Un grupo llamado Turkish Crime Family fue responsable de haber robado más de 300 millones de cuentas de iCloud que ahora amenazan con borrar si Apple no paga el rescate por 75.000 dólares o 70.000 euros que solicitan a la compañía de la manzana en criptomonedas (Bitcoin o Ether) o bien 100.000 dólares (92.500 euros) en tarjetas regalo de iTunes
Ese es el rescate que unos ciberdelincuentes demandan a Apple. El grupo, que se hace llamar Turkish Crime Family, asegura haber robado 300 millones de cuentas de iCloud que amenazan con borrar el próximo 7 de abril si la corporación no acepta su chantaje, según indica la firma de seguridad Panda.
Varias capturas de pantalla muestran el intercambio de información entre Apple y los ciberdelincuentes quienes subieron un vídeo a YouTube con la finalidad de enseñar la manera como cometían el delito iniciando sesión en varias de las cuentas referentes a iCloud y accediendo al contenido de los usuarios y borrándolo o controlándolo de manera remota.
Al parecer Apple no está dispuesta a pagarles a los ciberdelincuentes nada por atentar contra la ley. Las contraseñas que consiguieron vulnerar fueron obtenidas mediante un robo a servicios de terceros previamente comprometidos.
Por el momento Apple ha declarado que se encuentran trabajando con las autoridades en la búsqueda de información sobre los implicados en el caso. De cualquier manera la empresa les ha hecho conocer a los usuarios métodos seguros para poder resguardar la seguridad de sus dispositivos Apple tales como evitar compartir sus contraseña en varios sitios de forma simultánea así como activar la verificación de dos pasos.
Mientras este pulso entre ambas partes se mantiene, «The New York Times» ha desvelado este fin de semana cómo la privacidad vuelve a enfrentar al gobierno de Barack Obama con otra gran compañía tecnológica: Facebook, pero esta vez para acceder a las comunicaciones de WhatsApp.
Conviene resaltar que este enfrentamiento no es nuevo pero sí se ha avivado a raíz de la oposición de Apple. Según el diario, «los funcionarios del gobierno están debatiendo en privado cómo resolver este disputa» lo que supone «un nuevo frente en la administración de Obama con Silicon Valley sobre el cifrado, la seguridad y la privacidad».
Tal y como recuerda «The New York Times», el fundador WhatsApp, Jan Koum, afirma cómo en los inicios de la popular aplicación de mensajería «WhatsApp tenía la capacidad de leer los mensajes a medida que pasaban a través de sus servidores. Eso significaba que podía cumplir con las órdenes de escuchas telefónicas por parte del gobierno». Sin embargo, a finales de 2014, la compañía anunció que mejoraría su cifrado para evitar esta especie de espionaje.
Por esta razón, «WhatsApp no puede proporcionar información que no tenemos», declaró la compañía hace varias semanas después de la encarcelación en Brasil del vicepresidente de Facebook para América Latina, Diego Jorge Dzodan, por no entregar a las autoridades información almacenada por Facebook de dos usuarios con una cuenta en WhatsApp en la que intercambiaban información sobre tráfico de drogas.
El problema es que «desde hace más de medio siglo, el Departamento de Justicia ha hecho de las escuchas telefónicas su herramienta fundamental para combatir el crimen», apunta el diario. Sin embargo, los avances en cifrado que se están dando en los últimos tiempos están provocando que caiga en peligro esta línea de investigación.
WhatsApp es, tal y como ha revelado «The Guardian», una de las compañías que está mejorando su sistema de cifrado de datos. Facebook y Google también trabajan en esta línea y casualmente, todas ellas apoyaron a Apple en su decisión de no claudicar ante el FBI.
James B. Comey, director del FBI, ha defendido ante el Congreso que el cifrado es vital en las comunicaciones y «sin duda hay implicaciones internacionales» pero aboga por encontrar un término medio entre las grandes empresas tecnológicas y las investigaciones policiales.
Firmar para comprar un coche o recibir un paquete, o teclear una clave para pagar en el supermercado, pronto será cosa del pasado. Las nuevas contraseñas biométricas ni siquiera nos exigirán activar el smartphone. Bastará nuestros dedos o nuestra retina para identificarnos. Pero también, nuestro latido del corazón, u olor corporal…
Desde siempre hemos creído que eras nuestras huellas dactilares las que nos diferenciaban del resto, pero al parecer hay otros elementos biométricos de nuestro cuerpo que nos hacen únicos. Es un tema interesante por lo novedoso, pero la cuestión principal no es tanto la tecnología, como lo apropiado de su uso. Tu huella es única, y se te la roban, no la puedes desechar y elegir otra, como ocurre con una contraseña numérica. Porque algunascontraseñas biométricas son para toda la vida. Vamos a ver cómo tratan estas cuestiones diferentes tecnologías.
