Los piratas informáticos exigen que Apple pague un rescate en bitcoins o afirman que borrarán de forma remota millones de iPhone, iPad y Mac de sus clientes.
Hace unos días notamos por primera vez varios cabos sueltos y matices a considerar en esta historia en desarrollo. Un nuevo informe de muestra un panorama un poco más claro.
Un nuevo análisis de un conjunto más amplio de cuentas supuestamente robadas confirma que un número creciente de clientes de Apple corren el riesgo de que sus dispositivos sean atacados por el grupo de piratas informáticos.
Ahora también creemos saber de dónde provienen los datos, lo que refuerza la teoría de que los piratas informáticos obtuvieron millones de contraseñas de otros sitios web y servicios previamente pirateados.
En caso de que necesite un resumen para ponerse al día, un grupo de hackers con sede en Londres, que se hace llamar Familia Criminal Turca, ha afirmado tener acceso a 250 millones de cuentas. El grupo de piratas informáticos amenaza con restablecer las contraseñas de esas cuentas de iCloud y borrar de forma remota los dispositivos de los clientes si Apple no paga el rescate antes del 7 de abril. Los piratas informáticos se han acercado a varios medios, probablemente en un esfuerzo por fortalecer sus esfuerzos de extorsión, como lo señaló Placa base, que informó por primera vez la historia.
Apple dijo en una breve declaración al sitio hermano CNET que no ha sido pirateado y que los datos provienen de “servicios de terceros previamente comprometidos”.
Ese punto no es discutido por los piratas informáticos, quienes también negaron cualquier violación directa de los sistemas de Apple. Los piratas informáticos dijeron que las cuentas pirateadas provienen de otros sitios y servicios. (La lógica es que si se usó la misma contraseña en varios sitios, probablemente también se usó como contraseña de iCloud).
Pero eso no niega la amenaza del grupo de piratas informáticos de iniciar sesión con esas cuentas válidas para borrar de forma remota los iPhone, iPad o Mac de los clientes, provocando una pérdida catastrófica de datos personales.
Hemos seguido investigando esta historia durante los últimos días, durante los cuales obtuvimos más datos del grupo de hackers y hablamos con más víctimas, y creemos que tenemos una idea de dónde provienen los datos.
La primera vez, nos dieron 54 credenciales, y confirmamos que todas eran cuentas válidas. (Puede obtener más información sobre cómo verificamos las violaciones de datos aquí). Diez personas en esa lista respondieron y confirmaron que sus contraseñas eran precisas, y ahora han sido cambiadas.
Este fin de semana, obtuvimos una lista más grande de alrededor de 70.000 supuestas cuentas de iCloud del grupo de hackers, a las que les faltaban unos pocos miles después de que se eliminaron los duplicados.
Nuestra lógica era ver si podíamos seleccionar al azar 100 cuentas de la lista más grande para ver si también eran cuentas válidas. Si es así, eso puede ayudar a determinar mejor la magnitud de la amenaza del hacker.
Comenzamos a trabajar para contactar a los propietarios de cuentas. Las comprobaciones superficiales mostraron que muchas de las cuentas “icloud.com”, “me.com” y “mac.com” de nuestra muestra seleccionada al azar ya no estaban registradas en iMessage y no se podía acceder a ellas de inmediato.
Finalmente, llegamos a 65 personas, de las cuales 20 respondieron. Dos personas se negaron a hacer comentarios. Tres personas dijeron que las contraseñas enumeradas para su cuenta no eran exactas o nunca eran exactas. En total, 12 personas confirmaron que su contraseña es o fue en algún momento correcta.
Es difícil tomar decisiones perfectas dados nuestros recursos limitados. Pero está claro que, si bien algunos de los datos son falsos e inexactos, la lista de cuentas válidas confirmadas está creciendo y no se limita a una pequeña lista de cuentas seleccionadas cuidadosamente.
Le proporcionamos el nuevo lote de registros a Troy Hunt, propietario del sitio de notificación de infracciones Have I Been Pwned, para que lo analizara.
El análisis de Hunt mostró que más del 99,9 por ciento de los registros coincidían con una cuenta en su base de datos. La mayoría de las cuentas coincidían con la violación de datos de Evony de junio de 2016, mientras que los datos de las violaciones de 2012 de Last.fm y el sitio de redes sociales LinkedIn probablemente también se utilizaron para construir el conjunto de datos de iCloud de los piratas informáticos.
Una lista de bases de datos supuestamente recopiladas por el grupo de piratas informáticos parece contener cientos de entradas.
Pero, si bien se han solucionado algunos matices, quedan algunos cabos sueltos y preguntas.
Todavía no tenemos idea exactamente de cuántos clientes de Apple podrían estar en riesgo, algo que el grupo de hackers no ha comunicado de manera constante.
Un representante del grupo de hackers dijo que tiene en la región 250 millones de cuentas iCloud en funcionamiento “confirmadas” de un total de aproximadamente 750 millones de cuentas que aún no han sido verificadas.
Los expertos en seguridad han puesto en duda el gran volumen de números que se dice que se ven afectados por los esfuerzos del grupo, quienes argumentan que estas llamadas técnicas de relleno de credenciales podrían usarse para reunir un número convincente de cuentas válidas para ayudar en el esfuerzo del grupo de hackers para extorsionar. Apple por un rescate.
Un punto que no ha sido discutido es que los piratas informáticos aún pueden tener suficientes cuentas para descifrar con éxito miles (si no millones) de cuentas y dispositivos de Apple.
Mientras tanto, los usuarios preocupados deberían cambiar sus contraseñas de Apple iCloud. Tenemos una guía sencilla sobre cómo hacerlo y tenemos más consejos de seguridad aquí. Aquellos que usan autenticación de dos factores o el sistema de dispositivo confiable de Apple deben estar protegidos.
Por debajo de eso, parece más probable que Apple tenga que dar un paso al frente y tomar medidas preventivas.
Cuando se contactó con él, un portavoz de Apple no quiso hacer comentarios durante el fin de semana, pero se refirió a la declaración anterior de la compañía.