A la DEA, la agencia federal estadounidense dedicada a la lucha contra el contrabando y el consumo de drogas, no le gusta nada iMessage, la aplicación de Apple con la que podemos enviar mensajes gratuitos entre dispositivos con iOS y Macs con OS X Mountain Lion. Según un documento interno de inteligencia publicado por CNET, la agencia especial se lamenta de que “es imposible interceptar los mensajes [de iMessage] enviados entre dos dispositivos de Apple”.

La compañía de la manzana se vanagloria en su web de que gracias al cifrado punto a punto que utiliza la aplicación, “los mensajes están protegidos, y tu privacidad también”. Algo que nunca está de más si tenemos en cuenta que cada día se envían más de 2000 millones de mensajes con iMessage.

La DEA se topó con la aplicación cuando sus agentes solicitaron una orden judicial para realizar la vigilancia electrónica en tiempo real de un sospechoso y descubrieron que los registros de mensajes de texto obtenidos de la compañía Verizon estaban incompletos. “Se hizo evidente de que no se estaban capturando todos los mensajes de texto”. El sujeto de la investigación utilizaba iMessage y sus mensajes no pasaban por la operadora, sino a través de Apple.

No en vano, entre las máximas prioridades del FBI para este año se encuentra la de impulsar alguna legislación que evite que las redes sociales, aplicaciones de mensajería y servicios de VoIP sean tan seguras que ellos no puedan asomarse dentro, así que veremos como evoluciona la cosa en los Estados Unidos con la esperanza de que no nos afecte en Europa aunque sea de rebote.

Nota de inteligencia de la DEA sobre iMessage

Si yo fuese la agencia de publicidad de la manzana ni me lo pensaría a la hora de incluir el último párrafo en el próximo anuncio que hiciera:

Aunque es imposible interceptar mensajes entre dos dispositivos de Apple, aquellos enviados entre un dispositivo de Apple y otro de otra compañía se transmiten como mensajes de texto SMS y en ocasiones pueden interceptare dependiendo de en qué punto se realice la intercepción. El resultado parece ser más satisfactorio si la intercepción es realizada en el dispositivo que no es de Apple.

Vía | CNET

Apple ha lanzado hoy lo que es un paso importante en la seguridad de las cuentas de usuario de la compañía: la verificación de dos pasos para iniciar sesión. Con ella pasaremos de introducir simplemente una contraseña para identificarnos a añadir un segundo paso donde necesitaremos nuestro teléfono móvil para que el sistema nos verifique como usuarios de una cuenta de Apple.

De este modo, si queremos reforzar la seguridad al iniciar sesión para cambiar nuestros datos, comprar una aplicación o cualquier tipo de contenido en las tiendas digitales Apple, necesitaremos tener al lado nuestro teléfono móvil. Una vez hayamos introducido la contraseña recibiremos un mensaje SMS en el móvil con un código, que tendremos que introducir en la web. También podremos recibir el mensaje de forma opcional en la aplicación Buscar mi iPhone si la tenemos instalada.

Esto es una buena medida para proteger a los usuarios que compañías como Google ya han adoptado, y Apple se marca un tanto teniendo en cuenta que es la compañía que presume de tener la mayor cantidad de cuentas de usuario con tarjetas de crédito activas. Seguro que desde Cupertino tienen la esperanza de que un caso como el de Mat Honan no se repita.

Por el momento en la web española no veo rastro de esta nueva activación en dos pasos, pero no debería de tardar en aparecer. De todas formas tened cuidado, porque un error que seguramente es debido a la actualización de la web hace que el texto no se muestre correctamente. Cuando todo se arregle deberíamos ver la opción de los dos pasos en la sección seguridad de la página de nuestra Apple ID.

Vía | 9to5Mac
Más información | Apple ID

A pesar de la seguridad que otorga la base Unix a OS X hay aspectos que dependen de nosotros. Y para remediarlos nada mejor que usar el sentido común y tener en cuenta una serie de aspectos configurables del sistema.

• Activa el Firewall del sistema. Desde el panel de preferencias, en la opción de seguridad podréis activar el cortafuegos que OS X incluye. Aún así, si queréis más control tanto de conexiones entrantes como salientes podéis hacer uso de aplicaciones como Little Snitch.

• Usa una cuenta de usuario estándar. Cuando inicias tu Mac por primera vez la cuenta de usuario que creas tiene privilegios de administrador. Realmente esto no es necesario en tu día a día. Puedes dejarla en segundo plano y hacer uso de una segunda cuenta estándar. Cuando necesites permisos de administrador el sistema te los pedirá, entonces introduces usuario y contraseña y listo. Mientras, estarás más seguro ante posibles ataques.

