A falta de que Apple concluya su investigación, todo parece apuntar a que casos como el del #CelebGate podrían haberse evitado si las víctimas hubiesen utilizado contraseñas fuertes y el sistema de verificación en dos pasos de su ID de Apple. La culpa no es de ellas, sino de los atacantes que han cometido el crimen contra su intimidad, pero nosotros sí seremos unos necios si no tratamos de aprender algo de todo esto.
Apple tiene que afrontar el reto de mejorar sus políticas de seguridad por encima del estándar y ayudar a que todos los usuarios, nuevos y antiguos, se suscriban a ellas; especialmente con el lanzamiento de iOS 8 a la vuelta de la esquina con servicios tan sensibles como Healthkit, HomeKit y la rumoreada nueva plataforma de pago. Nos guste o no, nuestro ID de Apple protege cada vez más información sensible así que mientras los chicos de Cupertino nos proponen algo mejor, atentos a esta guía sobre cómo aumentar al máximo tu seguridad.
Contraseñas fuertes
Apple aumentó hace tiempo los requisitos de las contraseñas de sus cuentas con criterios como que estas tengan al menos 8 caracteres, un mínimo de una letra mayúscula, una minúscula y un número, o que no tengan múltiples caracteres iguales consecutivos. El problema es que si tu cuenta tiene varios años y nunca has modificado su contraseña, probablemente no te viste forzado a tener en cuenta estos criterios.
Accede a la página oficial Mi ID de Apple con tu contraseña actual pulsando en el botón "Gestiona tu ID de Apple". Probablemente te aparecerá una pantalla invitándote a mejorar tu contraseña cambiándola por otra más segura si la actual es demasiado sencilla, pero incluso si no lo hace, ve a la sección "Contraseña y seguridad" y haz clic en el enlace "Cambiar contraseña". Ahora crea una nueva contraseña que cumpla los requisitos, pero recuerda, Apple tan solo te da unos criterios mínimos a cumplir, no te cortes a la hora de superarlos.
-
Utiliza más de 8 caracteres, 16 es una buena cifra.
-
Una minúscula, una mayúscula y un número está bien, más de cada salteados está mucho mejor.
-
Evita en la medida de lo posible utilizar palabras comunes del diccionario por mucho que intercambies alguna O por un 0 o una I por un 1. Hora de sacar partido a tus conocimientos profesionales y aficiones: esa enfermedad impronunciable que aprendiste en la facultad, el nombre de los peores magos del universo de Harry Potter (nada de Lord Voldemort, no, de Gellert Grindelwald para arriba), el idioma imaginario que te inventaste con tu hermano y cualquier frikada similar que esté fuera del léxico habitual. Ojo, incluso así, modifica algunas letras sustituyéndolas por la más próxima a izquierda o derecha en el teclado y se creativo con las mayúsculas, minúsculas, números y signos de puntuación.
-
Finalmente, bajo ningún concepto recicles la contraseña de ningún otro servicio. La contraseña de tu ID de Apple debe ser completamente única.
Preguntas de seguridad
Aunque en el siguiente paso veremos cómo activar la verificación en dos pasos y esta sustituye las preguntas de seguridad por una clave de recuperación, no está de más que revises las preguntas y respuestas que elegiste en su día y trates de plantearte si estas de verdad son realmente seguras. Si tu libro infantil favorito aparece en tu Facebook, no lo elijas como pregunta de seguridad; si la ciudad en la que se conocieron tus padres es la ciudad en la que todo el mundo sabe que vives, tampoco. Y así.
El criterio debería de ser escoger siempre preguntas y respuestas que tan solo tu y como máximo, unas pocas personas realmente cercanas a ti puedan llegar a conocer. No algo que vas pregonando a los cuatro vientos en cualquier red social. Además, las respuestas tampoco tienen que ser verdad o tener demasiado sentido, así que tu libro infantil preferido puede ser el Necronomicón y la ciudad donde se conocieron tus padres Narnia. Mientras lo recuerdes, todo es válido.
