Esta mañana os hablábamos del Celebgate, la filtración de fotografías privadas de famosas desnudas. Varios centenares de imágenes que nadie sabe de dónde han salido exactamente, ni quién las ha logrado. ¿Cómo ha podido ocurrir? ¿Ha sido un fallo de seguridad de servicios de almacenamiento o un ataque de _phishing_ elaborado?
Vaya por delante que no hay nada seguro. Ya no sólo cómo se han conseguido las fotos, tampoco está claro que todas procedan de iCloud (parece lo más verosímil, pero no está confirmado) ni si hay una o varias fuentes de la filtración. Vamos a tratar de ver qué ha podido pasar, buceando entre todos los datos confusos que se están distribuyendo.
¿Un fallo de seguridad? Parece difícil
Ahora mismo, una de las teorías que más se barajan es un fallo de seguridad en iCloud, más concretamente uno que permitía probar múltiples usuarios y contraseñas sin que se bloquease la cuenta. La prueba de concepto fue publicada dos días antes de las filtraciones por la empresa Hackapp
http://t.co/cIHK1XdCE8 -- 2 days before tits release: @hackappcom (ibrute author) and @abelenko on @DefconRussia talking about iCloud sec.
— Alyosha Sintsov (@asintsov) septiembre 1, 2014Sin embargo, no parece muy verosímil que sea este el fallo aprovechado. O al menos, no a raíz del script del que hablábamos.
¿La razón? Según Gawker, las imágenes ya se habrían robado antes, empezándose a distribuir en un foro anónimo, AnonIB. Hay que tomarlo todo con pinzas al venir de cuentas anónimas, pero al parecer las imágenes se habrían logrado durante varios meses, y ha sido en los últimos días cuando han salido todas a la luz.
La explicación del fallo de seguridad tampoco cuadra por otras razones. Si alguien es suficientemente inteligente como para encontrar un fallo de seguridad en iCloud (o Dropbox, o lo que sea) estoy casi seguro de que también lo será como para no exponerse de forma tan estúpida publicando fotos de gente a la que todo el mundo conoce, con dinero e influencias, y poniendo el asunto en primera plana de todos los medios.
Suele ser mucho más habitual que se venda el fallo por el mercado negro y/o que se explote tratando de armar botnets o robando datos personales de los sitios de almacenamiento, mucho más provechoso y discreto.
Trabajo de detectives
La explicación más verosímil, por la que me decantaría ahora mismo a falta de confirmaciones oficiales, es que se trata de un grupo de gente a la que me resisto a llamar _hackers_ que poco a poco ha ido encontrando correos de las famosas y adivinando sus respectivas contraseñas. Tenemos precedentes: así es como lo logró el que filtró las fotos de Scarlett Johansson.
Sería más "sencillo" así, sabiendo datos personales de las víctimas, probar y acabar adivinando contraseñas. Ataques por fuerza bruta algo más sutiles. Esta teoría encajaría con el hecho de que algunas fotos se borraron de las cuentas de sus propietarias hace años, y también con que algunas son falsas: tal y como comenta un lector en Gawker, es posible que uno de los miembros del grupo enviase esas fotos falsas para acceder al resto. Por otra parte, también podría ser que esas fotos se hubiesen introducido por otros usuarios en la vorágine caótica que es 4chan.
Otras posibilidades: ¿phishing?
Aunque hasta ahora he comentado lo que más parece cuadrar, hay más posibles orígenes de las fotos. Quizás una** red WiFi comprometida** en algún hotel o evento frecuentado por las famosas podría haberse usado para obtener datos (correos o contraseñas de otros servicios) que permitieran acceder después a las fotos (el tráfico de iCloud, Dropbox y Google+ está cifrado, así que incluso en redes comprometidas sería imposible acceder a ellas mientras se están subiendo).
También podrían ser fotos que estuviesen circulando de forma oculta entre gente de círculos cercanos a esas personas que hayan salido ahora, o que estuviesen en móviles robados. Es una alternativa complicada teniendo en cuenta el número de famosas que han sido afectadas, pero está ahí.
Por último, podría tratarse de un ataque de _phishing_ sofisticado, dirigido a que estas personas pusiesen sus datos de acceso en páginas de terceros, y que de ahí hubiesen logrado contraseñas.
Como decía al principio, no hay nada seguro. Aquí he tratado de distinguir un poco entre todo el caos que hay ahora mismo: iremos actualizando según salgan más informaciones.
¿Cómo puedo evitar que esto me pase a mí?
Aunque no seas famoso, seguro que tienes datos confidenciales en tus cuentas en la nube. ¿Cómo puedes evitar que lleguen a manos desconocidas? Lo primero, usar contraseñas seguras, difíciles de adivinar (cuantas menos palabras de diccionario uses, mejor), usar autenticación en dos pasos para que no sólo haga falta tu contraseña para entrar a tus cuentas, y en última instancia cifrar los archivos antes de subirlos para asegurarte del todo.
También hay que tener en cuenta que un sistema es tan seguro como su eslabón más débil. No vale de nada cifrar tu disco en la nube si te vas dejando por ahí el portátil protegido sin contraseña, o si envías imágenes comprometidas a gente que no tiene cuidado con ellas.
