Hackers están usando el servicio “Encuentra mi...” de Apple para secuestrar dispositivos de forma remota y pedir dinero, según reporta MacRumors. Muchas personas han publicado tweets mencionando que les han robado la cuenta de iCloud durante la última semana. Lo peor, la autenticación de dos pasos no evita que seas hackeado.

El servicio de “Encuentra mi...” está diseñado para ayudarte a recuperar tu móvil u ordenador si lo pierdes o te lo roban, además de permitir bloquear de forma remota tu dispositivo. Esto se supone que ayuda a disuadir a los ladrones, dado que al bloquearlo hace que el smartphone quede inutilizado. El servicio también permite enviar mensajes a tu dispositivo perdido, tales como “recompensa de 50$ a quien encuentre y regrese este móvil” o “Por favor regresar el móvil al número 55 de la calle Pine”.

Advertisement

Sin embargo, debido a que se puede activar de forma remota, “Encuentra mi...” también puede ser una buena forma de que alguien bloquee tu dispositivo desde cualquier parte, incluso cuando todavía esté en tus manos. Lo único que necesitan para hacerlo es tu nombre de usuario y tu contraseña (la autenticación de dos pasos no sirve para prevenir esto. Apple no requiere este tipo de verificación debido a que si estás usando “Encuentra mi...” es porque no tienes tu otro dispositivo a la mano, necesario para ese sistema de seguridad).

¿Pero cómo obtuvieron los hackers las contraseñas de estas personas? Como reportan desde MacRumors, es probable que los usuarios hackeados estuvieran usando la misma contraseña de iCloud para otros servicios. De esta forma, al filtrarse las contraseñas de algún servicio de terceros, los hackers buscaron en la lista de afectados y probaron a iniciar sesión en iCloud con los datos que conseguían. Así lograron hackear a los descuidados que utilizaban la misma contraseña en varios servicios.

Según un usuario de Twitter, así luce una nota de secuestro en un Mac hackeado. El cibercriminal está solicitando un pago en Bitcoins, la moneda favorita de los secuestradores, dado que es difícil de rastrear:

Advertisement

Probé la técnica en mi propio dispositivo, que previamente tenía activado el servicio de “Encuentra mi iPhone”. Accedí a iCloud.com e inicié sesión con mi usuario y contraseña. Cuando el sitio me pidió la autenticación de dos pasos, hice clic sobre “Encuentra mi iPhone” y envié un mensaje a mi móvil, que había bloqueado de forma remota:

¡Es muy fácil!

Entonces, ¿cómo puedes evitar que esto te suceda? Como sugieren desde Macrumors, si utilizas la misma contraseña de iCloud en otro servicio, cámbiala de inmediato.

No obstante, el servicio “Encuentra mi...” es bastante inseguro gracias a un punto débil de Apple: los representantes de atención al cliente. El periodista Mat Honan fue hackeado en 2012 de esta forma: el hacker llamó al servicio de atención al cliente de Apple y se hizo pasar por Honan, usando su dirección de cobro y los últimos cuatro dígitos de su tarjeta de crédito para “verificar” su identidad. De esta forma, logró cambiar su contraseña.

Advertisement

Entonces, a menos que Apple haya resuelto este problema y sus empleados de atención al cliente sigan nuevas medidas de seguridad, si tienes activo “Encuentra mi dispositivo” un extraño podría bloquear tu iPhone o Mac si tiene en sus manos estos datos: tu nombre y cuenta de correo (los cuales suelen ser datos públicos), los últimos cuatro dígitos de tu tarjeta de crédito (presentes en facturas de todo tipo) y tu dirección (disponible en directorios). Dicho de otro modo, cualquiera que tenga en sus manos una de tus facturas de alguna tienda o restaurante puede bloquear tus dispositivos sin necesidad de tener algún conocimiento especializado en software.

Por esta razón, al igual que Slate, recomendamos que todos los usuarios desactiven la función “Encuentra mi dispositivo” a menos que sea extremadamente necesario. Y si usas la misma contraseña de iCloud en otro servicio, cámbiala ahora mismo.

Para desactivar “Encuentra mi iPhone” accede al menú de configuración en tu móvil, presiona la primera casilla (esa con tu foto y tu nombre) y selecciona tu móvil. Allí desactiva la opción “Encuentra mi iPhone” (te solicitará tu contraseña de iCloud).

Para desactivar “Encuentra mi Mac” desde tu ordenador accede a las “Preferencias del sistema”, haz clic sobre iCloud y desactiva “Encuentra mi Mac” (te solicitará tu contraseña).

Advertisement

La única forma de desactivar el servicio de “Encuentra mi...” es desde el dispositivo que estás usando, así que es algo que debes hacer desde cada uno.

En lugar de “Encuentra mi dispositivo” puedes utilizar un código de acceso o una contraseña en todos tus dispositivos. Para mayor seguridad puedes cifrar tu disco duro con FileVault, pero también asegúrate de respaldar tus archivos en otro sitio.

Crea una contraseña segura y única para iCloud y almacénala en algún servicio de gestión de contraseñas (como 1Password). No recomendamos usar el Llavero de iCloud dado que el servicio de atención al cliente de Apple suele entregar tu contraseña fácilmente, como ya explicamos. Tampoco recomendamos utilizar la función de tu navegador para recordar contraseñas.

Advertisement

Recuerda, este tipo de ataques es la razón principal por la que no debes reutilizar contraseñas. Tu contraseña es tan segura como el sitio más vulnerable en el que la usas. No permitas que el hackeo a una web basura a la que te suscribiste alguna vez termine dándole acceso a un hacker a tu cuenta bancaria.

Si has sido hackeado, no pagues el rescate, dado que no hay forma de asegurarse de que el atacante te regresará tu dispositivo. Lo que debes hacer es llamar al servicio de atención al cliente de Apple.

Por último, en nuestras pruebas pudimos comprobar que “Encuentra mi iPhone” no puede bloquear un iPhone que ya tiene protección por contraseña activada, pero sí puede configurar una nueva contraseña en un móvil que no tenga alguna configurada. Por otro lado, tuvimos éxito al utilizar “Encuentra mi Mac” para bloquear de forma remota un Mac y configurar una nueva contraseña, incluso cuando ya tenía una.