Un ingeniero de Apple explica en Twitter como surgió la idea del autorrellenado de códigos de seguridad de iOS

Desde hace ya unos años está disponible en iOS la función de autorrellenado de códigos de seguridad. Esta interesante función se añadió al sistema operativo en iOS 12 y es muy útil cada vez que estamos realizando alguna operación o tramite que requiera de una confirmación a través de un mensaje de texto (operaciones bancarias o confirmar una suscripción a algún servicio). Durante la semana pasada uno de los ingenieros de software de Apple explicó a través de Twitter cómo fue desarrollada esta herramienta y como esta brillante idea fue olvidada  por los desarrolladores durante varios meses.

El ingeniero se llama Ricky Mondello y explicó que la idea del Autofill formaba parte de un proyecto mucho más ambicioso y fue archivada durante un tiempo. Al ver que el proyecto principal no salió como debería se rescató la idea y se comenzó a trabajar en ella.

“La idea del autorrellenado de códigos de seguridad salió de un pequeño grupo de ingenieros de software que trabajábamos en lo que pensábamos que era un proyecto mucho más ambicioso y no era lo que teníamos previsto hacer inicialmente. Comenzó como una pequeña idea mientras diseñábamos algo bastante diferente, escribimos la idea, la archivamos durante semanas y la rescatamos cuando vimos que el otro proyecto no estaba dando resultados. Fue una decisión difícil pero me alegro de haber cambiado nuestro objetivo”. 

Figura 1: Funcionamiento de Autofill.

Tras esta declaración Mondello quiso enfatizar el hecho de que el autorrellenado de códigos de seguridad funciona sin que los desarrolladores tengan que intervenir y así preservar la privacidad del usuario. También dijo que estaba orgullosos de haber trabajado en el equipo que desarrollo la herramienta. Según Mondello el equipo, conformado por expertos en diferentes áreas, fue capaz de hacer funcionar la herramienta desde el día 1 sin tener que interactuar con otras aplicaciones o compartir la información de los mensajes con los desarrolladores. Esta función también está disponible desde hace tiempo en dispositivos Android. 

Fue Noticia en seguridad Apple: del 8 al 21 de julio

Continúa el verano y aunque haga calor en Seguridad Apple continuamos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el martes 9 hablándoos de un nuevo ataque phishing con el que es posible bypassear 2FA y que se ha presentado en la conferencia Hack in the Box.

El miércoles 10 os avisamos de un fallo en la aplicación Zoom que permite activar la cámara de los usuarios sin su consentimiento.

El jueves 11 os contamos cómo una batería defectuosa ha provocado la combustión espontánea de un MacBook Pro de 15 pulgadas en Florida.

El viernes 12 os informamos de una nueva vulnerabilidad que ha llevado a Apple a deshabilitar temporalmente la función Walkie-Talkie del Apple Watch.

El sábado 13 indagamos en la historia de Apple para presentaros un interesante prototipo de ordenador modular que recibió el nombre de Jonathan.

El domingo 14 os hablamos de las nuevas restricciones comerciales que ha levantado Japón a algunos de los proveedores Coreanos de Apple y de cómo esto podría afectar a la producción de iPhone.

El lunes 15 os explicamos por qué watchOS 6 allanará el camino del Apple Watch para convertirse en un Smartwatch independiente del iPhone.

El martes 16 os avisamos de la posibilidad de que el primer jailbreak para Apple Watch llegue a finales de año de la mano de @ethanpepro.

El miércoles 17 os presentamos PwnedWord, un pequeño truco con Siri que te avisa si tu contraseña se ha filtrado.

El miércoles también os contamos que el esquema URL en los dispositivos iOS es vulnerable al Highjacking.

El jueves 18 os informamos de que se ha encontrado un importante fallo en la placa lógica de algunos MacBook Air de 2018 y os contamos como comprobar si un equipo se encuentra afectado.

El viernes 19 os avisamos de que Pwn20wnd ha confirmado que su jailbreak es compatible con iOS 13 (al menos en su fase beta).

Finalmente, el sábado hablamos de "Sosumi" o cómo la discográrica de los Beattles demandaba a Apple por los sonidos del sistema operativo.

Nos vemos en el próximo Fue Noticia de Seguridad Apple.

Este nuevo ataque phishing permite bypassear 2FA

Desde hace unos años los dobles factores de autenticación nos han ayudado a proteger nuestra identidad digital de una forma rápida y sencilla. A pesar de la dura capa de seguridad que resultan ser los 2FA unos expertos han demostrado que no son completamente infalibles y es posible engañar a una víctima para que revele sus credenciales e incluso facilite su código OTP. Este ataque se demostró por primera vez en la conferencia Hack in the Box que tuvo lugar en pasado mes en Ámsterdam. El video de la demostración fue publicado en YouTube y busca resaltar el hecho de los ciberdelincuentes son cada vez mejores rompiendo las capas extra de seguridad a pesar de que usemos herramientas como 2FA.