En Xataka | Si tu foto desnuda salta a Internet, olvídate, nada podrá detenerla
En Applesfera | Famosas desnudas y Apple en un mismo titular, el sueño de los medios #Celebgate
Ver 32 comentarios
32 comentarios
tuberculo
Pues yo independientemente de la legalidad, moralidad, cuestiones técnicas de seguridad y demás debates que pueden surgir se me plantea una cuestión:
¿Es tan normal sacarse fotos en bolas uno mismo o soy el único que uso el móvil para sacar fotos de paisajes? Maldita sea, creo que me estoy haciendo viejo.
fakiebio
Voy a intentar resumir lo que pienso en pocas líneas.
Los famosos EEUU viven en una burbuja de ignorancia cultural general, ricos, ajenos al resto del mundo, se creen superiores (económicamente lo son), y muchas otras cosas. Esto para situarnos en escena.
Bien, Apple es una empresa oportuniste e inteligente, vende su producto con el argumento de ser el más intuitivo (algo totalmente falso, no existe un SO universal perfecto e intuitivo para todos, comprobado) pero los yankis son muy ingenuos y estas cosas se las creen bien fácil.
Bien, sabiendo en qué sociedad se encuentran estos personajes, decide ¿qué probabilidad hay de que sepan cuidar su intimidad? fotos, vídeos, contraseñas... me refiero, esta gente, en general, ni saben protegerse ni están pensando en hacerlo, tienen dinero, se sienten poderosos. ¿Queé inquietudes informáticas crreéis que tienen más hallá de tener una cuenta de Facebook y Twitter?
Sólo es una reflexión rápida que he tenido. Opiniones allowed ^^
Saludos ;)
michaeldany
¿Cómo pudieron haberse filtrado las fotos?
Pues habría que preguntárselo a este señor quién fue el posible "leaker":
http://i(dot)4cdn(dot)org/b/1409583314958(dot)jpg
(cambiar los (dot) por puntos). Según un post publicado en 4chan y que fue borrado sólo unos minutos después, aquel sería el tipo que filtró las imágenes. Con torpeza el sujeto olvidó ocultar los nombres de los discos duros de las primeras capturas de pantalla que hizo y lo "ubicaron" comparando dichos nombres en publicaciones anteriores en reddit.
royendershade
"¿Cómo puedo evitar que esto me pase a mí?"
Lo primero, antes aun que la contraseña: No haciendote fotos comprometidas, que no es mas que hacer el subnormal. No tienen el mas minimo sentido. Pero la gente se empeña en hacer el idiota...
Que el derecho a la intimidad esta por delante? Si. Que debe perseguirse a quien las haya robado? Tambien. Y por supuesto que lo mas grave aqui es ese tema, el robo y distribucion de material privado. Pero insisto en que si no hubieran hecho el idiota no tendrian de que preocuparse.
Usuario desactivado
yo creo que nunca nos va a pasar a nosotros a menos de que seas muy famoso y encima mujer :D XD
alt126
Phishing, fuerza bruta, robos, ingeniería social...
Sea cual sea el método, lo que está claro es "para qué quieres hacerte una foto en pelotica picá y dejar que el teléfono lo envíe a internet automáticamente?"
El eslabón mas débil no es la protección de los archivos y las redes, el eslabón mas débil es la idiotez de la gente que graba sus guarreridas españolas y ni siquiera sabe qué pasa con la tecnología que tienen entre manos.
Cuanto mas caros son los teléfonos mas facilidad tiene la gente para perderlos y aún así meten ahí todos sus datos, sus fotos, su intimidad... Y por si no fuera suficiente, ni se preocupan de leer los mensajes que salen en pantalla y dicen "sus datos multimedia serán sincronizados automáticamente con la nube".
luiggggi
A mi parecer lo más "razonable" es robar los datos estando en una misma red Wifi,capturando paquetes y tráfico y eso, pero no descarto la posibilidad que por fuerza bruta hayan adivinado sus contraseñas de sus correos personales
Mr.Floppy
Nah... si la culpa es de Apple directamente. Para qué pararse a investigar...
Y ojo, si lo es (culpa de Apple), que se preparen.
cee.gus08
Por mas que te duela, el fallo apunta a ser un error de Apple. por que? porque no es posible que TODAS las afectadas hayan usado la misma red wifi. Al parecer icloud no es tan seguro como decian.
luisboibu
Cada vez que te asomas a los medios de comunicación la mitad del contenido es sobre las chorradas y exclusivas de estos personajes. Luego se rasgan las vestiduras porque se les ve el culo en algún sitio en donde no quieren. Si se limitaran a vender su trabajo en lugar de sus vidas, no les pasaría esto.
sanjuan.churrascopol
No es por Trolear . Si me compro una revista de videojuegos y me hablan de famosas con el pretexto de hablar de seguridad informatica ,iria a la portda y miraria como se llama la revista VIDA informatica? Warras extra? extra de informatica? si lo pillais bien y sino tb