• Desactiva Java. Apple ya lo hizo, eliminó Java de todos los navegadores compatibles con OS X. Después de los problemas que parecen solucionarse pero no lo hacen es buena idea hacerlo a menos que lo necesites de forma constante. Para hacerlo, desde las preferencias del navegador busca en seguridad, herramientas o plugins (según sea Safari, Firefox o Chrome) para deshabilitar el módulo Java.

• Desactiva Abrir archivos seguros. Safari permite establecer una opción por la que abre los archivos que considera seguros. Estos son las películas, imágenes, sonidos, documentos de textos y PDF así como los archivos comprimidos.

• Activa la opción de instalar sólo aplicaciones desde la Mac App Store. Una novedad incluida en Mountain Lion. No estamos a diario instalando aplicaciones. Así que mejor estar tranquilos que ninguna aplicación se podrá autoinstalar si tenemos dicha opción. Sólo las de la App Store podrán hacerlo. Luego, si tenemos la necesidad de instalar otra conseguida de forma externa podremos cambiar esa opción de forma temporal.

Como veis, sencillas prácticas que seguro muchos ya hacéis. E incluso que conocíais pero nunca llevasteis a cabo. Aún así no está de mas volverlos a ver pues seguro que habrá nuevos usuarios en la plataforma y para ellos toda ayuda es poca.

Además de todo esto es evidente que mantener nuestras aplicaciones actualizadas a la última versión es algo que todos hacemos. Igualmente establecer un contraseña de acceso a nuestro ordenador segura, así como a servicios online aunque ya serían otras medidas de seguridad que no afectarían a nuestro equipo.

Y recordad que si acabáis de llegar al mundo Apple y tenéis un dispositivo iOS o un Mac podréis usar nuestra sección Respuestas donde toda la comunidad y el equipo de Applesfera os podremos ayudar a resolver dudas, obtener consejos sobre aplicaciones y mucho más.

En Applesfera | Cómo asegurar tu dispositivo iOS

Almacenar todas las cuentas de usuario que tenemos creadas con sus respectivas contraseña no es tarea fácil hoy en día. Por eso, contar con alguna aplicación que nos permite almacenarlas de forma sencilla y segura se hace cada vez más necesario. En mi caso, imprescindible.

Junto a algunas opciones online también encontramos aplicaciones nativas que gracias a la nube permite sincronizar datos entre diferentes dispositivos. En OS X seguramente 1Password sea la más conocida pero no por ello la única. No hace mucho se lanzó PassLocker.

Gestiona y almacena tus contraseñas

La aplicación PassLocker nos permite mantener todas nuestras cuentas de usuarios y contraseñas perfectamente almacenadas y gestionadas de forma segura. Con una encriptación AES256 el archivo sólo será accesible por nosotros, los único que conoceremos la clave.

Además, cuando accedamos a la aplicación podremos hacer uso de la función copiar y pegar sin que la clave sea visible en ningún momento. Por lo que no importa si hay gente delante ya que no nos verán teclearla.

En cuanto al resto de opciones, PassLocker ofrece un generador de contraseñas seguras, orden alfabético para una localización más rápida de la cuenta que nos interese, opción de exportar el fichero de forma segura a través de correo electrónico (se comprime en un archivo .zip protegido con clave) y soporte para sincronización a través de iCloud.

Pass Locker para OS X y iOS

PassLocker cuenta con versiones tanto para OS X como iOS. Esto y la sincronización a través de iCloud nos permite estar siempre sincronizados en todos los dispositivos donde instalemos la aplicación.

Y en cuanto al precio, aún siendo de pago, PassLocker tiene un precio muy atractivo, ahora mismo la versión para OS X cuesta 4,49€ mientras que la de iOS sólo 1,79€. Si lo comparamos con opciones como 1Password que se va a los 44,99 y 15,99 euros respectivamente.

Así que, si os preocupa la seguridad de vuestras cuentas, sois de los que usáis diferentes contraseñas además de seguras (práctica aconsejable) y necesitáis recordarlas en cualquier lugar ésta es una aplicación muy aconsejable. Si sólo es para vuestro Mac, con la opción del sistema Llaveros y el gestor de contraseñas de Safari puede ser más que suficiente.

Sitio Oficial | Innovationbox
Descargar | PassLocker iOS | PassLocker OS X

Nos vemos obligados a informar de una nueva vulnerabilidad, y grave, provocada por Java. No sólo constituye un agujero importante de seguridad por el que algún que otro hacker puede conseguir acceso a nuestro sistema, sino que además se está usando para bloquear el ordenador utilizando ransomware. El error afecta a la versión 7 update 10 y anteriores de Java y a todos los sistemas operativos, y por ende también a OS X.