El hack empleado en la demo para romper 2FA utiliza una combinación de dos potentes herramientas llamadas Muraena y NecroBrowser, las cuales trabajan en tándem para automatizar el ataque. La combinación de estas dos herramientas trabaja a la perfección ya que una realiza el ataque y la otra realiza un seguimiento de la sesión de la víctima. Muraena es la herramienta encargada de capturar el tráfico entre la víctima y el sitio web actuando como un proxy. Una vez que Muraena lleva a la víctima hasta una página falsa (de aspecto similar a la auténtica) solicitará a los usuarios sus credenciales y el código OTP, al igual que lo haría la página original. En cuanto Muraena ha autenticado la cookie de la sesión comienza el trabajo de NecroBrowser, una herramienta capaz de crear ventanas para mantener el seguimiento de miles de cuentas.

Figura 1: Demostración del ataque en la conferencia Hack in the Box

Su autor también ha publicado en GitHub una demostración del ataque para que otros desarrolladores puedan analizar cómo funciona detalladamente. Varios expertos en el ámbito de la ciberseguridad han asegurado que estas herramientas facilitan mucho el trabajo a los atacantes “amateur”. También han querido resaltar que no hay razones para perder la confianza en los dobles factores de autenticación o en la biometría ya que dificultan mucho el trabajo de los atacantes y son una mejor alternativa que utilizar únicamente un usuario y una contraseña. Independientemente del método que escojas para proteger tus cuentas desde Seguridad Apple queremos recordarte la importancia de una rápida actuación si sospechas que alguna de tus cuentas puede haberse visto comprometida.

12 consejos que te ayudarán a hacer que tu dispositivo iOS sea más seguro

Los iPhone son unos de los objetos más importantes que llevamos encima allí a donde vallamos. Estos dispositivos son valiosos para nosotros no solo por su valor monetario, sino por los datos que almacenan, entre ellos fotos, conversaciones, información bancaria y cuentas de redes sociales. Por lo general los iPhone son bastante seguros para proteger tu información en caso de que los pierdas. Independientemente hay algunos pasos que todo usuario de iPhone debería seguir para proteger sus datos en caso de que su querido dispositivo caiga en las manos equivocadas. A continuación os daremos una serie de consejos para mejorar la seguridad de vuestro dispositivo iOS.

1. Utilizar contraseñas alfanuméricas: lo más común a la hora de desbloquear un iPhone es usar un passcode de 4 o 6 dígitos, sin embargo este método de desbloqueo no resulta tan seguro como una contraseña alfanumérica (que puede ser tan larga como desees) en caso de sufrir un ataque de fuerza bruta.                                                                                                                            
2. Desactivar el acceso de Siri a determinados servicios: Desde el lanzamiento de Siri se han visto muchos hacks enfocados a desbloquear los dispositivos, muchos de ellos también involucrando las notificaciones y el centro de control. Es muy recomendable desactivar todos los accesos de Siri cuando el dispositivo este bloqueado.                                                                                                  



Figura 1: Siri.





3. Mantener nuestro dispositivo actualizado: Esta es la forma más sencilla de mantener nuestro dispositivo seguro, Apple introduce constantemente actualizaciones de seguridad destinadas a la corrección de vulnerabilidades y bugs.                                                                                                  
4. Desactivar Touch ID y Face ID: Aunque suene contraproducente esto puede serte de gran ayuda si alguien quiere forzarte a desbloquear tu dispositivo, si no te convence esta opción podrás desactivar estas funciones (puntualmente) pulsando el botón de llamada de emergencia y volviendo atrás (te pedirá que introduzcas tu passcode).                                                                                         
5. Activa Two-Factor Authentication en tu cuenta de iCloud: Tu cuenta de iCloud maneja mucha información relativa a tu vida, protege esta información con este segundo factor de autenticación.                                                                                                                                       



Figura 2: Passcode iPhone.


6. Activa Find My iPhone: Esta función puede ser muy útil para recuperar tu dispositivo en caso de que se te pierda o lo roben, pero además te permitirá borrar todos los datos de tu dispositivo de manera remota.                                                                                                                                 
7. Backup a través de iTunes y encriptación: Los backups de iCloud no están mal, pero tampoco cuesta mucho conectar nuestro iPhone a iTunes de vez en cuando para hacer un backup y encriptarlo.                                                                                                                                              
8. Desactiva la función de conectarse a redes conocidas: Aunque esta función muchas veces sea cómoda para conectarnos a redes que usamos habitualmente puede ser un arma de doble filo en el caso de que nos conectemos a una red insegura.                                                                                      
9. Revoca el acceso a tus datos a todas aquellas aplicaciones en las que no confíes: muchas veces al descargar una aplicación esta solicita acceso a la ubicación, galería, contactos, etc. Asegúrate de no estar proporcionando a la aplicación más permisos de los que necesita.                                     



Figura 3:Función autoconectar a red conocida.





10. Desactiva la función de autocompletar en los navegadores: Safari es capaz de almacenar información de tus búsquedas, además de memorizar tus datos personales a la hora de rellenar un formulario, incluso tus tarjetas de crédito, algo que puede ser peligros si el teléfono cae en malas manos.                                                                                                                                               
11. Proteger tu aplicación de notas con contraseña: La aplicación de notas te permite poner contraseña a aquellas notas que consideres que tienen información sensible, sin duda una opción muy útil para todas aquellas personas que se apuntan ahí contraseñas y datos relativos a sus cuentas.                                                                                                                                            
12. No instalar aplicaciones no autorizadas por la App Store: No es raro comprometer la seguridad de nuestro dispositivo si descargamos aplicaciones de terceros. Estas aplicaciones no están revisadas por desarrolladores y podrían ser muy dañinas para nuestro dispositivo.

