Apple solía ser un bastión de la seguridad informática, y sus productos parecían invencibles frente al malware. Pero un descubrimiento de seguridad reciente podría cambiar esa percepción.
El investigador de seguridad Chris Vickery denunció los 13 millones de credenciales de usuario de MacKeeper, incluidos nombres de usuario y contraseñas, que se filtraron en línea a través del motor de búsqueda Shodan, que trabaja para indexar dispositivos y servidores que están vinculados a la Web. Es difícil clasificar el incidente como una violación de datos, ya que la filtración no requirió ninguna táctica de piratería.
MacKeeper ayuda a los usuarios de Mac a operar sus computadoras sin problemas. Pero además de mantener una experiencia Mac fluida, Vickery también descubrió que es posible obtener acceso a los datos de usuario de MacKeeper con solo descargarlos para ver los millones de nombres de usuario y contraseñas almacenados en una base de datos sin protección alguna.
Es una especie de falla interna por parte del software MacKeeper. Lo que sucede aquí es que la propia base de datos de MacKeeper se vuelve virtualmente abierta a los piratas informáticos a través de Internet, lo que permite a cualquiera ver y, quizás en circunstancias más extremas, robar las credenciales de usuario. Cualquiera que navegue a través del motor de búsqueda de Shodan podrá acceder a la insegura base de datos de MacKeeper. ¡Tan sencillo como eso!
Sin embargo, esta no es la primera vez que MacKeeper está involucrado en una importante filtración de datos de usuarios. Otros investigadores de seguridad criticaron el software en memoria reciente porque se había involucrado en una técnica de scareware para obligar a los usuarios a suscribirse a la versión premium del software después del uso de prueba gratuito. De lo contrario, estarían expuestos a ataques en ausencia de las características de seguridad necesarias que venían con la versión paga.
Eso fue en el 2014, durante el cual la empresa que anteriormente poseía el software enfrentó una demanda colectiva. Zeobit, el propietario entonces, resolvió la demanda con 2 millones de dólares. El software ahora está siendo desarrollado y mantenido por Kromtech, que se jacta de una función de rastreo antirrobo en el producto, con toda ironía.
Kromtech reconoció los hallazgos de Vickery y agregó que se han implementado las correcciones necesarias antes de que cualquier incidente adverso pudiera afectar al producto de software, como ataques maliciosos. La compañía también aseguró a los usuarios que no se filtraron datos confidenciales a los piratas informáticos y que se accedió a la base de datos del software solo una vez, lo que indica que hasta ahora solo Vickery ha sido la que ha podido acceder a los datos.
Por su parte, el investigador de seguridad confirmó que los datos a los que accedió nunca fueron utilizados de manera inapropiada, solo con el único propósito de su investigación.
