Desde que estuvo disponible, iOS 10 ha recibido ya dos actualizaciones de seguridad. Aunque esto tampoco es que sea algo anormal, lo cierto es que parece que habrá por lo menos una tercera actualización en el horizonte debido a la vulnerabilidad que se divulgó hace una semana.
Este fallo fue descubierto por la conocida empresa rusa de seguridad Elcomsoft, cuyos desarrollos se cree que fueron usados por los hackers responsables de lo que se conoció hace unos años como el Celebgate, la filtración en la red de fotos de varias famosas desnudas. El fallo se encuentra en el sistema de verificación de contraseñas de iOS 10 y debilita la protección de las copias de seguridad locales de tal manera que permite que los ataques de fuerza bruta para obtener las credenciales de usuario sean cuatro veces más efectivos.
Esta vulnerabilidad afecta exclusivamente a las copias de seguridad locales; es decir, a aquellas que guardamos en nuestro computador. Y solamente a aquellas realizadas usando iOS 10. No afecta a las que hacemos en iCloud, que suele ser el sitio donde la mayoría conserva dichas copias.
La clave del error está en el algoritmo de autenticación (hash) que han utilizado para las copias: es muy débil en comparación con el que se usaba antes. Se trata de una falla tan evidente, casi de principiante, que ha llevado al experto en seguridad Per Thorsheim, en el blog de Peerlyst, a preguntarse si no será algo intencional: «Apple nos ha llevado a través de muchas betas de iOS 10, por lo que es fácil decir que esto no ha sucedido por puro error».
Resulta sencillo seguir el hilo de pensamiento de Thorsheim. Recordemos el fuerte encontronazo que tuvo Apple con el FBI por el tema de la encriptación de sus dispositivos, por lo que si nos ponemos susceptibles (o conspiranoicos), se puede interpretar esta vulnerabilidad como una puerta trasera disfrazada y deliberada. No creo que haya que llegar a tanto, pero también es cierto que plantearlo de esta forma es una manera de presionar a los de Cupertino para que se pongan las pilas y solucionen este tema.
En cuanto a Apple, un portavoz declaró a SearchSecurity que «Somos conscientes del problema que afecta al nivel de cifrado para copias de seguridad de los dispositivos de iOS 10 al realizarlas desde iTunes en el Mac o PC. Estaremos abordando este tema en una próxima actualización de seguridad». Mientras tanto, recomiendan a los usuarios utilizar contraseñas fuertes en sus Mac o PC y recuerdan que el sistema de encriptación FileVault proporciona medidas de seguridad adicionales.
Por el momento, mientras se escribe este texto, desde Apple no ha llegado ninguna actualización adicional de iOS en la que se especifique que este problema se ha solucionado. Sin embargo, cuando se produzca, según parece no será solamente una actualización para el sistema móvil, sino también para iTunes, tal y como le dijo a Forbes Vladimir Katalov, CEO de Elcomsoft, que además indicó que debe ir acompañada por «varios cambios significativos en el formato del respaldo».