1Password incluye una opción para verificar si tu cuenta ha sido robada

La app de 1Password incluye una opción interesante para poder verificar si tu cuenta ha sido publicada en alguna de las bases de datos publicadas en Internet con información sensible. A modo de 'haveibeenpwned' o 'hesidohackeado', la app proporciona la información necesaria sobre si la cuenta ha sido 'filtrada' en alguna de las bases de datos conocidas. La app pone esta funcionalidad para los usuarios con el objetivo de detectar estas circunstancias.

Los datos se comprueban contra Pwned Passwords, el cual es un servicio que tiene una base de datos de más de 500 millones de contraseñas que se han visto comprometidas en filtraciones del pasado. Este servicio será con el que se puede verificar si la contraseña que se está utilizando se ha filtrado previamente. Si esto ocurre, simplemente hay que cambiar la contraseña y buscar alguna opción de 2FA como, por ejemplo, Latch Cloud TOTP.  

Con la integración de 1Password, los usuarios de esta aplicación podrán verificar de manera sencilla si su contraseña sigue siendo segura o no. La recomendación sería tener una política de cambio de contraseñas cada 'x' tiempo y la utilización del 2FA. Se espera que pronto, todo esto esté disponible en su versión de iOS.

Protege tu Apple ID usando 2FA

Desde el año 2015 Apple cuenta con Two-Factor Authentication (2FA), un doble factor de autenticación que garantiza que solo tú puedas acceder a tu cuenta de Apple aunque otras personas conozcan tu contraseña. Su funcionamiento es sencillo, cada vez que intentemos  iniciar sesión en nuestra cuenta recibiremos un código de seis dígitos en los dispositivos de Apple asociados a ella, este código deberá introducirse después de ingresar la contraseña. Si el código  introducido no es correcto saltará una alerta de intento de acceso en la que se indicará desde donde han intentado acceder a tu cuenta. A continuación os mostraremos como activarlo.

Como activar Two-Factor Authentication en iOS: Es importante saber que si tu dispositivo no está corriendo en iOS 9 o versiones superiores no podrás activar esta función, en caso de dispones de otros dispositivos con versiones anticuadas te saltara una alerta de compatibilidad durante a configuración. Sabiendo esto podemos comenzar con los pasos a seguir:

1. Abre la aplicación Ajustes y pulsa sobre tu Apple ID en la parte superior de la pantalla.                
2. Pulsa en “contraseña y seguridad”.                                                                                                         
3. Haz clic sobre “activar Two-Factor Authentication” y pulsa “continuar” en el mensaje emergente.                                                                                                                                        
4. A continuación pulsa “Activar de todos modos” en el caso de que te salte la alerta de compatibilidad con dispositivos antiguos.                                                                                                                            
5. Asegúrate de que tu número de teléfono es correcto, si no es así puedes cambiarlo pulsando sobre “utilizar otro número diferente”.                                                                                                  
6. Elige entre mensaje de texto o llamada telefónica para verificar tu número y haz clic en “siguiente”.                                                                                                                                             
7.  Introduce tu contraseña. 

Figura 1: Localización de intento de acceso.

Como activar Two-Factor Authentication en Mac: para poder activar esta función debes asegúrate de que tu equipo está corriendo la versión OS X El Capitán o superior.

1. Haz clic sobre el logo de Apple en la barra del menú que se encuentra en la parte superior izquierda de la pantalla, a continuación pulsa en “preferencias del sistema”.                                        
2.  Selecciona la opción "iCloud".                                                                                                                      
3. Pulsa en “Detalles de la cuenta” y entra al apartado de seguridad.                                                         
4.  Haz clic en “Activar Two-Factor Authentication" y pulsa continuar en el mensaje emergente.                       
5. Asegurate de que tu número de teléfono es correcto antes de continuar.

Figura 2: Solicitud de codigo de 6 dígitos.

Una vez hayas configurado 2FA cada vez que intentes acceder a tu Apple ID desde iCloud.com o desde otro dispositivo recibirás estos códigos de manera automática, pero también puedes solicitarlos de forma manual desde la aplicación de ajustes en el apartado “Contraseña y seguridad”, si configuraste correctamente 2FA podrás encontrar el apartado “Obtener código de verificación”, pulsa sobre el y obtendrás tu código.

Apple actualiza del 2SV a 2FA automáticamente en iOS 11

En Seguridad Apple hemos hablado recientemente sobre el rumor de que Apple hará obligatorio el uso de 2FA con la llegada de iOS 11, pero ¿Realmente ha obligado Apple el uso de two-factor authenticacion (2FA) a los usuarios de la beta macOS High Sierra e iOS 11? La respuesta es no. Apple no ha hecho obligatorio el uso de 2FA a todo el mundo, pero ahora sabréis por qué los usuarios de la versión antigua de two-step verification (2SV) pueden haber malentendido un e-mail enviado por la compañía

“Si instalas las betas públicas de iOS 11 o macOS High Sierra este verano y cumples los requerimientos básicos, tu Apple ID se actualizará automáticamente para usar two-factor authentication”

