Si bien Apple ha ofrecido soluciones de administración de contraseñas durante años, fue solo el otoño pasado que la compañía finalmente lanzó una aplicación de contraseñas dedicada, apropiadamente llamada “contraseñas”. Es un poco básico, pero está integrado en el sistema operativo y hace el trabajo. (También es gratuito, lo que ayuda). Si está completamente en el ecosistema de Apple, es una manera fácil de crear, almacenar y acceder a las contraseñas de sus numerosas cuentas. Sin embargo, como sucede, las contraseñas tienen un defecto de seguridad crítico que Apple abordó recientemente.
Aquí está la situación: las contraseñas tienen una función de seguridad que lo ayuda a cambiar la contraseña de una cuenta directamente dentro de la aplicación Passwords. Esto es particularmente útil si la aplicación detecta que una de las contraseñas de sus cuentas se ha visto comprometida. Puede tocar la cuenta, elegir “Cambiar contraseña …” y abrir un navegador en la aplicación que lo dirigirá al sitio web de la cuenta, donde puede cambiar su contraseña.
Por conveniente que sea esta característica, contenía un riesgo de seguridad significativo. Según lo descubierto por los investigadores de seguridad con MySK, cada vez que aprovechó “Cambiar contraseña …” en una cuenta, las contraseñas se conectarían al sitio utilizando un protocolo HTTP no entrelazado, antes de redirigir al protocolo HTTPS encriptado. Este cifrado protege su conexión entre su dispositivo y el sitio web que está visitando. Sin él, un actor con acceso privilegiado a la red podría hacerse cargo de la conexión y redirigir el enlace.
Digamos que la aplicación Passwords le advierte que su contraseña de Yelp se ha visto comprometida y que debe cambiarla. No hay problema: toca su cuenta Yelp en la aplicación, luego elija “Cambiar contraseña …” Sin embargo, un mal actor sigue su actividad y antes de que el sitio web de Yelp real pueda cargarse, lo redirigen a un sitio de Yelp falso. Aquí, la página fraudulenta lo alienta a compartir su información confidencial, y dado que cree que está visitando el sitio de Yelp Real, tal vez lo haga. Y así, te han phished.
Como MySK le dice a 9TO5MAC: “Nos sorprendió que Apple no hiciera cumplir HTTPS de forma predeterminada para una aplicación tan confidencial … Además, Apple debería proporcionar una opción para que los usuarios conscientes de la seguridad de la seguridad se desactive por completo.
Sin embargo, este problema no está contenido en la aplicación Passwords. Según MySK, este defecto ha existido desde que Apple lanzó la capacidad de detectar contraseñas comprometidas en iOS 14, hasta 2020:
Este tweet no está disponible actualmente. Puede estar cargando o ha sido eliminado.
Cómo corregir este defecto de seguridad de ‘contraseñas’
Apple abordó en silencio este problema con el lanzamiento de iOS 18.2. Esa actualización se lanzó en diciembre de 2024, por lo que los cambios son buenos, ha actualizado su iPhone desde entonces.
Sin embargo, si no lo ha hecho, debe actualizar la última versión de iOS lo antes posible. (A partir de este artículo, eso es iOS 18.3.2, que coincide con otro parche de seguridad importante). Para actualizar ahora, diríjase a Configuración> General> Actualización de software, luego siga las instrucciones en pantalla para descargar e instalar la actualización.
