Hace unas semanas estuvimos por casa con un mini-drama debido a que, para poder pedirle la baja de maternidad a Èlia, era necesario hacer uso de su certificado digital.
Uno que tenía instalado en su macbook, y por tanto, protegido con la cuenta de iCloud.
Una cuenta a la que ya desde hace tiempo siempre entra vía TouchID.
¿Ves por dónde voy, verdad?
Pues que no se acordaba de la contraseña.
Y, casualidades de la vida, justo para acceder al certificado MacOS te obliga a poner la contraseña. No vale con usar el TouchID del mac.
En fin, que después de unos días intentándolo, estuve mirando a ver cómo podíamos cambiar la contraseña, pero es que no te creas que es tan inmediato, ya que aunque en efecto el dispositivo y la cuenta es de ella, desde Mac para cambiar la contraseña te piden, ojo al dato, la contraseña anterior.
Tócate los $∞@¢#¢·nes.
Esto, sin embargo, si Èlia tuviera un iPhone, hubiera sido muchísimo más sencillo de solventar.
Porque, y de este tema es el que quería hablarte, con el passcode de un iPhone puedes hacer de todo.
De todo.
Me explico.
Bypass de iCloud usando el passcode de un iPhone
Es un tema al que recientemente Joanna Stern y Nicole Nguyen le dedicaban un reportaje en el WSJ (EN).
En él, hablaban de cómo cada vez más cacos se habían especializado en seguir a las víctimas, vigilando lo que hacían estas por ejemplo en un bar, y esperando pacientemente a que alguna desbloqueara su iPhone sin usar TouchID o FaceID, sino metiendo directamente su passcode.
Vamos, el típico ataque de shoulder surfing del cual ya hemos hablado en más de una ocasión.
Una vez identifican a alguna de estas víctimas, y son capaces de ver exactamente qué cuatro dígitos han pulsado, solo falta o bien robarle el terminal en algún descuido, o esperar a que salga y atracarle.
Y con el iPhone ya en su poder, empieza la juerga.
Y es que al tener el passcode pueden desbloquearlo, y por tanto acceder a todas las apps e información que tiene el dispositivo.
¿Que alguna te pide 2FA o credenciales de acceso para hacer algo en particular? Por ejemplo, como suele ocurrir cuando intentas realizar una transferencia bancaria.
Pues, y esto es lo más interesante de todo, es posible acceder al llavero de iCloud mediante el PassCode.
Y no solo eso, sino que también es posible cambiar las credenciales de acceso de iCloud usando el passcode.
Vamos, que al final, y puestos a hacer daño, el que te roben un iPhone ya no solo duele por el coste económico y de tiempo que vas a perder, sino que si encima el caco ha hecho los deberes, puede volverse una auténtica pesadilla, como contaban en el reportaje varias víctimas que habían visto, de la noche a la mañana, destruida toda su vida, con robos de todo el dinero que tenían en el banco, con el uso de su identidad digital para abrir cuentas en servicios de apuestas, pedir hipotecas y/o tarjetas generándoles miles de dólares en deudas en apenas unos minutos, y por supuesto, con fraudes y extorsiones tanto a ellos, como a sus allegados, a cambio de no divulgar imágenes privadas.
Todo, recalco, porque hoy en día con el passcode y el iPhone es posible acceder a absolutamente todo lo que tiene esa persona asociado al ID de Apple.
¿Qué podemos hacer para evitarlo?
Pues, sinceramente, no mucho.
- Si ya hemos sido víctimas del robo, los primeros instantes son críticos. Deberíamos llegar a otro dispositivo de seguridad lo antes posible para identificarnos y marcar el terminal como robado, además de cambiar lo antes posible los accesos a iCloud. Claro está que si en efecto estamos ante uno de estos ladrones, muy probablemente en esos minutos que tardaremos en llegar a nuestra casa él ya lo haya hecho por nosotros, impidiéndonos de hecho acceder a nuestra cuenta y marcar el terminal como robado.
- De cara a minimizar el riesgo a que algún ladrón le interese nuestro iPhone, lo que sí hay que intentar es que siempre que pongamos el código (sea el passcode del iPhone, sea un TPV o donde sea) intentemos, en la medida de lo posible, no hacerlo de forma muy visible, presuponiendo, por ejemplo, que esa persona que está detrás de la fila nuestra, o esa otra que está sentada en la mesa de al lado, podría estar mirándonos. Con tan solo taparnos un poco pegando el dispositivo a nuestro cuerpo minimizamos bastante el riesgo. Y por cierto, que esto aplica por igual a las cámaras de seguridad de los establecimientos. Que nunca sabes dónde va a acabar esa grabación, o ya puestos, quién está detrás mirándolo…
- Además, yo siempre abogo por usar códigos alfanuméricos en vez de solo el típico patrón de desbloqueo o un PIN de cuatro dígitos. Conforme más caracteres tenga, y más tipos de caracteres estén disponibles, mejor, ya que minimizamos por un lado la capacidad operativa de un ataque de fuerza bruta (un PIN numérico de 4 dígitos son 10.000 posibilidades, mientras que si pasamos a algo alfanumérico de seis dígitos, por ejemplo, tenemos millones de posibilidades), y por otro, también complicamos el que un tercero vea lo que estamos tecleando (el teclado alfanumérico es más pequeño que el numérico, y por tanto es más complicado de ver desde un ángulo ajeno qué está pulsando en cada momento esa persona).
De cara a Apple, eso sí, era de esperar que se pongan las pilas, y que implementen mayores controles de seguridad. Entre lo que tenemos actualmente en el Mac, que no es posible cambiar la contraseña de iCloud sin saberla previamente, y lo que tenemos en el iPhone, que con un simple passcode se puede cambiar hasta la contraseña de iCloud, hay un largo trecho…
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si te merece la pena entrar en el Club Negocios Seguros y aprovecharte de todo el contenido exclusivo que publico para los miembros.
