Tras el revuelo que generó el robo de fotos íntimas de celebridades como Jennifer Lawrence, Apple busca mejorar la seguridad y privacidad de sus usuarios y presenta novedades importantes: el sistema operativo iOS 8 con políticas de privacidad más fuertes, y la implementación de la doble autenticación en iCloud, su servicio de almacenamiento de copias de respaldo en la nube. En este post te contaremos en detalle acerca de este nuevo paso que dio Apple.

Nueva Política de Privacidad

La recientemente actualizada política de privacidad de Apple tiene como objetivo establecer el alcance del uso de información personal de sus usuarios. Uno de sus puntos más interesantes tiene que ver con la divulgación a terceros: La información personal solo será compartida por Apple para proporcionar o mejorar nuestros productos, servicios y publicidad; no se compartirá con terceros para sus fines de marketing”.

También se hace énfasis en que los productos y servicios de la compañía como Siri o la nueva aplicación Healthkit para iOS 8 no recolectan o guardan los datos de los usuarios, y se menciona que no hay trabajo conjunto con ninguna agencia gubernamental ni terceros para dar acceso a los servidores o para monetizar información.

Doble Factor de Autenticación para iCloud

Repasemos cuáles pueden ser los factores de autenticación actualmente:

  1. Algo que el usuario sabe: nombre de usuario, contraseña, respuesta a pregunta de seguridad
  2. Algo que el usuario tiene: dispositivo móvil, hard token, tarjeta inteligente (Smart card)
  3. Algo que el usuario es: huellas dactilares, patrón de venas, iris de los ojos

Cuando escogemos dos de estos factores para permitir la autenticación de un usuario a un servicio, tenemos el doble factor de autenticación establecido. Empresas como Twitter, Facebook, Linkedin y Dropbox ya ofrecen este servicio desde hace unos meses.

Indudablemente, este sistema no solo es importante en la actualidad, sino que no tenerlo es considerado una vulnerabilidad importante, ya que con solamente intentos de adivinar usuarios y contraseñas o con la utilización de software que lo hace de forma automática, sabemos de muchos casos documentados de robo de datos personales.

Así que, estos cambios son de hecho un paso en la dirección correcta por parte de Apple, aunque la seguridad de sus usuarios aún no está en un nivel ideal. Veamos por qué:

  • La OTP (contraseña de un solo uso) es enviada directamente a la pantalla del iPhone, y si el mismo está bloqueado, aún es posible verla sin haber desbloqueado el dispositivo. Es cierto que un eventual atacante tiene que tener el aparato mismo para poder ver dicha contraseña, pero lo ideal sería poder hacerlo solamente después de desbloquearlo ingresando la contraseña del mismo.
  • Si el atacante ya cuenta con -o logra adivinar- el usuario y contraseña de iCloud de la víctima, es posible acceder a este servicio, bajar una copia de seguridad (backup) y restaurarla en otro dispositivo vacío sin necesitar una OTP. La razón para esta inconsistencia es el hecho que, por lógica, si un usuario trata de bajar su copia de seguridad, es porque ya no cuenta más con su dispositivo, y por lo tanto no tendría cómo recibir la OTP.

Alternativas para corregir estos detalles serían, por ejemplo, exigir siempre una OTP para todos los servicios, no permitir su visualización con el teléfono bloqueado e implementar el envío de la OTP a otro dispositivo o servicio en el caso de no contar con el que normalmente la recibiría.

Contar con una política de privacidad actualizada y un servicio de doble factor de autenticación son vitales en el mundo digital actual, y Apple seguramente dio pasos en la dirección correcta. Ahora es hora de ajustar la funcionalidad de doble verificación y garantizar que la política de privacidad sea respetada, para contar con niveles de seguridad y privacidad optimizados.