El hacker que filtró fotos de casi cien celebridades desnudas, incluyendo a la ganadora del Oscar Jennifer Lawrence, afirmó tener un video en el que supuestamente se ve a la actriz durante un acto sexual, según ha informado el tabloide británico The Mirror.
«Sé que nadie me creerá, pero tengo un video corto de Lawrence. Es muy corto, de apenas un poco más de dos minutos y sólo se ven los pechos. En fin, si alguien lo quiere, que me haga saber cómo subirlo anónimamente (no quiero al FBI sobre mí y no quieren saber cómo conseguí el video)», escribió el hacker no identificado, que pidió donaciones por la filmación.
El hacker ha escrito en línea que está aceptando donaciones de Paypal por el vídeo. Las fotos de Jennifer Lawrence y otras cien estrellas desnudas, han sido filtradas en el sitio web 4chan, un foro en el que casi todos los usuarios permanecen en el anonimato.
4chan es un tablón de imágenes en internet lanzado el 1 de octubre de 2003. Originalmente sus foros fueron usados para publicar imágenes y discutir sobre manga y anime. Sus usuarios generalmente publican de forma anónima y el sitio ha sido ligado a las subculturas y activismo en la web.
Hasta el momento se desconoce la manera cómo el o los hackers se hicieron con las fotografías. Mary E. Winstead, aparentemente sin saberlo, ha dado con una de las claves del robo, la antigüedad de las imágenes. “Para aquellos de ustedes que miran las fotos que tomé con mi marido hace años en la intimidad de nuestra casa, espero que se sientan muy bien”. Y añade: “Sabiendo que estas fotos fueron borradas hace mucho tiempo, solo puedo imaginar el esfuerzo espeluznante que han realizado”.
Jaime Blasco, director de Alienvault, en Silicon Valley, lo explica: “El peligro de iCloud es que guarda todo de manera automática, aunque se borre una foto del móvil, permanece en la nube”, explica. Su tesis es que los hackers han violado las contraseñas de medio centenar de artistas usando ese fallo y mucha paciencia.
Juan Garrido, de BlackHat, citado por el diario El País, de España, apunta a un fallo de seguridad de Apple: “Find My iPhone (la web para localizar y bloquear un teléfono perdido) ha podido ser la causa de tan desgraciado accidente, ya que supuestamente, y a través de este servicio, era posible realizar ataques de fuerza bruta, una vieja técnica que utiliza un posible usuario con una lista de posibles credenciales contra usuarios conocidos. El atacante tan solo necesitaría el correo de las víctimas y un buen archivo de contraseñas a utilizar. Si la víctima tuviese una contraseña débil, el siguiente paso sería entrar en iCloud, y descargarse el material deseado”.
Garrido explica que el servicio ya se ha arreglado, pero el agujero potencial llevaba varios días expuesto en GitHub, un almacén desoftware compartido. La empresa de la manzana, por ahora, no se ha pronunciado.
Como suele ser habitual, los expertos subrayan la importancia de no colgar contenido íntimo en Internet, cambiar las claves de acceso con frecuencia e intentar que en cada servicio sea diferente. Ángel Prado, del equipo de seguridad de Salesforce, considera que se podría haber evitado usando un “segundo factor de identidad”, un servicio cada vez más extendido que solo permite acceder al correo o servicios personales tras introducir la contraseña y un código que se envía al teléfono móvil en forma de SMS. “No es infalible, pero refuerza”, insiste.
La pena para este tipo de delitos en EE UU pueden llegar a los 10 años de cárcel, como sucedió en 2012, cuando se accedió sin permiso a los ordenadores de Scarlett Johansson y Mila Kunis, entre otras actrices, y se difundieron las fotos sin su consentimiento.