Foto: Archivo/ El Comercio
La filtración de fotografías de más de 100 personalidades de Hollywood abrió el debate en torno a la vulnerabilidad de los sistemas de almacenamiento en la web. Este martes 2 de septiembre Apple hizo público un documento en el que afirmó que el ataque lo dirigieron a personas en específico, por lo que descartan un hackeo masivo de la plataforma.
En el comunicado se anunció que el hacker que realizó el ataque utilizó la ‘fuerza bruta’ para sacar las contraseñas. Es decir, creó un pequeño programa que le permitía lanzar contraseñas al azar hasta dar con la correcta.
Apple señaló que este tipo de incidentes ocurren por la deficiente seguridad de las cuentas de los usuarios y recomendó el establecimiento de contraseñas difíciles de descifrar y la activación del método de verificación de dos pasos.
Este sistema de verificación es opcional para los poseedores de un identificador de Apple y cuando está en uso requiere que el propietario de la cuenta confirme su identidad antes de que se pueda cambiar la configuración del servicio o realizar compras.
En los últimos dos años, otros casos con sistemas de almacenamiento en la web han puesto en entredicho su función original. Un ejemplo es Dropbox, la popular nube que permite compartir archivos en la red. En mayo pasado, la empresa de almacenamiento reveló en su blog que una debilidad basada en la cabecera HTTP Referer podría haber sido
aprovechada para exponer información.
La cabecera Referer permite a un sitio web saber “de dónde viene un usuario”. Dropbox anunció que no ha reportado ningún robo de datos debido a esta falla, pero por las dudas deshabilitó la opción de compartir enlaces.
Dropbox, en su modalidad gratuita parte con 2 gygabytes de almacenamiento online, que pueden llegar a convertirse fácilmente en 16 gigas gracias al sistema de recomendaciones.
A inicios del 2013, Steve Thomas, experto en seguridad, dio a conocer una posible vulnerabilidad en el sistema de registro de Mega, la página de almacenamiento desarrollada por el creador de la extinta Magaupload.
Según el analista, la vulnerabilidad permitía a un atacante hacerse con las contraseñas de acceso de una cuenta y tomar su control. La vulnerabilidad radicaba en el e-mail de confirmación de las cuentas que envía Mega a los usuarios.
Este enlace incluiría un hash de la contraseña así como la clave maestra, que luego se usará para descifrar los archivos que se almacen en Mega.
Del mismo modo, Mega hizo énfasis en la importancia de elegir una contraseña con un nivel de seguridad adecuado.
Esta medida también puede replicarse en otras nubes de almacenamiento, como Google Drive, Microsoft Sky Drive, Box y Cubby. También ha plataformas para compartir archivos, como Wetransfer.