Activando la verificación en dos pasos
Hasta nuevo aviso, la verificación en dos pasos es el mejor mecanismo proporcionado por Apple para proteger nuestra cuenta. Una vez lo actives, nadie podrá hacer cambios en ella o realizar compras desde un dispositivo nuevo sin un código de verificación de cuatro dígitos que recibirás en tu número teléfono o dispositivo de confianza. Es decir, que incluso conociendo tu cuenta y contraseña, un atacante seguirá sin conocer una tercera clave que se genera cada vez de forma aleatoria y tan solo sirve durante un reducido período de tiempo.
Para activarla ve a la sección "Contraseña y seguridad" de Mi ID de Apple, haz clic en el enlace "Comenzar..." bajo el apartado "Verificación en dos pasos" y sigue las instrucciones atentamente. No tiene complicación alguna, tan solo tienes que tener en cuenta unas pocas consideraciones:
-
Si has modificado tu contraseña recientemente tendrás que esperar 3 días antes de poder activar la verificación en dos pasos.
-
Tendrás que añadir al menos un número de teléfono en el que puedas recibir mensajes SMS de forma adicional a los dispositivos de confianza que añadas. Ambos pueden ser un mismo iPhone, aunque deberías considerar la opción de utilizar el número de teléfono de algún familiar cercano.
-
La clave de recuperación de 14 caracteres reemplazará a las preguntas de seguridad por lo que es importante que la imprimas y la guardes en un lugar seguro (un duplicado en casa de tus padres tampoco hace daño). Siempre necesitarás dos de estos tres elementos para conectarte: la contraseña de tu ID de Apple, acceso a uno de tus dispositivos de confianza y tu clave de recuperación. Con uno solo no puedes hacer nada y ni tan siquiera Apple podrá ayudarte.
Algunos consejos finales
-
Nunca envíes tu contraseña ni ningún dato privado de una cuenta por correo electrónico.
-
Evita timos a través de correos electrónicos fraudulentos. No hagas clic en ningún enlace incluido en mensajes de correo electrónico sospechosos ni proporciones información personal en ningún sitio web si no estás seguro de que sea legítimo. Ni Apple, ni Google ni Yahoo van a pedirte jamás tus datos por correo electrónico. JAMÁS.
-
Si sospechas que alguien conoce el nombre de usuario y la contraseña de tu ID de Apple, cambia la contraseña inmediatamente.
-
Cuando utilices un ordenador público, desconéctate siempre una vez finalizada la sesión para evitar que otras personas puedan acceder a tu cuenta.
-
Si dejas de utilizar una dirección de correo electrónico asociada a tu ID de Apple, asegúrate de actualizar tu ID de Apple con la dirección de correo electrónico actual. Algunos servicios pueden reasignar direcciones de correo electrónico abandonadas a clientes nuevos.
-
Si tienes un iPhone 5s u otro dispositivo de Apple con sensor Touch ID, utilízalo. Hará mucho más cómodo tener una contraseña realmente complicada y evitarás que alguien pueda llegar a descubrirla mirando o grabando tus pulsaciones mientras la introduces en espacios públicos.
-
No compartas tu contraseña con nadie, ni siquiera con familiares.
-
Todas las páginas web en las que puedes ver o modificar tu ID de Apple, incluyendo la página de configuración Mi ID de Apple y la web de iCloud utilizan SSL para proteger tu privacidad. Busca el icono del candado en la barra del navegador para asegurarte de que tu sesión está totalmente encriptada y es segura.
En Applesfera | iOS desde cero
Ver 46 comentarios
46 comentarios
Aland
Yo tengo esta : ***********
Parece segura no ?
catsuy
No hay peor ciego que el que no quiere ver, ya todo el mundo sabe que la culpa del fallo, fue de Apple, por un control que no hizo, al permitir que intenten ataques de diccionario o fuerza bruta contra una cuenta.
Es como si nuestros ahorros estuvieran guardados en un Banco sin alarma, sin guardia de seguridad, y sin rejas...alcanza con que los malhechores lleven un buen soplete y se llevaran todo.