El ransomware o “software de rescate” si se tradujera literalmente consiste en un código malicioso que nos bloquea de algún modo el sistema o el acceso a la red y no nos lo desbloquea hasta que paguemos un rescate. Poniendo un ejemplo, imaginaos que un día os aparece una página web de la FBI en el navegador y os dice que paguéis 200 euros de multa para poder seguir accediendo a internet. La página es falsa, por supuesto, y en realidad le estamos dando dinero a una tercera persona. En la imagen superior tenéis un ejemplo.

Oracle ya ha reconocido el problema (añadiendo que ha surgido a través de un error anterior mal solucionado) y está trabajando en solucionarlo. Por el momento el único remedio posible es desactivar Java en el sistema, un remedio que para algunos es imposible por cuestiones profesionales. Para ellos, lo mejor es usar un navegador que no sea el principal para ejecutar contenido con Java y asegurarnos de tenerlo desactivado en el que usamos a diario. ¡Gracias a todos los que nos habéis avisado!

Vía | The Next Web
Imagen | Wikipedia

Cuando hablamos de dispositivos móviles en el entorno empresarial, el dominio de Apple es indiscutible. Las activaciones de dispositivos con iOS en las empresas duplican holgadamente las de Android, con un 70,8% y un 28,3% respectivamente (Windows Phone 7 se queda con el 0,9% restante), y el interés de los desarrolladores también lo demuestra, comiéndole cada vez más terreno al sistema de Google.

Ahora una advertencia de seguridad sobre Android lanzada por el Internet Crime Complaint Center (IC3), una fuerza operacional formada por varias organizaciones gubernamentales estadounidenses como el FBI para aunar esfuerzos contras los delitos informáticos, le ha dado aún más motivos a los departamentos IT para favorecer a iOS a la hora de permitir que los trabajadores utilicen sus propios dispositivos a nivel corporativo.

La advertencia del IC3 sobre varios virus que están atacando Android como Loozfon y FinFisher capaces de robar información, espiar a los usuarios o incluso tomar el control de los dispositivos con el sistema operativo de Google de forma remota se une al lanzamiento por parte de HID Global de un nuevo sistema de seguridad biométrico para el iPhone compatible con los sistemas de identificación gubernamentales.

Seis razones por las que iOS es más seguro que Android

Según Jonny Evans de ComputerWorld, existen seis razones por las que la plataforma de Apple es la más segura del mercado para las empresas:

• iOS es más seguro que Android de forma inherente por su menor nivel de fragmentación y la disponibilidad de las actualizaciones de seguridad. Pese a la polémica de los mapas y el corto período desde su lanzamiento, ya hay más de 100 millones de usuarios actualizados a la última versión del sistema (un 25% del total frente al 1,8% de la Jelly Bean).
• La App Store es más segura por ser controlada de forma férrea por Apple.
• Diversas agencias como el FBI se han hecho eco de la frecuencia con la que se producen ataques de malware en dispositivos Android mal protegidos.
• La política empresarial BYOD (Bring your own device, trae tu propio dispositivo) está llevando a las compañías a querer estandarizar una serie de dispositivos seguros, pero necesitan tomar esas decisiones antes, no después.
• Ya existen soluciones disponibles para el iPhone que cumplen con los requisitos de seguridad de las agencias gubernamentales, incluyendo la monitorización segura de las comunicaciones enviadas utilizando el dispositivo.
• Con el protocolo de transferencia del conector Lightning, Apple está preparando el terreno para futuras mejores de seguridad en sus dispositivos.

Según Evans, “la actual posición de la plataforma como el sistema operativo móvil más seguro del mercado de consumo convierten a iOS en la mejor elección para su despliegue a nivel empresarial“, algo que en vista de ese 70% de activaciones del que hablaba al principio parece coincidir con la opinión dominante.

Y eso ahora, la compra de Authentec por 365 millones de dólares en julio y el rumoreado acuerdo de Apple con Microlatch este mismo mes nos da una clara pista de las intenciones de la compañía en términos de seguridad de cara al futuro.

Vía | TUAW
Más información | Smartphone Malware Safety Tips

Iba a ser una suspensión de 24 horas, pero parece que va a ser mucho más tiempo. tras el incidente con la pérdida de datos de Mat Honan y la respuesta oficial, Apple ha decidido eliminar la opción de restablecer las contraseñas de las cuentas de Apple por teléfono. Era precisamente el método que el hacker utilizó para conseguir los datos necesarios para borrar la información de todos los dispositivos de Honan.

