El reciente ataque cibernético a Mat Honan fue doblemente sorprendente: él es reportero de la biblia tecnológica Wired, y un hacker fue capaz de irrumpir en sus cuentas con una facilidad no técnica.
Ésta es la parte más aterradora: cualquier persona que tenga tanto una cuenta de Amazon como un AppleID es potencialmente vulnerable al mismo ataque.
Las dos compañías dicen que están trabajando para cerrar las brechas de seguridad expuestas por el hackeo a Honan, pero no dieron detalles, este martes, acerca de los cambios que están implementando.
La desgarradora historia de Honan, que relató en un
detallado artículo para Wired este lunes, explica cómo un ataque cibernético realizado el pasado viernes por la noche se convirtió rápidamente en una bola de nieve y tiró muchas de sus cuentas digitales: Amazon, Apple iCloud, Gmail y Twitter, además de los datos de sus tres dispositivos Apple.
En el centro de su historia se ubica un peligroso punto ciego entre los sistemas de verificación de identidad utilizados por Amazon y Apple, dos de los proveedores más populares de la industria tecnológica.
Como muchas personas, Honan tiene una variedad de direcciones de correo electrónico. Varias de ellas pueden ser fácilmente rastreadas por cualquier persona en línea que esté buscándolas. El hacker que atacó a Honan encontró su dirección his@me.com -una pista de que Honan tenía una cuenta de AppleID.
El truco funciona así: Llama a Amazon y di que quieres agregar un número de tarjeta de crédito a tu cuenta. La empresa te pedirá tu nombre, tu dirección de facturación y una dirección de correo electrónico asociada. Eso es todo. (Wired puso a prueba el método utilizando un número de tarjeta de crédito falso. Funcionó. Dos veces).
Luego cuelga, vuelve a llamar, y dile al próximo representante de Amazon que has perdido el acceso a tu cuenta. Te pedirán tu nombre, dirección de facturación y una tarjeta de crédito asociada a tu cuenta - como la que agregaste hace unos momentos. Con esa información, Amazon te permitirá agregar una nueva dirección de correo electrónico a la cuenta.
Ve al sitio web de Amazon y envía una solicitud de restablecimiento de contraseña a la nueva dirección de correo electrónico. Ahora tienes acceso a la cuenta de Amazon de tu objetivo y puedes ver todas las tarjetas de crédito registradas en la cuenta.
Pero aquí está el truco: Eso es suficiente para ir y engañar a los sistemas de Apple.
"Las mismas cuatro cifras que Amazon considera tan poco importantes como para mostrar abiertamente en la web son precisamente las mismas que cifras que Apple considera lo suficientemente seguras como para utilizar en la verificación de identidad", escribió Honan en su cuenta de Wired.
El hacker -quien posteriormente estableció contacto con Honan y acordó compartir detalles acerca de la técnica si él no presentaba cargos- llamó al soporte técnico de Apple y pidió un restablecimiento de contraseña para la cuenta de correo electrónico @me.com de Honan. El hacker no pudo contestar ninguna de las preguntas de seguridad de la cuenta, pero Apple ofrece otra opción.
"Resulta que, una dirección de facturación y los cuatro últimos dígitos de un número de tarjeta de crédito son las únicas dos piezas de información que alguien necesita para entrar en tu cuenta de
iCloud", escribió Honan. "Una vez suministradas, Apple emitirá una contraseña temporal, y esa contraseña da acceso a iCloud".
Apple dijo a CNNMoney en un comunicado enviado por correo electrónico que "hemos encontrado que nuestras propias políticas internas no fueron seguidas completamente".
La compañía no quiso hacer más comentarios sobre qué políticas salieron mal. En cuanto a lo que Honan pudo determinar, el uso de números de tarjetas de crédito para verificar la identidad es un método estandarizado.
"El soporte técnico de Apple me confirmó dos veces durante el fin de semana que todo lo que necesitas para acceder al AppleID de alguien es la dirección de correo electrónico asociado, un número de tarjeta de crédito, la dirección de facturación, y los cuatro últimos dígitos de una tarjeta de crédito registrada", escribió. "Eso me quedó muy claro".
Amazon dice que está trabajando para cubrir los huecos en su trinchera: "Hemos investigado el incidente de seguridad reportado, y podemos confirmar que el incidente de seguridad quedó cerrado la tarde de ayer", indicó el martes la compañía a CNNMoney.
Pero, ¿qué ha cambiado exactamente? Amazon no quiso hacer comentarios o responder a más preguntas.
Un artículo separado de Wired publicado este martes dijo que los representantes de servicio al cliente de Amazon ya no cambiarán elementos de configuración de la cuenta, como tarjetas de crédito o direcciones de correo electrónico, por teléfono.
Sin embargo, ese cambio se produjo demasiado tarde para Honan. Una vez que el hacker tuvo acceso a la cuenta de Apple de Honan, el daño fue rápido y devastador. Utilizó la herramienta de limpieza a distancia de Apple para borrar todos los datos del teléfono de Honan, y luego hizo lo mismo en su iPad y MacBook. El hacker también atacó la cuenta de Google de Honan y comenzó a publicar mensajes racistas y homofóbicos en su página de Twitter.
En su artículo, Honan parecía atribuir poca culpa a los hackers; en vez de eso, dijo que era culpa suya por no realizar copias de seguridad de sus datos, y por encadenar varias de sus cuentas.
Honan piensa que los mayores culpables son Apple y Amazon, por hacer que los sistemas puedan ser tan fácilmente engañados; especialmente cuando son atacados al mismo tiempo.
Ésa es la parte que ha asustado a la industria de la tecnología. Millones de personas tienen cuentas en Amazon y Apple, lo que significa que Honan no es la primera víctima de este método de ataque.
"Te enteras de ello si se trata de una celebridad o de un reportero, porque ellos tienen los medios para contar su historia", escribió una persona en los comentarios de un artículo de Forbes sobre la piratería cibernética. "Algo similar le ocurrió a uno de los miembros de mi Club Rotario. ¿Por qué no has oído hablar de él? Porque es un dentista retirado que vive a 8 millas de la costa sur de Inglaterra".
Fuente: