Hace más de un año os contamos acerca de un problema que habían tenido algunos usuarios de Australia que habían visto sus dispositivos iOS secuestrados. Este problema, es más bien el resultado de enlazar absolutamente todo lo que tenemos en la nube de Apple y por lo tanto en el iPhone a la misma cuenta. Si controlamos esa cuenta, controlamos todos nuestros dispositivos. Sin esa cuenta, nadie más los puede utilizar…se quedan asociados y totalmente bloqueados si la persona que los utiliza no conoce nuestro email y contraseña de la cuenta de Apple.
Hoy esta noticia vuelve a salir a la luz porque varios usuarios en EEUU y Europa están viendo cómo alguien desconocido les pide dinero para recuperar el control de su iPhone, concretamente entre 50 y 100 dólares. Si no pagan en 12 horas, todos los datos de su iPhone o iPad quedarán borrados remotamente. Los ataques provienen aparentemente de Rusia, pero Apple ha confirmado que no ha habido ninguna brecha de seguridad que haya expuesto las cuentas y contraseñas de sus usuarios.
¿Cómo es posible que alguien que está a miles de kilómetros del usuario pueda secuestrar su iPhone? – la respuesta es sencilla. Ese usuario tiene el email y contraseña de la cuenta de Apple de la víctima. Lo primero que hacen es cambiar la contraseña. Luego, a través de iCloud.com y de Buscar mi iPhone, lo reporta como perdido y lo bloquea, mostrando un mensaje, que suele ser en el que indica que el terminal está secuestrado y que quieren dinero. Si se paga, se vuelve a poner el iPhone como encontrado en iCloud y se le devuelve la cuenta al usuario haciéndole saber la contraseña actual, para que pueda cambiarla y recuperar su cuenta.
Al no tratarse de una brecha de seguridad, lo más probable es que esos hackers hayan utilizado diversas técnicas que existen para conseguir la contraseña del usuario, como enviar emails haciéndose pasar por Apple y pidiendo entrar en la cuenta, o con otros métodos más sofisticados como Apps piratas que requieren de la instalación de un certificado de desarrollador desconocido que en algún momento envían lo que teclea el usuario en el iPhone, incluyendo la contraseña de su cuenta de Apple, o que Apps en Cydia que directamente notifica la cuenta sin más. Incluso Apps que a Apple se le han colado en la App Store pueden hacer algo así.
Por lo tanto, la manera de evitar que a uno le secuestren el iPhone es tener una contraseña fuerte, con mayúsculas, minúsculas y símbolos, y que además tenga más de 8 caracteres. También es recomendable activar la verificación de cuenta en dos pasos para hacerla todavía más segura. Apple provee todas las herramientas que cualquier gran empresa hoy en día ofrece para evitar este tipo de problemas, aunque la mayoría de usuarios prefieren no utilizarlas porque son técnicas demasiado molestas en comparación con poner 12345 o abcde, o su fecha de cumpleaños cada vez que se bajan una App de la App Store. Sí, las contraseñas fáciles son muy cómodas. Pero también son muy peligrosas… y ahora que una cuenta de Apple controla absolutamente todo lo que pasa en tu iPhone, incluso el permiso a utilizarlo, es recomendable no perder la posibilidad de administrarla.
[…] bloquearte el iPhone desde iCloud.com, que sólo liberarán cuando hayan recibido un dinero. Esto, no sería la primera vez que ocurre y ahora parece ser que el reclamo es una supuesta suscripción al servicio de música online […]