El extorsionista de “volcado de datos” de iCloud evita la prisión

El londinense que intentó extorsionar 100.000 $ a Apple amenazando con volcar datos de millones de cuentas de iCloud y luego cerrarlas, ha recibido una sentencia por la que puede evitar ir a la cárcel.

Kerem Albayrak, de 22 años, del norte de Londres, terminó declarándose culpable de tres delitos: un cargo de chantaje y dos cargos de acceso no autorizado.

La Agencia Nacional del Crimen (NCA) del Reino Unido, que investigó el crimen, informó la semana pasada que Albayrak recibió una pena de prisión de dos años suspendida, 300 horas de trabajo no remunerado y un toque de queda electrónico de seis meses por amenazar con eliminar 319 millones de cuentas de iCloud.

Albayrak tuvo su mes de fama en marzo de 2017, aparentemente usando el alias en Twitter “Turkish Crime Family”, donde afirmó haber recuperado las contraseñas de un número cada vez mayor de cuentas de iCloud que eran su moneda de cambio para chantajear con Apple:

[2017-03-21] 200 millones de cuentas de iCloud se restablecerán el 7 de abril

[2017-03-22] El número de credenciales de Apple aumentó de 519 millones a

627m, estamos convencidos de que seguirá creciendo hasta el 7 de abril de 2017

[2017-03-22] Actualización: Todavía estamos fortaleciendo nuestra infraestructura y

adquirir más servidores para el 7 de abril de 2017

[2017-03-22] Si Apple no encuentra una manera de detenernos, se

enfrenta a serios problemas con el servidor y quejas de los clientes

Según la NCA, Albayrak contactó por primera vez con Apple el 12 de marzo de 2017, presumiblemente revelando que tenía detalles de inicio de sesión para al menos algunas cuentas de iCloud, y exigió una “tarifa” por eliminar su base de datos en lugar de ponerla a la venta online.

El dinero demandado era 75.000 $ en criptomonedas o 100.000 $ en forma de 1000 tarjetas iTunes de 100 $ cada una.

Una semana más tarde, dice la NCA, Albayrak elevó la “tarifa” de 75.000 $ a 100.000 $ después de publicar un video en YouTube que muestra que inició sesión y usó dos cuentas diferentes de iCloud.

Aparentemente, también le dijo a Apple que había subido la apuesta: no solo quería más dinero, sino que también estaba planeando hacer un “restablecimiento de fábrica” ​​masivo de cientos de millones de cuentas.

(Suponemos que la evidencia en este video es la razón por la cual Albayrak se enfrentó a dos cargos por uso indebido de computadoras por acceso no autorizado, dado que se demostró que no solo poseía las contraseñas de otras personas sino que también las usaba al iniciar sesión).

Apple contactó con las fuerzas del orden público de Estados Unidos y el Reino Unido después de las demandas de chantaje, y la NCA se encargó de la investigación, arrestando a Albayrak poco después.

Los investigadores de la NCA dicen que Albayrak les dijo en ese momento:

Una vez que te ves atrapado [en el cibercrimen], simplemente se intensifica y lo hace interesante cuando es ilegal. […] Cuando tienes poder en Internet, es como la fama y todos te respetan, y todo el mundo lo está intentando en este momento.

¿Qué hacer?

La NCA dice que “los datos que Albayrak afirmó tener en realidad eran de servicios de terceros previamente comprometidos que estaban en su mayoría inactivos”.

En otras palabras, parece que Albayrak obtuvo un montón de contraseñas de filtraciones existentes y probó esas contraseñas en cuentas de iCloud con el mismo nombre.

Eso se conoce como relleno de credenciales (credential stuffing), y es un claro recordatorio de por qué nunca debes usar la misma contraseña en más de una cuenta, sin importar cuán intrascendentes puedan parecer esas cuentas.

Nuestros consejos en este caso se reducen a lo básico:

• Elige contraseñas robustas. Utiliza un administrador de contraseñas para poder elegir una contraseña diferente, generada aleatoriamente para cada cuenta en lugar de usar el nombre de su gato seguido de fb para Facebook, tw para Twitter, ic para iCloud, etc. Si hay un patrón en sus contraseñas, puede suponer que los delincuentes lo descubrirán.
• Utiliza la autenticación de dos factores (2FA). Esos códigos de inicio de sesión de seis dígitos que se envían por mensaje de texto a su teléfono, o generados por una aplicación especial, son diferentes cada vez. Eso significa que su contraseña ya no es suficiente por sí sola para que un delincuente inicie sesión en su cuenta y juegue con ella.
• No dejes viejas cuentas abandonadas. Si deja de usar un servicio, cierre su cuenta por completo para que no haya posibilidad de que un delincuente aparezca más tarde y aparentemente actúe en su nombre. Aquí, un administrador de contraseñas ayuda: él no olvidará cómo iniciar sesión en cuentas que no hayas usado durante años.