Si bien la solución (autenticación de 2 pasos) comentada por el redactor, es la única que garantiza ser un verdadero obstáculo para los intrusos, de nada sirve tener una contraseñas largas, porque por fuerza bruta, tarde o temprano lograran entrar.
Lo ideal seria tener autenticación de 2 pasos con biometría de por medio, osea ingresas la contraseña y luego utilizas el touch id para generar un pin, cuestión de que la semilla generada, solo pueda originarse en nuestro dedo. Similares a otros sistemas de OTP que utilizan entidades bancarias, hay empresas especializadas en esto, como Kudelski Security.
Saludos...
marc1231
Por desgracia, hay gente que tiene contraseñas cortas (débiles) para no estar tecleando tanto al comprar una app, por ejemplo, en la app store desde sus dispositivos, pero es la mejor manera de mantener nuestras cosas a salvo de esta gente que se dedica a reventar contraseñas.
Personalmente prefiero estarme un minuto tecleando una contraseña fuerte que 3 segundos para una contraseña débil.
Pero hay otra gente que tampoco tiene idea de que una contraseña larga (fuerte) es la mejor solución para mantener su privacidad, estas personas son por ejemplo las personas que no tienen conocimientos de Internet.
melibeotwin
Toco madera, pero creo que mi contraseña es segura. Siempre he tenido muy en cuenta la seguridad y gracias a 1Password tengo todas mis contraseñas diferentes para cada sitio y organizadas.
krollian
Yo uso términos médicos, mezclo idiomas y jerga íntima y familiar. Todo combinado con números y letras al azar.
Que no es fácil que aparezcan esas claves en un diccionario programado junto con una aplicación de fuerza bruta que compruebe 40 claves por segundo, vaya.
josepcu
yo lo que no entiendo de la contraseña de vericifacion en dos pasos, es si te roban el movil y quieres conectarte en otro o en iCloud para buscar tu iphone, el mensaje con el código te lo envían a tu movil robado ¿? ,
y cada vez que haces una compra en app store tienes que recibir un mensaje?? omg
de todas formas lo mas lógico de la app buscar mi iphone, es que para apagar el iphone necesitaran meter el código, por que a mi me lo robaron ya y lo primero que hacen es apagarlo, dejando inservible buscarlo desde el mac o iCloud.com, esperemos que en IOS 8, se acerquen estas opciones de seguridad lógica.
demigrancia
La culpa no es en absoluto de Apple no?
En fin, lo de siempre tufillo fanboy, Michán... no sabes comedirte ni reconocer que Apple tambien la caga... un sistema de intentos ahorra los ataques de diccionario y fuerza bruta
dascylos
No estoy de acuerdo Helkai, si bien es cierto que te roben en tu casa no es culpa tuya también es cierto que si sabes que tienes objetos de valor lo normal es que lo protejas. En estos casos saben que son personajes públicos y por tanto vulnerables a este tipo de acciones, como mínimo una contraseña segura. Después le podemos echar la culpa a los demás pero la responsabilidad parte de un mismo.
jcr137
investigando un poco(mucho) este tema lo mas destacable del ataque no es el diccionario de fuerza bruta si no la ingeniería social que hay detrás:
los hackers sabían el usuario y afinaron la el diccionario a menos de 300 contraseñas para probar y teniendo en cuenta lo reducido de la lista puede permitirse el ir probando de 5 en 5 y esperar media hora 300/5=60 60*0,5=30 horas en perpetrar el ataque.
teniendo en cuenta que hay multitud de objetivos mas que probar muchas contraseñas con una cuenta prueban muchas cuentas con una contraseña.
Con esto no estoy exculpando a Apple por no detectar el ataque, pero es que estos famosos utilizaban contraseñas dentro de las 300 mas utilizadas. Es como si el pin de tu tarjeta de crédito es 1234
rcc1979
Lo de las contraseñas con números, mayúsculas y minúsculas y signos de puntuacion está sobrevalorado. En este comic de XKCD lo tenéis explicado clarinete:
http://xkcd.com/936/
floreroazul
Con la capacidad de calculo que tienen las computadoras actuales, 16 caracteres es poco. Usen un gestor de contraseñas y claves bien largas.