Apple lanzó hace algunos días un sistema de notificación de dos pasos, que pretendía darle mayor seguridad a las identificaciones de la firma y a las cuentas de iCloud.
El problema es que al día siguiente la compañía sufrió una falla que afectaba a todos aquellos usuarios que no se habían pasado al sistema de doble verificación, permitiendo que cualquiera pueda resetear las claves de las cuentas de Apple simplemente conociendo la dirección de correo y la fecha de nacimiento de los usuarios.
De hecho hasta había una página en la que se presentaba un instructivo paso a paso para aprovechar la falla, que consiste en pegar una URL modificada mientras respondemos la pregunta de seguridad en la autenticación para la fecha de nacimiento en la página “iForgot“. La única medida de seguridad posible era cambiar la fecha de nacimiento en las cuentas, para que no se pudiera ingresar con ese dato.
Por suerte, Apple reaccionó rápidamente y, como primera instancia, inhabilitó la página de reseteo de contraseña. Luego, solucionó el problema y volvió a subir la página iForgot.
Esta falla demuestra la importancia de tener protocolos de seguridad exhaustivos. En virtud de que esta falla solo atacaba las cuentas que no se habían pasado al sistema más seguro, la recomendación a todos los usuarios era que activaran la doble autenticación. Ahora bien, el problema es que excepto por las cuentas de EEUU, Reino Unido, Australia, Irlanda y Nueva Zelanda, el cambio de sistema aún no estaba disponible para otros países. Y aún peor, en aquellos países antes listados en los que si se podía aplicar el cambio, el mismo tarda 3 días en activarse.