Apple solucionó la falla de seguridad que permitía resetear sus claves

Durante el día de ayer una falla que permitía resetear las contraseñas de Apple mediante la fecha de nacimiento y las direcciones de e-mail de los usuarios. Afortunadamente el problema ya fue solucionado.
Sábado, 23 de Marzo de 2013
La falla sucedió mientras Cupertino comenzaba a aplicar a sus cuentas un sistema de doble autenticación. La falla sucedió mientras Cupertino comenzaba a aplicar a sus cuentas un sistema de doble autenticación.
Apple lanzó hace algunos días un sistema de notificación de dos pasos, que pretendía darle mayor seguridad a las identificaciones de la firma y a las cuentas de iCloud.
El problema es que al día siguiente la compañía sufrió una falla que afectaba a todos aquellos usuarios que no se habían pasado al sistema de doble verificación, permitiendo que cualquiera pueda resetear las claves de las cuentas de Apple simplemente conociendo la dirección de correo y la fecha de nacimiento de los usuarios.
De hecho hasta había una página en la que se presentaba un instructivo paso a paso para aprovechar la falla, que consiste en pegar una URL modificada mientras respondemos la pregunta de seguridad en la autenticación para la fecha de nacimiento en la página “iForgot“. La única medida de seguridad posible era cambiar la fecha de nacimiento en las cuentas, para que no se pudiera ingresar con ese dato.
Por suerte, Apple reaccionó rápidamente y, como primera instancia, inhabilitó la página de reseteo de contraseña. Luego, solucionó el problema y volvió a subir la página iForgot.
Esta falla demuestra la importancia de tener protocolos de seguridad exhaustivos. En virtud de que esta falla solo atacaba las cuentas que no se habían pasado al sistema más seguro, la recomendación a todos los usuarios era que activaran la doble autenticación. Ahora bien, el problema es que excepto por las cuentas de EEUU, Reino Unido, Australia, Irlanda y Nueva Zelanda, el cambio de sistema aún no estaba disponible para otros países. Y aún peor, en aquellos países antes listados en los que si se podía aplicar el cambio, el mismo tarda 3 días en activarse.