martes, 26 de septiembre de 2017

¡Cuidado! Descubierto un fallo de seguridad en macOS High Sierra que permite robar las contraseñas


No hay día para la cautela en lo que se refiere a la seguridad informática. Tampoco en Apple. Un grave fallo de seguridad descubierto en la nueva versión del sistema operativo para ordenadores de la compañía americana, macOS High Sierra, deja expuestos las contraseñas de los usuarios.

Tan solo un día después de su lanzamiento oficial, ya se ha localizado un problema informático. El fallo, descubierto este lunes por un exanalista de la Agencia Nacional de Seguridad de EE.UU. (NSA) y actualmente jefe de investigación de la firma de seguridad Synack, Patrick Wardle, puede poner en peligro las credenciales de los usuarios. Además, el problema es doble, puesto que afecta a versiones anteriores.
El fallo afecta a la seguridad del gestor de contaseñas (Llavero). Permite que un ciberdelincuente pueda robar las contraseñas en los ordenadores que disponen de la plataforma. En opinión del ingeniero americano, que ha mostrado en un video su funcionamiento, cualquier persona puede ejecutar código malicioso en un equipo Mac para robar las contraseñas de la herramienta conocida como «llavero».



Se trata, en efecto, de una vulnerabilidad de las conocidas como «Zero-Days», aquellas que son desconocidas por el fabricante del producto. Es decir, no ha sido resuelta por el momento, aunque se espera que la firma de la manzana lance próximamente una actualización, dado que como suele suceder en anteriores ocasiones, el «descubridor» informa a la compañía afectada para que le ponga remedio a la vulnerabilidad.

Posible acceso a través de «apps» no verificadas


Apple dispone de un sistema que gestiona y almacena las contraseñas de usuario, la cual únicamente puede (y debe) ser accesible para el propietario del equipo. Gracias a esta herramienta se pueden agilizar los inicios de sesión de otros servicios digitales como redes sociales Facebook, Twitter, Google, proveedores de correo electrónico, redes Wifi o, incluso, datos de acceso a páginas bancarias o tarjetas bancarias. Un manjar para los cibercriminales.

Según ha demostrado Wardle, se puede dirigir un ciberataque al «llavero» sin necesidad de conocer la contraseña. Es tan fácil como, a través de una aplicación no verificada por la compañía americana, acceder a los datos almacenados y, de ahí, filtrar las contraseñas de otros servicios. Por ahora se desconoce el alcance de esta vulnerabilidad y si ha afectado a algún equipo. Para evitarlo, desde Apple recomiendan no instalar ni descargar programas no oficiales.