BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Seguridad en la nube
Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Tras hackeo de iCloud, los expertos dicen que los datos empresariales pueden estar en riesgo

Después del hackeo de iCloud y la resultante fuga de fotos de famosos, expertos dicen que los datos corporativos también podrían estar en riesgo.

Como la fuga de la semana pasada de fotos privadas de celebridades sigue siendo noticia, la comunidad de la seguridad ha vuelto su atención hacia la vulnerabilidad en el servicio iCloud de Apple Inc., que está en el corazón del incidente, y la probabilidad de fallas similares. Los expertos creen que el hackeo de iCloud destaca de cómo pueden estar en riesgo los datos de la empresa, especialmente en organizaciones que no saben que sus datos sensibles han sido llevados hacia la nube.

El incidente, revelado la noche del domingo y apodado "The Fappening" en los foros en línea, expuso fotos comprometedoras de Jennifer Lawrence, Kate Upton y otras personas de alto perfil.

En un comunicado sobre su investigación, Apple dijo que el hackeo de iCloud no fue causado directamente por una vulnerabilidad en iCloud, sino a través de un ataque dirigido contra el mecanismo de autenticación del sistema.

“Después de más de 40 horas de investigación, hemos descubierto que ciertas cuentas de celebridades fueron comprometidas por un ataque muy específico sobre los nombres de usuario, contraseñas y preguntas de seguridad, una práctica que se ha vuelto muy común en internet", dijo Apple en su declaración. "Ninguno de los casos que hemos investigado es el resultado de alguna brecha en ninguno de los sistemas de Apple, incluyendo iCloud o Find my iPhone. Nosotros seguimos trabajando con la policía para ayudar a identificar a los delincuentes involucrados”.

Sin embargo, el proveedor con sede en Cupertino, California, parchó una vulnerabilidad en su app Find My iPhone –una parte de la suite de servicios mayor iCloud– que los expertos en seguridad sospechan que fue al menos parcialmente responsable de la filtración.

Antes del parche, la aplicación permitía a los usuarios introducir un número ilimitado de intentos de contraseñas sin ser bloqueado, un defecto que expuso el servicio a los ataques de fuerza bruta. Un límite de cinco intentos se puso en marcha para el servicio dentro de las 24 horas de que se reportó la brecha.

Días antes de la brecha, el equipo detrás de HackApp, una herramienta automatizada de auditoría de seguridad de aplicaciones móviles, lanzó iBrute, una herramienta que puede ser utilizada para aplicar fuerza bruta al servicio Find My iPhone. En un comunicado publicado en la página web de HackApp, el grupo se disculpó por hacer una presentación de la herramienta y la vulnerabilidad relacionada en una conferencia de seguridad de DefCon en Moscú el mes pasado, lo que indica que su herramienta o técnica pueden haber desempeñado un papel en el hackeo de iCloud.

"Siento mucho que la charla dada por @hackappcom y @abelenko en @DefconRussia en una reunión de grupo (@chaos_construct event) hace unos días haya tenido consecuencias tan desagradables. Y la comunidad blackhat realizó una retroalimentación tan débil, barata e ingrata”, dijo el equipo de HackApp en un comunicado. "Para todos los involucrados en este incidente, quiero recordarles que hoy en día estamos viviendo en un nuevo y valiente mundo global, cuando la protección de la privacidad no ha sido siempre tan débil, y hay que tener en cuenta que todos  sus datos de los dispositivos ‘inteligentes’ podrían ser accesibles desde internet, que es el lugar de la anarquía y, como resultado, podría ser fuente de actividad indeseable y desagradable”.

La Oficina Federal de Investigaciones dijo, en un comunicado del pasado lunes, que la agencia es "consciente de las acusaciones" en relación con las filtraciones de celebridades y está "abordando el asunto". La agencia de investigación ha investigado previamente casos de fugas de imágenes que involucran celebridades, todos los cuales resultaron en condenas.