Natalie Kerris, portavoz de Apple, ha comentado lo siguiente a Wired:

Hemos suspendido temporalmente la opción de restablecer las contraseñas por teléfono. Estamos pidiendo a los clientes que necesitan una nueva contraseña que la restablezcan usando nuestro sistema online iForgot (iforgot.apple.com).

Esto es una señal bastante clara de que en Apple quieren corregir lo que ha pasado con Mat Honan lo antes posible, aunque eso signifique cortar por lo sano y limitar temporalmente lo que podemos pedirle por teléfono a los técnicos de la compañía. Puede que esto sea permanente, pero lo más probable es que podamos volver a restablecer la contraseña dentro de unos días con alguna capa adicional de seguridad que le complique más las cosas a los hackers.

Mientras tanto, siempre podemos cambiar la contraseña de nuestra cuenta de Apple en la web iforgot.apple.com, donde se nos pide responder a las preguntas de seguridad que nosotros mismos nos pusimos al configurar la cuenta. Hay otra opción para poder restablecer la contraseña enviando un correo, punto vulnerable si el hacker conoce tanto nuestra cuenta de correo como su contraseña. Como siempre, lo mejor es andarse con ojo y sobretodo jamás usar la misma contraseña para varios servicios.

Vía | The Verge

El ataque de un hacker a las cuentas de usuario de Mat Honan (ex-editor de Gizmodo y editor en Wired) debido básicamente a un error por parte del servicio técnico de Apple ha desviado todas las miradas hacia la calidad de dicho servicio y a los protocolos de seguridad que emplean en las oficinas de la compañía de Cupertino. Era de esperar que, ante tantos comentarios desde internet, Apple haya decidido comentar el asunto oficialmente.

Apple se toma muy en serio la privacidad de los consumidores y requiere múltiples formas de verificación antes de restablecer la contraseña de un ID de Apple. En este caso particular, los datos del consumidor fueron comprometidos por una persona que había conseguido acceso a información personal de éste. Además, hemos descubierto que nuestra normativa no fue debidamente cumplida. Estamos revisando todos nuestros procesos para restablecer las contraseñas para asegurar que los datos de nuestros clientes están seguros.

Apple pide a los usuarios la dirección de facturación de su cuenta de usuario y los cuatro últimos números de la tarjeta de crédito. El hacker adquirió este último dato gracias a un agujero de seguridad de Amazon en su soporte telefónico, donde Mat Honan también tenía una cuenta de usuario, y la dirección de facturación se consigue fácilmente mirando los datos que pueden salir de un simple whois a las páginas web de Mat.

Básicamente, lo que el hacker ha demostrado aquí es que combinando los agujeros de seguridad de varias compañías puede provocar un auténtico apocalipsis de los datos de un usuario. Es decir: Apple y el resto de grandes empresas no harían mal en dificultar un poco más el acceso a esas cuentas, y sobretodo seguir a rajatabla los protocolos que aparentemente no se han seguido en el caso concreto de Mat Honan. Da un poco de miedo que una persona que consiga datos como las cuatro últimas cifras de nuestra tarjeta y nuestra dirección pueda conseguir hacer tanto daño.

Vía | MacRumors
Más información | Wired

Hemos comentado en más de una ocasión lo cómodo que es que Apple centralice nuestros datos alrededor de nuestra cuenta de Apple con iCloud, pero al mismo tiempo también hemos debatido el problema de seguridad que esto conlleva si alguien se apodera de la contraseña de dicha cuenta de usuario. Y eso es lo que precisamente le pasó a Mat Honan, editor del popular medio Wired.

Imaginaos el desastre: el hacker consiguió la contraseña de la cuenta de Apple de Mat, y entró a ver sus datos. Dichos datos revelaron la contraseña de una cuenta de Gmail de Mat, y entonces empezó la escabechina. El hacker cambió la contraseña de las dos cuentas de correo, y accedió a la aplicación ‘Buscar mi iPhone’ para eliminar remotamente todos los datos del iPhone, del iPad y del MacBook Air de Mat. Adiós a toda la información personal.

Por si no había suficiente, el hacker también consiguió acceso a la cuenta de Twitter de Mat que a su vez tenía acceso a la cuenta de Twitter oficial de Gizmodo (medio donde había trabajado anteriormente), por lo que…

El resultado ha sido que Mat Hanon ha perdido todos sus datos personales, de los que no había copia de seguridad. ¿Es su culpa? Por el simple hecho de no tener copias de seguridad, ya la tiene en parte. Pero además de eso Mat tenía una contraseña con cifras y letras, y las contraseñas que usaba en el resto de sus servicios siempre eran diferentes. Entonces, volviendo al principio… ¿Cómo consiguió el hacker la contraseña de la cuenta de Apple de Mat Hanon?

