuevas tarjetas de crédito a una cuenta. Para hacer esto, requieren el nombre de la cuenta, una dirección de e-mail asociada y una dirección de facturación.

La dirección la obtuvieron con una búsqueda whois por su dominio personal. Sin embargo, esta información sería bastante simple de encontrar en otros servicios.

Los hackers asociaron una tarjeta de crédito falsa a la cuenta de Honan a través de la llamada telefónica. Un rato más tarde, llamaron de nuevo afirmando que habían perdido el acceso a la cuenta. Le entregaron a Amazon el nombre, dirección y el nuevo número de tarjeta de crédito falso asociado a la cuenta en la llamada anterior, y obtuvieron el acceso a la cuenta de Amazon. Con ese acceso, pueden ver todas las tarjetas de crédito asociadas a la cuenta – no los números completos, sino sólo los cuatro últimos. Esos mismos números son los que Apple pide para verificar la identidad de una persona.

Aparentemente el reportero no es el único afectado, y afirma que otros usuarios han sido atacados de la misma manera. Una vez teniendo acceso a iCloud, pudieron obtener acceso a las cuentas de Twitter y Google, además de eliminar todo el contenido de forma remota del iPhone, iPad y su MacBook Pro.

Cuando Honan se dio cuenta de que algo andaba mal, desconectó su router y el módem, apagó su Mac Mini, y llamó al soporte técnico de Apple desde el teléfono de su señora. Apple no le reveló que alguien había llamado respecto a su cuenta una hora y media antes. Honan se enteró de eso debido a que los mismos hackers se lo comunicaron después.

Junto con otros reporteros de Wired, intentaron replicar el método usado por los hackers y tuvieron éxito, indicando que hasta ayer lunes este sistema seguía siendo válido en EE.UU.

El asunto se vuelve relevante si consideramos que todo va en camino hacia la nube. Eso de “no nos conectemos más a internet” es cada vez menos probable de que pueda funcionar. Apple quiere que todos sus clientes usen iCloud. Google basa todo su sistema operativo – Chrome OS – en la nube, y Windows 8 también está totalmente integrado con internet y llegará a millones después de su lanzamiento en octubre.

Link:
- How Apple and Amazon security flaws led to my epic hacking (Wired)
- 5 consejos para proteger nuestros datos en la nube (FayerWayer)