Esto significa simplemente que la gente usando 2SV será actualizada al uso de 2FA y todos aquellos que nunca hayan usado 2SV se quedarán como estaban. Sin ninguna duda, algunos usuarios no tendrán claros los beneficios de actualizarse a 2FA. Two-step verification ha estado disponible para las cuentas de Apple e iCloud desde 2013, mientras que two-factor authentication apareció en 2015 para todos los usuarios corriendo OS X El Capitán o iOS 9 o posterior. El establecimiento de 2SV es básicamente la misma seguridad de autenticación ofrecida por servicios web como Google , Twitter, PayPal y Facebook, los cuales involucran a los usuarios haciendo que registren su teléfono móvil o uno o más dispositivos para que reciban los one-time code que deben ser introducidos con la contraseña del servicio al que intentan acceder. Este diseño es vulnerable frente a ataques man-in –the-middle y fraudes con SIM-swap, razón por la que Apple quiere que sus usuarios usen two-factor authentication. Además de enviar a los usuarios SMS con los códigos al estilo de 2SV esta opción genera sus propios códigos offline usando una aplicación integrada. Esto suena un poco a la app de Google authenticator, solo que se integra más estrechamente con el Sistema Operativo.

figura1: segundo factor de autenticación para acceder a cuenta de Apple.

Una interpretación de esto es que Apple está, en efecto, convirtiendo cada uno de sus dispositivos en un token de Hardware capaz de generar códigos offline. Esto es probablemente una exageración ya que un auténtico token de two-factor-authentication siempre es un objeto dedicado específicamente a ello. Todos los tokens generan códigos para probar que están en la posesión del usuario que va a iniciar sesión, mientras que Apple ha emulado este diseño usando software. Google probablemente integrará Authenticator en Android en algún momento, pero sus ambiciones son construir un sistema de autenticación para toda la red, en cambio Apple se centra en sus propios usuarios, lo cual hace que su trabajo resulte un poco más sencillo.

Lo que Apple busca con esto es que sus usuarios comiencen a preocuparse más por la seguridad de sus cuentas y puedan defenderse de un gran rango de ataques, incluyendo los recientes ataques con ransomware a iCloud. Por el momento esta capa extra de seguridad no será obligatoria, pero no se puede descartar que en un futuro lo sea.

2FA obligatorio en iOS y macOS: Un rumor que no se llevará a cabo

El tema de la autenticación de dos factores es un tema crítico en la sociedad actual. Sabemos que para proteger nuestras identidades debemos utilizar el doble factor de autenticación, ya que nos prevee de un grado de seguridad mayor. Se ha rumoreado sobre el asunto de que Apple hará obligatorio el uso del segundo factor, pero esto parece que ha quedado en eso, un rumor. Con la salida del nuevo sistema operativo macOS High Sierra e iOS 11 se ha rumoreado con la obligatoriedad del segundo factor. A día de hoy, Apple no tiene en mente este 'mandatory'. 

Tanto usuarios como profesionales saben que el 2FA es una vía y solución importante para proteger la identidad digital en Internet. Seguramente, en un tiempo, lo veremos implantado de forma obligatoria, pero Apple no arriesgará a día de hoy. Apple sigue indicando que el uso del 2FA es totalmente recomendado, sencillo y la característica de seguridad más avanzada para iOS, macOS e iCloud. Los rumores se hacían eco de que las betas públicas de iOS 11 y High Sierra obligarían al usuario a utilizar un 2FA, aunque un portavoz de Apple ha asegurado que esto no sucederá. 

Figura 1: 2FA en Apple

Es un tema que seguro trae nuevas noticias y movimientos de la empresa de Cupertino. Solo los usuarios que ya tienen en uso el 2FA serán actualizados a una nueva versión del servicio con la actualización a los nuevos sistemas operativos. Apple ofrece el 2FA como una opción y una gran recomendación. En resumen, no lo exigirán, pero nosotros desde aquí también lo recomendamos de forma encarecida. Además, existen otras soluciones como Latch o Latch Cloud TOTP que ayudan a proteger las identidades digitales y otro tipo de acciones en Internet. Estaremos atentos en Seguridad Apple a posibles movimientos y noticias que surjan sobre la obligatoriedad del 2FA.

Apple te dice cómo identificar y reportar sobre phishing y otros engaños

Apple tiene disponible para todos los usuarios un sitio web dónde puedes encontrar información sobre cómo identificar y reportar tanto phishing como mensajes sospechosos que te lleguen. El enfoque del sitio pretende proteger a los usuarios de Apple de posibles intentos de robos del Apple ID. Además, Apple indica que si crees que tu Apple ID ha sido comprometido visites el sitio web del Apple ID para poder restablecer y cambiar la contraseña de tu cuenta. El uso del 2FA es casi obligatorio y Apple ha lanzado una campaña llamativa para todos sus usuarios desde iOS 10.3 con el objetivo de incrementar de forma notoria el uso del segundo factor.

Sin duda, una gran iniciativa de Apple aportar este tipo de soluciones para sus usuarios. Es recomendable que te pases por el sitio y veas qué cosas debes tener en cuenta y, sobretodo, cómo evitar las estafas y los robos de identidad. A continuación os comentamos una serie de medidas que debemos tener en cuenta para evitar las estafas:

• Utilización del 2FA para el Apple ID.
• Utilización de contraseñas seguras.
• Verifica la correcta conexión de tu navegador con icloud.
• No hacer clic en ningún botón o enlace sin asegurarte de la dirección URL.
• Si no estás seguro del origen de una ventana emergente, no interactúes.
• Confirma siempre la identidad de la persona que te llame antes de dar ningún dato, puede que se hagan pasar por personal de Apple.
• No abrir, ni guardar, archivos adjuntos en correos supuestamente de Apple.