> El Tacto
Una de las primeras contraseñas biométricas universales que se utilizan desde hace décadas, es la huella dactilar. Hasta ahora, su uso se había restringido al ámbito policial, en los carnés de identidad, o en empresas de alta seguridad que disponen de escáneres de huellas en las cerraduras. Apple, una vez más, ha abierto el camino para su implantación a nivel doméstico.
Cuando Apple presentó su smartphone iPhone 5S (Análisis), se criticó su escasa innovación, pero lo cierto es que el lector de huellas TouchID ha sentado cátedra, y ya está siendo copiado por otras marcas, como Samsung o HTC. El lector de Apple esta situado en el botón frontal del móvil. Dispone de un cristal de zafiro que incorpora un sensor táctil capacitivo, donde se recoge una imagen de la huella en alta definición, con 550 ppp de resolución.
No sólo registra la huella, sino también las primeras capas epidérmicas. Esto se hace para evitar que alguien corte un dedo al dueño del smartphone, para desbloquearlo. El sistema es capaz de detectar si las capas de la piel están vivas. Esta información no se envía a Apple (esta por ver el acceso real que puedan tener a las mismas), ni siquiera se comunica a las apps que se ejecutan en el móvil. Queda encriptada dentro del propio procesador A7 del iPhone 5S, y no se mueve de ahí, reduciendo así las posibilidades de robo.
Aunque la huella dactilar se usa desde hace más tiempo, el reconocimiento facial se implantó antes a nivel doméstico. Hace casi tres años que el Galaxy Nexus popularizó el reconocimiento facial como contraseña, por medio de una cámara. Al introducirse de forma nativa en Android 4.0, después lo han usado otros smartphones. Se basa en fijar una serie de puntos y vectores en el rostro hasta conseguir una representación matemática del mismo.
No ha tenido demasiado éxito porque falla bastante, pues depende de aspectos como la distancia, la luz, o la propia variación del rostro, que cambia si duermes mucho o poco, o si sacas o metes papada, y otros factores que dificultan las mediciones.
Apple ha patentado una tecnología de detección y reconocimiento de rostros. Va un paso más allá de la simple fotografía, pues también tiene en cuenta aspectos como el tono de la piel, profundidad, rasgos en 3D, etc.
Este sistema permitirá poner en marcha apps simplemente haciendo gestos con los ojos, y distinguiría a las personas que responden una llamada: si es el dueño del teléfono, muestra datos de la persona que llama, mensajes, etc. Si no lo es, sólo muestra el número. Esta patente de Apple coincide con la compra de Primesense, la empresa israelí que inventó Kinect, la cámara con reconocimiento facial de Microsoft.
Por último, merece la pena comentar el sistema de reconocimiento facial que está experimentado PayPal en lo comercios tradicionales. Tan simple como efectivo: registras tu cara con una foto estándar, y cuando vas a pagar a una tienda física, el vendedor recibe la foto en su tablet o móvil. Si te reconoce, el cobro se efectúa de manera automática… A veces lo más rústico es lo más infalible…
> Escáner de retina
Una contraseña biométrica más avanzada que el reconocimiento facial es el escáner de retina. Ya esta a la venta un dispositivo llamado Myris, de Eyelock , que conectas a cualquier ordenador para utilizar contraseñas basada en un escáner de iris ocular. Eyelock asegura que no hay dos iris iguales. Myris graba un vídeo del ojo usando luz de diferentes colores: azul claro, oscuro, y verde.
Con este sistema la posibilidad de un falso desbloqueo es de uno entre dos billones. Por contra, el reconocimiento facial falla una de cada mil veces, y la huella, una de cada diez mil.
> El Oído
¿Es posible identificarnos por el ruido que genera nuestro cuerpo? Al parecer sí. El tono de voz, e incluso tu pulso, pueden convertirse en contraseña biométrica.
– Latidos del corazón
Nymi es una pulsera biométrica que convierte el latido del corazón y el ritmo cardíaco en una contraseña única, activa de forma permanente a corta distancia. Dispone de un sensor que registra el ritmo cardíaco y lo utiliza como contraseña, emitiéndola de forma continua en un radio cercano mientras lleves la pulsera puesta.
Los dispositivos compatibles con Nymi podrán identificarte sin necesidad de que pulses ningún botón ni des ninguna orden, simplemente por proximidad. De fábrica está conectada a Bitcoin Wallet, para que puedas usar fácilmente esta moneda virtual. Pero se puede usar para desbloquear el smartphone, pagar en una tienda, abrir la puerta de casa o del coche, o reproducir tu música favorita cuando llegues a casa.
Ionym, la empresa creadora del invento, asegura que la privacidad está garantizada al usartres capas de protección: un código único de la pulsera, tu propio latido de corazón, y un Dispositivo de Autentificación Autorizado (AAD), como por ejemplo una app en tu smartphone. Además la pulsera no guarda información, así que nadie accederá a ningún dato si la pierdes.
– Tu voz te delata
La Universidad Politécnica de Madrid ha desarrollado un programa llamado Batvox, que realiza una especie de electrocardiograma de la voz, analizando las ondas provocadas por las cuerdas vocales.
