Apple ha corregido un agujero peligroso que permitía a un cibercriminal ganar acceso a la cuenta de iTunes de la víctima con solo conocer el día de nacimiento del afectado y su correo electrónico. Lo grave del asunto es que el ataque se podía realizar a través de las propias herramientas que tiene Apple para recuperar la contraseña del usuario. En una página pública se había pegado un completo tutorial para que cualquier persona con mala intención pudiera realizar este ataque y ganar acceso a la cuenta de iTunes de la víctima, incluyendo su información personal como por ejemplo el correo de iCloud, las aplicaciones y contenidos descargados. Esta vez sí, la compañía de la manzana ha reaccionado rápido a esta amenaza cuando se ha hecho pública.
Lo que no conocemos de este asunto es cuántos ataques de este tipo se han producido antes de que se decidiera publicar un tutorial en una página de hackers para que cualquier persona pudiera aprovecharse de este agujero grave. En la práctica, un usuario que quisiera hackear una cuenta de un usuario de Apple tan solo tendría que conocer su cuenta de correo y su fecha de cumpleaños (dos datos que se pueden conseguir con bastante facilidad en Internet a través de herramientas como Facebook). Después, deberían iniciar la herramienta de recuperación de contraseña de Apple. Cuando reciban la pregunta de seguridad para resetear la contraseña, el atacante pegaría un enlace a una página web modificada (este enlace también se hizo público) y podría ganar acceso completo a la cuenta de la víctima.
Sin duda, un ataque muy sencillo que pone en duda las medidas de seguridad de la compañía de la manzana. Eso sí, esta vez los de Cupertino han reaccionado con rapidez y en cuanto se ha hecho público este ataque han decidido deshabilitar temporalmente la herramienta para volver a crear la contraseña de una cuenta de Apple. Horas después, la herramienta ha vuelto a estar disponible, esta vez sin el peligro de que los hackers puedan aprovechar esta vulnerabilidad. Hay que tener en cuenta que la empresa ha comenzado a desplegar una nueva medida que permite a los usuarios de iTunes realizar la verificación en dos pasos.
Esta posibilidad añade una capa de seguridad importante que evitaría este tipo de agujeros, pero el problema es que todavía solo está disponible en los países de Estados Unidos, Reino Unido, Nueva Zelanda y Australia, mientras que en países como España todavía se tendrá que esperar un tiempo para poder utilizar esta opción. No es la primera vez que Apple se tiene que enfrentar a un agujero de seguridad en sus productos en la última semana. Hace apenas unos días la compañía lanzó un parche de su sistema iOS para corregir una vulnerabilidad que permitía a los hackers burlar el bloqueo del terminal sin necesidad de conocer la contraseña utilizada por el usuario, una muestra más de que los productos de Apple no son tan seguros como siempre se ha destacado desde la propia empresa.