Figura 1: Cómo identificar un intento de suplantación

Apple también tiene un sitio dónde encontrar la ayuda del soporte técnico, ya que en algunos casos, éstos pueden ser más complejos o surgir dudas en el usuario. En estas fiestas y durante el resto del año pon atención en la interacción que hace Apple o los estafadores que utilizan la marca para intentar robar tu identidad.

El Touch ID no es tan seguro como parece según unos investigadores de Nueva York

Los sensores de huellas digitales se han convertido en un elemento de seguridad muy presente en los Smartphone modernos. Con un toque de un dedo el dispositivo puede quedar desbloqueado y no se requiere más contraseña que nuestro dedo. Incluso, podemos pagar con nuestro Apple Pay y nuestro dedo. Siempre se ha estado luchando por demostrar la seguridad o no seguridad de este tipo de elementos. Investigadores de la Universidad de Nueva York y de la Universidad Estatal de Michigan sugieren que este tipo de elementos pueden ser fácilmente engañados a través de huellas falsas compuestas de características comunes. En el IEEE se puede encontrar su publicación.

En las simulaciones llevadas a cabo, los investigadores fueron capaces de desarrollar un conjunto de "MasterPrints" artificiales que podrían coincidir con impresiones reales similares a las utilizadas por los dispositivos hasta en un 65% del tiempo. Los investigadores no probaron estos datos con dispositivos reales, por lo que otros expertos han indicado que en condicones reales la tasa de acierto sería menor. Sin embargo, las conclusiones plantean un escenario lleno de preguntas sobre la eficacia de la seguridad de huellas digitales en este tipo de dispositivos. 

Figura 1: Huellas dactilares del estudio

Las huellas dactialres humanas son díficiles de falsificar completamente, pero los escáneres de dedos de los teléfonos son tan pequeños que sólo leen huellas parciales. Cuando un usuario configura este tipo de seguridad en un iPhone se toman entre 8 y 10 muestras o imágenes de un dedo para facilitar la correspondencia. Dado que un golpe de dedo debe coincidir con sólo una imagen almacenada para desbloquear el teléfono, el sistema es vulnerable a coincidencias falsas. Los investigadores afirman que es como si un usuario tuviera 30 contraseñas y el atacante solo necesitara acertar una para acceder a los contenidos. El Dr. Memon comentó que los hallazgos indicaban que si pudiera de alguna manera crear un guante con una MasterPrint en cada dedo, podría obtener entre el 40 y 50 por ciento de los iPhone dentro de los 5 intentos permitidos.

El estudio no es práctico, pero vuelve a abrir el debate sobre la seguridad de las huellas dactilares en este tipo de dispositivos. Lo que tenemos claro es que ayuda como un 2FA, pero quizá no como un solo factor de seguridad. Estaremos atentos desde Seguridad Apple a este interesante tema que se vuelve a abrir.

600 millones de cuentas de Apple ID potencialmente comprometidas

Si eres un usuario de Apple sería interesante que revisaras tu Apple ID e iCloud, ya que puede haber sido comprometido. El miércoles, un grupo revindicaba una acción dónde indicaban que tenían en su poder cerca de 600 millones de contraseñas de iCloud, las cuales usarían para restablecer las cuentas de los usuarios el próximo día 7 de Abril. Si no quieres ser hackeado sería recomendado utilizar una serie de fortificaciones. Apple ha comentado que si este grupo realmente tenía las contraseñas, éstas no venían de una violación de los sistemas de Apple.

Apple indicó: "No ha habido violaciones en ninguno de los sistemas de Apple, incluyendo iCloud o el Apple ID. La supuesta lista de direcciones de correo electrónico y contraseñas parece haber sido obtenido de servicios de terceros anteriormente comprometidos". Además, Apple indica que están vigilando de forma activa con el objetivo de impedir el acceso no autorizado a las cuentas de usuario y están trabajando con las fuerzas y cuerpos de seguridad del estado para identificar a los criminales involucrados. Con el objetivo de protegernos contra este tipo de ataques se tienen una serie de recomendaciones, como son:

• Contraseñas robustas.
• Segundo factor de autenticación activado en las cuentas.
• No reutilizar contraseñas.

Figura 1: Two-Factor Authentication

Este tema seguro que trae más movimiento sobre lo que está sucediendo y puede ocurrir el día 7 de Abril. Para ello se recomienda al usuario de Apple que sea precabido y que compruebe el estado de su cuenta y si tiene el segundo factor de autenticación activo. Desde Seguridad Apple estaremos pendientes de la noticia y veremos cómo evoluciona.

Apple solicitará a los usuarios de iOS 10.3 que habiliten 2FA

Apple pedirá a los usuarios de iOS 10.3 que habiliten el segundo factor de autenticación a través de una notificación push. En la beta de las versiones de iOS 10.3 ya se puede ver como Apple pide a los usuarios que habiliten el segundo factor. El aviso ha comenzado a aparecer en las últimas 24 horas. Cuando el usuario desliza la notificación para visualizarla, aparecerá en una pantalla la explicación de qué es el segundo factor de autenticación y cómo habilitarlo, con el objetivo de obtener la máxima seguridd. Además, hay una opción para aprender más sobre el tema.