Según afirman, permite reconocer dicha voz con un acierto del 100%. Recientemente lo utilizó la policía francesa para acusar al ex Ministro de Hacienda francés Jerome Cahuzac de evadir impuestos, gracias a una grabación de voz.
La empresa creadora, Agnitio, ha desarrollado una variante llamada Kivox, que identifica a clientes de los bancos y centros de atención al cliente que llaman por teléfono. Pronto saldrá en forma de app para iOS y Android.
– Ultrasonidos: la contraseña invisible
Cinco meses. Eso es lo que ha tardado Google en comprar la joven compañía israelíSlickLogin, desde que se dió a conocer. Su novedoso sistema de identificación basado en ultrasonidos ha cautivado al gigante de Mountain View. No se trata de biometría, pues no usa el cuerpo humano, pero sí es un nuevo método sonoro de contraseñas.
SlickLogin se fundó hace apenas un año. Una simple demo en una feria le ha servido para ser absorbida por Google. Presentó en la conferencia TechCrunch Disrupt SF 2013 una tecnología de contraseñas basada en ultrasonidos.Las claves, únicas en cada sesión, se codifican dentro de un ultrasonido, inaudible para el oído humano, pero que sí pueden escuchar los micrófonos de un smartphone, tablet, PC, etc. Por tanto las claves se transmiten por el aire, de un dispositivo a otro, sin que el usuario tenga que intervenir.
Es un sistema que se puede implementar en cualquier navegador, así que es compatible con cualquier aparato capaz de navegar por Internet, permitiendo identificarse a diferentes máquinas con distintos sistemas operativos.
No se sabe muy bien cómo funciona la tecnología, pues en su web apenas explican nada. Google pretende usarla para facilitar su sistema de verificación en dos pasos cuando quieres recuperar una contraseña, que actualmente emplea confirmaciones por teléfono y mensajes de texto, molesto para el usuario.
> EL OLFATO
Aunque suene a broma, el olor corporal también puede usarse como contraseña biométrica. De nuevo la Universidad Politécnica de Madrid, junto con la empresa tecnológica Ilía Sistemas, trabajan en un sistema de identificación olfativo.
Aunque el olor de una persona puede cambiar en función de la dieta, el estado de ánimo, o una enfermedad, al parecer cada persona tiene un patrón de olor corporal único que además de ser distinto al resto, se mantiene constante. Los científicos del proyecto aseguran que por ahora alcanzan una eficacia de aciertos del 85%. La idea es usarlo en aeropuertos y comisarías para detectar delincuentes, ya que no requiere colaboración, y funciona aunque la persona se camufle.
> Ahora bien, ¿es aconsejable su uso?
Como vemos, existen numerosos sistemas de identificación biométrica, más o menos sofisticados. La tecnología ya está aquí, y funciona. Pero, ¿es segura? Y aún más importante… ¿Merece la pena utilizarla?
– Menor seguridad
La biometría es más cómoda de usar, y por eso tiene éxito, pero también es menos segura. Gusta porque no hay que recordar contraseñas, o firmar. Basta con poner el dedo o el ojo en un escáner. Pero ya hay casos de iPhone 5S desbloqueados cuando su dueño se ha quedado dormido, o borracho.
Y lo mismo pasa con un escáner de retina o de latidos del corazón. Basta con usar cloroformo en una persona para usar su huella, su iris o cualquier elemento biométrico.
El grupo hacker alemán Chaos Computing Club (CCC) ha conseguido romper la seguridad del iPhone 5S usando una huella impresa en una lámina de latex, que colocan sobre un dedo, para superar las pruebas del calor y la dermis.
Sólo hay que colocar una huella en un papel transparente, escanearla e imprimirla en una lámina de latex con una impresora, tal como puedes ver en este vídeo:
Por otro lado, tal como afirma el experto en seguridad alemán Johannes Caspar, una contraseña numérica se puede cambiar cuando te la roban, pero una biométrica no.
No puedes cambiar tu huella o tu retina. Si alguien roba esos datos, no tendrías forma de bloquearlos, salvo que se asocien a una segunda contraseña, que complicaría el proceso.
Además, algunos datos biométricos como el análisis de retina, o el pulso, podrían delatar ciertas enfermedades, o la posibilidad de padecerlas, así como la ingestión de alcohol o drogas. Si estos datos se asocian a una contraseña y son espiados, podrían ser contraproducentes a la hora de encontrar trabajo, o pedir una hipoteca.
Los expertos concluyen que las contraseñas biométricas se pueden usar en tareas de alta seguridad, pero no merece la pena exponer nuestra biometría en funciones tan mundanas como desbloquear un móvil o pagar en una tienda.
Un pensamiento que, sin duda, merece una reflexión… ¿No estaremos vendiendo demasiado barata nuestra privacidad fisiológica?
Secur-IT @C.R.S. 