Fue Apple. Sí, sí, Apple. De las propias palabras de Mat contando toda la aventura:

Ahora sé cómo lo ha hecho. Confirmado tanto por el hacker como por Apple. No tiene que ver con la contraseña. Entraron usando el soporte técnico de Apple y usaron ingeniería social para sortear las preguntas de seguridad.

Es decir, el hacker convenció al soporte de Apple de que era Mat Honan, y consiguió que la compañía le cambiara la contraseña. El mismo Mat, en su blog personal, comenta que si Apple implementara un sistema de identificación de dos pasos se hubiera podido evitar la toma de control de las cuentas de Twitter y la de Gmail, aunque no habría evitado la pérdida de los datos de todos sus dispositivos.

De todos modos, una de dos: o el hacker es un maestro del engaño usando la palabra o alguien en el soporté técnico de Apple cometió un fallo de los gordos dando pleno acceso de los datos de un usuario a una persona completamente ajena. Afortunadamente, la misma Apple está intentando revertir todos los cambios y Mat ya ha conseguido acceso de nuevo a algunas de sus cuentas afectadas.

La moraleja para Mat Honan es que haga más copias de seguridad la próxima vez. La moraleja para Apple es que refuerce la seguridad de su soporte técnico, y aplique más barreras para evitar que alguien intente hacerse pasar por otra persona y lo consiga. Y la moraleja para nosotros, que es la más importante: hay que usar siempre contraseñas más bien largas, con cifras y letras, y nunca repetir la misma contraseña en varios servicios. Y siempre tener una vía por la que poder acceder a todo en caso de ataque.

Más información | EmptyAge
Imágenes | Adam Thomas y bizmac

¿Has perdido alguna vez un pendrive? Yo sí, y la verdad es que no hace mucha gracia, tanto por el pendrive en sí como por los datos almacenados. La buena noticia es que Mountain Lion incluye la posibilidad de encriptar un disco desde el propio sistema operativo, evitándonos la tarea de utilizar software de terceros y engorros a la hora de ver el contenido en un ordenador que no tenga instalado dicha aplicación.

La forma de hacerlo es bien sencilla. Enchufamos el disco y en el menú que aparece con CTRL-clic del ratón o botón derecho nos aparecerá la opción de encriptar. También nos pedirá que pongamos una pista para el caso de que nos olvidemos de nuestra contraseña, algo nada recomendable porque de ser así no podremos volver a recuperar nuestros datos. El disco se desmontará y montará de nuevo en nuestro ordenador cuando termine la encriptación.

Si por comodidad no queremos introducir la contraseña cada vez que conectemos la unidad a nuestro ordenador, podemos marcar la casilla Guardar esta contraseña en mi llavero. De esta forma no nos pedirá la contraseña. Pero ojo, conviene apuntar la contraseña en algún lado antes de que se nos olvide, tengamos un problema en nuestro ordenador y nos quedemos vendidos.

También desde la Utilidad de Discos encontraremos la opción de formatear y encriptar la unidad, perdiendo evidentemente todo lo que tengamos en ese disco o pendrive. Pero si lo hacemos desde el menú contextual del Finder no perderemos los datos que tengamos, es decir, encriptará la unidad pero salvaguardando su contenido.

Para poder utilizar la encriptación el disco debe tener un esquema de particiones GPT (tabla de particiones GUID) para poder encriptarlo. Así que no, no podremos encriptar la unidad si está formateada con MS-DOS (FAT) o con ExFAT.

Y si lo que queremos es encriptar nuestro disco de arranque podremos hacerlo como siempre desde Preferencias del Sistema – Seguridad y Privacidad – Filevault. Con ello tenderemos nuestros datos encriptados gracias a la funcionalidad Filevault 2. Al hacerlo se creará una clave de recuperación que tendremos que guardar como oro en paño para poder recuperar nuestros datos por si olvidásemos nuestra contraseña del sistema.

Como veis, las novedades de seguridad de Mountain Lion son más que bienvenidas a la hora de proteger nuestros datos tanto en unidades externas como internas. Si tenemos datos confidenciales y queremos garantizar su seguridad, Mountain Lion nos ayuda sin tener que recurrir a aplicaciones de terceros.

Más información | Novedades de Mountain Lion
En Applesfera | Filevault: Qué es y cómo funciona