Apple parece dispuesto a zanjar el asunto y le ha dado prioridad máxima al segundo factor de autenticación en los usuarios de iOS. Además, desde la aplicación Ajustes se puede ver una advertencia en la parte superior que solicitará al usuario que habilite el segundo factor de autenticación, si éste ha ignorado la notificación previa. El mensaje de Apple es el siguiente: "La autenticación de dos factores es la mejor manera de mantener segura su cuenta. Puede proteger su cuenta incluso si alguien roba su contraseña". 

Figura 1: Habilitar autenticación de dos factores

La notificación que Apple envía a los usuarios no desaparece automáticamente. Deberá borrarla manualmente el propio usuario o habilitar en ese paso la autenticación de dos factores. El proceso de habilitar la autenticación de dos factores es sencilla. Desde la interfaz de Ajustes se debe tocar sobre la opción "Activar" y confirmar el número de teléfono. A partir de ese instante, ya está todo configurado y recibirá un correo electrónico de confirmación de Apple, informando que la autenticación de dos factores se ha habilitado en la cuenta. El objetivo de Apple parece claro, proteger al usuario de las amenazas como, por ejemplo, el phishing que en días como hoy sigue haciendo mella en el mundo digital.

Proteger tu cuenta de Amazon con Latch Cloud TOTP

Recientemente ha sido implementada una nueva funcionalidad en Latch para que los usuarios puedan proteger sus cuentas más utilizadas. Anteriormente se han realizado una serie de demostración sobre cómo proteger cuentas de Gmail, la cuenta de Facebook con Latch Cloud TOTP, la cuenta de Dropbox o la Microsoft Live con Latch y Cloud TOTP. Hoy llevaremos a cabo otra demostración, en este caso con una cuenta de Amazon. Para ello tendréis que tener la última aplicación de Latch para Android o Latch para iPhone (incluido Latch para Apple Watch).

En primer lugar, iniciamos sesión con nuestra cuenta de Amazon y accedemos al enlace Ajustes de Seguridad Avanzados. En la parte de Seguridad podemos dar con la opción 'Verificación en dos pasos'. A través de dicha opción se podrá comenzar la configuración de cualquier de las múltiples opciones que Amazon ofrece. En este caso nos centraremos en la de TOTP. Antes de comenzar con la configuración nos solicitarán de nuevo que hagamos uso de la contraseña de nuestra cuenta de Amazon para verificar que somos nosotros. Una vez introducida accederemos a los ajustes avanzados de seguridad, donde veremos la opción de comenzar.

Figura 1: Ajuste de seguridad avanzada

Tras pulsar sobre comenzar nos dará las dos opciones disponibles en Amazon para la obtención de los códigos de seguridad, en nuestro caso seleccionaremos Authenticator App, a continuación podremos observar un código QR, el cual escanearemos con nuestro Latch para añadir el servicio. Arrancamos nuestra app de Latch con la última versión, donde disponemos de la funcionalidad Cloud TOTP. Nos vamos a añadir un nuevo servicio con Latch y veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad clásica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta última.

Figura 2: Proteger con Cloud TOTP

Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrará la cámara del dispositivo para que escaneemos el código QR que Amazon nos presentó anteriormente. En el momento que escaneemos o introduzcamos los datos del seed manualmente, Latch nos indicará que hay un nuevo servicio, tal y como se puede ver en la imagen inferior. Una vez que nos muestran este mensaje, tenemos disponible y protegida nuestra cuenta de Amazon con Latch.

Figura 3: Amazon preparado

En el caso de no tener asociado tu número de teléfono a tu cuenta Amazon tendrás que dar un paso intermedio más, este consiste en añadir un numero de contacto con el que verificar que la cuenta esta bajo tu control, podrás hacerlo mediante un código de confirmación que obtendrás vía SMS o llamada telefónica. Una vez introduzcas el código ya estarás listo para utilizar Latch. Ahora, nos dirigimos al login de Amazon e introducimos nuestro usuario y contraseña. Una vez validado esto se nos solicitará información sobre el TOTP, tal y como se puede ver en la imagen. El segundo factor de autenticación está correctamente configurado en la cuenta de Amazon y podremos utilizar nuestro Latch.

Figura 4: Indicar TOTP

En nuestra aplicación de Latch debemos disponer de una nueva app que tenga el mismo nombre del servicio y generando tokens para la cuenta de Amazon que hayamos integrado. Hay un botón, en dicha fila, con la palabra 'Pin', la cual debemos pulsar para que nos genere un TOTP, que será válido durante un breve período de tiempo, tal y como nos indica el pequeño reloj que aparece junto al token.

Figura 5: Configuración de Latch Cloud TOTP en tu cuenta Amazon

No dudéis en configurar los segundos factores de autenticación en todas las cuentas de los servicios que utilicéis, siempre que lo soporten. Hoy en día es un factor vital para fortalecer el uso de las identidades digitales de forma segura, sobre todo si estas están asociadas a nuestras tarjetas de crédito o cuentas bancarias. Las posibilidades que ofrece Latch Cloud TOTP son muy grandes, protege tus servicios y tus cuentas.

