La seguridad en OS X se ha convertido en un tema candente en las últimas fechas por haber cobrado un desafortunado protagonismo. Y es que, coincidiendo prácticamente con del hallazgo de un nuevo troyano para Mac que inundaría de todo tipo de publicidad nuestros equipos, Apple anunciaba ayer la introducción de la verificación en dos pasos para las cuentas Apple ID con la intención de brindar mayores garantías.
Pues bien, las primeras vulnerabilidades no se hicieron esperar y así pudimos ver cómo en las cuentas de EE.UU, Nueva Zelanda, Reino Unido, Australia e Irlanda, que todavía no hubieran dado el salto al nuevo sistema de identificación, era posible resetear las contraseñas solo con la fecha de nacimiento y el correo electrónico. Huelga decir que minutos después, en Cupertino ya se habían puesto manos a la obra, indicando que la página de recuperación de contraseña se había cerrado por labores de mantenimiento.
El asunto que nos atañe hoy no es flor de un día sino que viene de mucho más atrás. Concretamente, fue reportado hace casi dos años en el foro de soporte de WebKit pero tal y como hemos podido comprobar, actualmente el bug sigue sin ser corregido. Asumiendo que podría llegar a traer bastantes quebraderos de cabeza a más de un usuario, hemos creído que sería interesante dedicarle unas líneas.
¿Qué es WebKit?
Empecemos la casa por los cimientos. Extraído de su propia web:
WebKit es un motor de navegación web de código libre y a su vez, un framework de Mac OS X usado para construir aplicaciones como Safari, Dashboard, Mail y muchas otras. El código de WebKit se inició como parte de un proyecto KDE de renderizado HTML denominado KHTML y del motor JavaScript de KDE, KJS.
Dicho de otro modo y de forma simplificada, podríamos concluir que WebKit es el motor de Safari, el responsable de muchas de las funcionalidades que podemos encontrar en el navegador; es decir, la visualización de páginas, las transiciones entre ellas, la descarga de archivos o la administración de plug-ins.
¿En qué consiste el bug?
Una vez sentadas las bases, podemos entrar a detallar el problema. Si nos encontramos en OS X y accedemos a un navegador con WebKit como Safari, Chrome y, próximamente, Opera y tratamos de introducir una contraseña que contenga tildes, diéresis o cualquier otro tipo de caracteres especiales en el campo de registro, el navegador enviará la misma contraseña pero sin dichos caracteres especiales.
¿Qué quiere decir? Que si nos registramos en una web desde nuestro Mac y posteriormente tratamos de identificarnos en otro sistema operativo, smartphone o tablet, nos devolverá un mensaje de contraseña errónea puesto que la que está asociada a nuestro usuario en la base de datos, no contendrá dichos símbolos.
¿Qué sitios están afectados?
A grandes rasgos, todos aquellos que no tengan limitaciones de caracteres especiales a la hora de crear contraseñas. Los servicios de Google y, desde hace poco tiempo, Twitter, se salvan de la quema. Por otro lado y, a no ser que lo hayan remediado recientemente, sería conveniente tener cuidado con los registros en webs tan populares como Facebook, Tuenti, LinkedIn, Yahoo, Amazon, Paypal, Ebay o IMDb.
¿Qué puedo hacer al respecto?
En primer lugar, reiterar que el único sistema operativo afectado por este bug es OS X. Los usuarios de Windows, Android, cualquier distribución de GNU/Linux o simplemente, aquellos que no suelan utilizar caracteres especiales en sus contraseñas, no tendrán de qué preocuparse. Si formamos parte del primer grupo, deberíamos tener presentes algunas nociones:
Utilizar un navegador alternativo como Mozilla Firefox, que usa el motor Gecko, cuando quisiéramos registrarnos en alguna página.
En caso de tener instalado Boot Camp o disponer de otro equipo con Windows, recurrir a dicho sistema de cara a futuros registros.
Tratar de evitar los generadores de contraseñas, sobre todo si éstos hacen uso de símbolos especiales.
En conclusión, puede que no se trate de un fallo tan grave como para hacer peligrar la integridad de nuestras cuentas bancarias, pero sí puede ser lo suficientemente molesto como para hacernos pasar un mal rato si desconocemos el porqué de los continuos mensajes de contraseña errónea. Esperemos que sea subsanado próximamente, pero lo cierto es que si tenemos en cuenta la fecha en la que datan los únicos reportes que hemos encontrado, se antoja harto complicado.
Si, parece una tontería pero cuando no sabes el porqué… Pues vaya cagada, no sé porq no arreglan estas cosas