La vulnerabilidad aparecida en el Apple ID tras la activación de la autenticación en dos pasos ayer representa uno de los grandes clásicos de la compañía: añade o corrige algo, y rompe otra cosa. Se trata de una vulnerabilidad que permite, conociendo el correo electrónico y la fecha de nacimiento de una cuenta, resetear la contraseña que tiene asignada.
Afortunadamente, Apple ha afirmado ser consciente del problema y ha desactivado el reseteo de la clave. Tras iniciar el proceso de creación de nueva contraseña, el usuario podía establecer otra completamente nueva simplemente accediendo a una URL ligeramente modificada de la solicitud mientras se respondían a las preguntas de seguridad, haciéndose de facto con el control de la cuenta.
El problema afectaba a las cuentas que no hubieran activado todavía la autenticación en dos pasos, algo que por el momento sólo existe en unos pocos países de habla inglesa, incluidos EE.UU y Reino Unido. En los demás, no había manera de protegerse de este fallo. En los últimos meses, y más concretamente desde el lanzamiento de iOS 6.1, Apple debería empezar a revisar concienzudamente sus protocolos de pruebas del software. Demás fallos que dan en última instancia una mala imagen a la compañía.
Actualización: Apple ya ha corregido el fallo de seguridad, y el servicio de recuperación de contraseña iForgot ya vuelve a estar disponible. Esperemos que realmente esté solucionado, que llevan una racha...