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch Cloud TOTP vs Google Authenticator. Además, ya hemos podido ver cómo proteger la cuenta de Facebook de Latch y su nuevo Cloud TOTP. En el artículo de hoy vamos a mostrar como integrar Latch Cloud TOTP con nuestra cuenta de Gmail. Los tokens TOTP, Time One-Time Password, es uno de los segundos factores de autenticación más populares. Existen diversos servicios como Google, Microsoft, Amazon, Dropbox o Facebook, entre otros, que tienen la posibilidad de configurar dicha protección. 

En ElevenPaths hemos implementado la funcionalidad para que puedas proteger tus cuentas más utilizadas con Latch. Como se comentaba anteriormente, hoy vamos a centrarnos en Gmail y en ver cómo podemos integrar y proteger nuestra cuenta con Latch y Cloud TOTP.  Para ello tienes que tener la última aplicación de Latch para Android o Latch para iPhone (incluido Latch para Apple Watch). En el siguiente vídeo se ve cómo funciona.

Figura 1: Latch Cloud TOTP y cómo proteger la cuenta de Dropbox 

Preparando Gmail 

En primer lugar, iniciamos sesión con nuestra cuenta de Gmail y accedemos al enlace Mi Cuenta. En la parte de Seguridad podemos visualizar la opción 'Verificación en dos pasos'. A través de dicha opción se podrá comenzar la configuración de cualquier de las múltiples opciones que Google ofrece. En este caso nos centraremos en la de TOTP.

Figura 2: Activando la verificación en dos pasos de Gmail

En este punto podremos ver una pantalla dónde se nos solicitará de nuevo que hagamos uso de la contraseña de nuestra cuenta de Gmail. Una vez introducida, entraremos en un área dónde se solicitará información del teléfono, ya que nos enviarán un código al teléfono para comprobar que lo tenemos bajo nuestro control. En este punto debemos indicar nuestro número de teléfono y completar la acción introduciendo el código que nos envíen al terminal.

Figura 3: Envío de código de verificación para activar la verificación en dos pasos

Una vez que introducimos el código y todo ha ido bien se nos mostrará el mensaje de confirmación para activar la verificación en dos pasos. Simplemente, debemos pulsar en 'Activar'. Existen diferentes opciones, una vez activada la verificación en dos pasos, y elegiremos la aplicación 'Authenticator', tal y como se puede ver en la imagen. Solo está disponible para sistemas operativos Android e iOS.

Figura 4: Authenticator

Por último, una vez que activemos 'Authenticator' se nos proporcionará un código QR, el cual es la semilla que debemos leer con nuestra aplicación de Latch. En este momento debemos irnos a Latch y realizar las acciones que detallaremos más adelante.

Figura 5: Seed de Authenticator para leer con Latch

Configurando Latch Cloud TOTP

Arrancamos nuestra app de Latch con la última versión, donde disponemos de la funcionalidad Cloud TOTP. Nos vamos a añadir un nuevo servicio con Latch y veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad clásica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta última.

Figura 6: Proteger con Cloud TOTP

Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrará la cámara del dispositivo para que escanamos el código QR que Gmail nos presentó anteriormente. En el momento que escaneemos o introduzcamos los datos del seed manualmente, Latch nos indicará que hay un nuevo servicio, tal y como se puede ver en la imagen inferior. Una vez que nos muestran este mensaje, tenemos disponible y protegida nuestra cuenta de Gmail con Latch.

Figura 7: Servicio configurado. Tenemos Gmail en nuestro Latch

Iniciando sesión con Latch Cloud TOTP en Gmail

Ahora, nos dirigimos al login de Gmail e introducimos nuestro usuario y contraseña. Una vez validado esto se nos solicitará información sobre el TOTP, tal y como se puede ver en la imagen. El segundo factor de autenticación está correctamente configurado en la cuenta de Gmail y podremos utilizar nuestro Latch.

Figura 8: Petición de TOTP en Gmail

En nuestra aplicación de Latch debemos disponer de una nueva app que tenga el mismo nombre del servicio y generando tokens para la cuenta de Gmail que hayamos integrado. Hay un botón, en dicha fila, con la palabra 'Pin', la cual debemos pulsar para que nos genere un TOTP, que será válido durante un breve período de tiempo, tal y como nos indica el pequeño reloj que aparece junto al token.

Figura 9: TOTP de Latch

No dudéis en configurar los segundos factores de autenticación en todas las cuentas de los servicios que utilicéis, siempre que lo soporten. Hoy en día es un factor vital para fortalecer el uso de las identidades digitales de forma segura. Las posibilidades que ofrece Latch Cloud TOTP son muy grandes, protege tus servicios y tus cuentas.

Hackean la cuenta iCloud de la hermana de la duquesa de Cambridge y ponen a la venta las fotos comprometedoras

Un hombre de Northamptonshire, en el Reino Unido, está siendo interrogado e investigado por la polícia británica después de que haya habido un intento de vender unas fotografías privadas de Pippa Middleton, la hermana de la duquesa de Cambridge. La noticia nos recuerda al famoso caso del Celebgate y la gran repercusión mediático que tuvo. Todo ocurrió el pasado fin de semana, en el que el tabloide inglés The Sun informó que alguien que se hacía llamar Crafty Cockney se puso en contacto con ellos con una oferta en el que entregaría los contenidos de la cuenta de iCloud de Pippa Middleton.