El hackeo de iCloud: Empresas, tengan cuidado

Mientras Apple y el FBI continúan sus investigaciones, varios expertos en seguridad dijeron a nuestra publicación hermana SearchSecurity que las empresas deben ser conscientes de que iCloud –junto con otros servicios de almacenamiento en la nube como Dropbox y Box– puede estar recolectando tesoros de datos corporativos sensibles los cuales, si se ven comprometidos, podrían tener consecuencias de largo alcance.

Andrey Belenko, ingeniero senior de seguridad del proveedor de seguridad móvil viaForensics LLC, dijo que iCloud puede recolectar todo, desde fotos y videos a mensajes de texto y datos de aplicaciones, dependiendo de los ajustes permitidos por cada usuario. Detalles del calendario, notas, contactos y una variedad de otros datos también pueden hacer copias de seguridad en iCloud.

Tal Klein, vicepresidente de marketing de la empresa de seguridad Adallom Inc., agregó que el Llavero (KeyChain) de iCloud almacena y sincroniza credenciales de inicio de sesión a través de múltiples dispositivos de Apple, almacenándolos por defecto en iCloud, con la protección proporcionada por una contraseña y un PIN separado de cuatro dígitos o código de acceso. Los usuarios pueden optar por hacer la copia de seguridad de esos datos de forma local como alternativa.

La buena noticia, dijo Belenko, es que la documentación de Apple aclara qué datos se almacenan y dónde, por lo que los equipos de seguridad de la empresa puede determinar qué activos pueden haber sido almacenados en el medio ambiente de iCloud y actuar en consecuencia, si así lo desean. El sitio web de Apple explica cómo se protege la información recopilada por iCloud, así como las implicaciones del uso de ciertos servicios como Find My iPhone, e incluso la forma de eliminar las fotos recopiladas por My Photo Stream.

Por supuesto,la adopción de tales medidas proactivas exige que la empresa esté totalmente comprometida con un programa de seguridad, y de acuerdo con Keith Palmgren, un instructor con el Instituto SANS y presidente de la consultora NetIP Inc., la cantidad de grandes empresas que todavía no tienen un ejecutivo responsable de seguridad no es probable que tenga un plan en marcha para asegurar las copias de seguridad en la nube de los usuarios.

"Te voy a apostar su próximo cheque de pago que esas empresas no tienen ni idea de qué datos se están enviando a la nube", dijo Palmgren.

Cómo proteger los datos enviados a iCloud

Si iCloud y otros servicios de almacenamiento en la nube enfocados en el consumidor representan un riesgo potencial para los datos corporativos, ¿qué deben hacer las empresas para proteger los datos que se envía a la nube?

Michael Sutton, vicepresidente de investigación de seguridad del proveedor de seguridad en la nube Zscaler Inc., dijo que los equipos de seguridad de las empresas deben aceptar que el uso de los servicios de TI de consumo es una realidad, y que los ahorros en costos y el impulso en la productividad proporcionados por estos servicios hace que sea casi imposible prohibir que se utilicen.

Con esto en mente, Sutton aconseja a los profesionales de seguridad trabajar con las unidades de negocio para asegurar los despliegues de servicios en la nube con antelación, y para poner en práctica esfuerzos de monitoreo de tráfico para evitar que los datos no aprobados sean subido a los servicios de almacenamiento en la nube.

Palmgren aconsejó que las empresas también eduquen a los usuarios sobre los beneficios de  aplicar autenticación de múltiples factores, no solo para los servicios de almacenamiento en la nube, sino también para otros servicios en línea sensibles, tales como los sitios de banca. Apple, de hecho, proporciona una versión de autenticación de factores múltiples basada en SMS, que permite a los usuarios tener códigos enviados a su dispositivo cada vez que se registra un intento de inicio de sesión.

"Si usted no está utilizando estas características, no está haciendo las cosas bien", dijo Palmgren.

Investigue más sobre Seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close