En la oferta, además, se hizo hincapié en que se incluirían todos los detalles sobre su próxima boda, fotos de ajuste del vestido y fotos en las que aparecían desnudos, ella y su prometido. Todo hace indicar que el acceso al iCloud de Pippa había sido un éxito para el atacante y, además, todo hace indicar que han seguido el mismo esquema que en el caso Celebgate. El atacante pedía un mínimo de 50.000 libras esterlinas por esta información obtenida del hackeo de la cuenta de la señorita Middleton.

Figura 1: Ejemplo de los miles phishing de iCloud

La oferta no fue aceptaba y en su lugar se informó a la Corona Británica y a la Polícia. Un hombre de 35 años de edad fue detenido poco después, y se piensa que es la persona que hackeo la cuenta personal de Pippa Middleton de iCloud. Aunquee, un día después fue puesto en libertar bajo fianza, para volver a finales de Noviembre a un posible nuevo  interrogatorio o juicio. 

Figura 2: Ejemplo de ataque de phishing a cuenta de Apple iCloud

De nuevo estamos ante un caso ante el que la falta de seguridad en nuestra autenticación provoca que una persona ajena pueda acceder a nuestra privacidad. Se recomienda utilizar un 2FA en la cuenta de iCloud, y en general en cualquier cuenta que tengamos y que permita este mecanismo de seguridad. En el caso de tener un 2FA, el atacante podría haber conseguido la contraseña de la cuenta mediante, por ejemplo, un ataque de phishing, pero no podría haber logrado, al menos no fácilmente, entrar en la cuenta, ya que no tendría el 2FA.

Cómo recuperar el control de tu cuenta Apple ID

Si recientemente has notado que se han realizado cambios en tu cuenta de Apple ID y crees no ser el responsable de ellos Apple te da una serie de pautas para comprobar si la cuenta está comprometida y en el caso de estarlo información de cómo poder recuperarla. Que ya te avanzamos que a veces no es un proceso sencillo.

Figura 1: Si piensas que tu Apple ID ha sido comprometido

Antes de tener que pasar el trago de comprobar si nuestra cuenta ha sido robada Apple nos recuerda algunos de los casos que hacen que nuestra cuenta no sea tan segura como debería, aquí tienes algunos de ellos:

- Compartes un Apple ID con un familiar o amigo. Esta opción es muy común, ya que en muchos casos se hace para compartir el contenido normal y de pago descargado, lo que abre también posiblidades a un ataque no esperado.

- Utilizas un Apple ID que venía en el móvil cuando lo compraste sin preocuparte de quién te lo configuró. 

- No tienes control sobre la cuenta de e-mail asociado a tu cuenta de Apple. 

- Tu contraseña es demasiado débil  o predecible por alguien que te conozca.

Como recomendación extra, el no tener configurado un sistema de Verificación en 2 Pasos en tu cuenta Apple ID debilita de forma significativa la seguridad de la misma, así que añade esta protección cuanto antes.

Figura 2: Verificación en dos passos en Apple ID

Si tu caso no es ninguno de los anteriormente mencionados a continuación podrás confirmar si tu cuenta de Apple ID ha sido comprometida por un atacante sin tu consentimiento.

¿Cómo saber si la cuenta de Apple ID ha sido comprometida?

Por lo general podríamos decir que nuestra cuenta está comprometida cuando recibimos alguna notificación de cambios realizados en nuestra cuenta y estos cambios no los hemos realizado nosotros. A continuación algunos de los ejemplos más comunes:

- Nuevo dispositivo añadido: Recibir un e-mail notificándote que se ha vinculado un nuevo dispositivo (desconocido) a tu Apple ID. 

- Cambio de contraseña: Recibir un e-mail confirmando un cambio de contraseña o una actualización de tus datos personales que tú no has realizado. 

- No se puede acceder: Al introducir la contraseña no te deja acceder a tu cuenta. 

- Gastos extras: Recibes cargos en tus cuentas bancarias de compras que no has realizado (solo si tienes una cuenta o tarjeta vinculada a tu Apple ID)

En algunos casos puede ser incluso peor como le sucedió al periodista Matt Honan de Wired al que le borraron todos sus dispositivos por culpa de un reseteo de contraseña hecho directamente desde el Call-Center de Apple.

¿Cómo recuperar el control de la cuenta de Apple ID?

Si estás seguro de que tu cuenta ha sido comprometida sigue los siguientes pasos para recuperar el control total de ella:

Figura 3: Cómo recuperar control de tu Apple ID

1.- Accede a tu cuenta, en caso de no poder acceder entra en iforgot.apple.com para resetear tu cuenta, si esto no funcionase contacta con el soporte técnico de Apple. Recuerda que si tienes activado Verificación en 2 Pasos necesitas la clave de recuperación.

Figura 4: Clave de Recuperación en Verificación en 2 Pasos

2.- Cambia tu contraseña por una más robusta .

3.- Revisa toda la información personal de tu cuenta (nombre, direcciones de correo, número de teléfono, preguntas de seguridad, etcétera) 

4.- Asegúrate de que controlas todas las cuentas de correo asociadas a tu Apple ID. 

5.- Configura la verificación en dos pasos o el doble factor de autenticación que nos ofrece Apple para reforzar la seguridad en nuestras cuentas, estas dos herramientas harán que no se pueda acceder a tu cuenta incluso conociendo la contraseña.

Si tras haber hecho todo esto sigues sospechando que tu cuenta está comprometida contacta con el soporte de Apple para buscar una solución alternativa.