Ataques sin clics: los motivos detrás de la actualización urgente de tus dispositivos Apple

Apple lanzó el lunes actualizaciones de software de emergencia para una vulnerabilidad crítica en sus productos después de que investigadores de seguridad descubrieran una falla que permite que un software espía altamente invasivo de la empresa israelí NSO Group infecte el iPhone, iPad, Apple Watch o la computadora Mac sin ni siquiera hacer un clic.

El equipo de seguridad de Apple ha trabajado sin descanso para desarrollar una solución desde el martes de la semana pasada, después de que los investigadores de Citizen Lab, una organización de vigilancia de la ciberseguridad en la Universidad de Toronto, descubrieran que el iPhone de un activista saudita había sido infectado con una forma avanzada del software espía de NSO.

El programa espía, llamado Pegasus, usaba un método novedoso para infectar de forma invisible los dispositivos de Apple sin que las víctimas lo supieran. Conocido como “zero click remote exploit” —programa que aprovecha un fallo de seguridad de forma remota sin necesidad de clics—, se considera el Santo Grial de la vigilancia porque permite a gobiernos, mercenarios y criminales entrar secretamente en el dispositivo de alguien sin que la víctima se dé cuenta.

Utilizando el método de infección sin clic, Pegasus puede encender la cámara y el micrófono del usuario, grabar mensajes, textos, correos electrónicos y llamadas —incluso los enviados a través de aplicaciones de mensajería y telefonía cifradas como Signal— y enviarlos a los clientes de NSO en gobiernos de todo el mundo.

“Este software espía puede hacer todo lo que un usuario de iPhone puede hacer en su dispositivo y más”, dijo John Scott-Railton, investigador sénior de Citizen Lab, quien con su colega Bill Marczak, también investigador sénior de Citizen Lab, formaron el equipo que realizó el hallazgo.

El descubrimiento significa que más de 1650 millones de productos Apple en uso en todo el mundo han sido vulnerables al software espía de NSO desde, al menos, marzo. Esto supone una grave escalada en la carrera armamentística de la ciberseguridad, en la que los gobiernos están dispuestos a pagar lo que sea necesario para espiar las comunicaciones digitales en masa, y en la que las empresas tecnológicas, los activistas de derechos humanos y otros se apresuran a descubrir y corregir las últimas vulnerabilidades que permiten dicha vigilancia.

En el pasado, las víctimas se enteraban de que sus dispositivos estaban infectados por un programa espía solo después de recibir un enlace sospechoso en su teléfono o correo electrónico, y de compartir el enlace con periodistas o expertos en ciberseguridad. Pero la capacidad de NSO de infectar con cero clics significaba que las víctimas no recibían tal aviso, y la falla permitía el acceso total a la vida digital de una persona. Este tipo de habilidades pueden alcanzar millones de dólares en el mercado clandestino de herramientas de hacking, en el que los gobiernos no son reguladores, sino clientes, y se encuentran entre los más lucrativos.

El lunes, Ivan Krstić, jefe de ingeniería y arquitectura de seguridad de Apple, elogió a Citizen Lab por sus hallazgos e instó a los clientes a ejecutar las últimas actualizaciones de software para que las correcciones surtan efecto, instalando iOS 14.8, macOS 11.6 y WatchOS 7.6.2.

“Ataques como los descritos son muy sofisticados, su desarrollo cuesta millones de dólares, a menudo tienen una vida útil corta y se usan para dirigirse a individuos específicos”, dijo Krstić.

Apple ha dicho que planea presentar nuevas defensas de seguridad para iMessage, la aplicación de mensajes de texto de Apple, en su próxima actualización de software iOS 15, que se espera a finales de este año.

El lunes, NSO no respondió inmediatamente a las preguntas.

NSO lleva tiempo suscitando polémica. La empresa ha dicho que solo vende su software espía a gobiernos que cumplen estrictas normas de derechos humanos y que exige expresamente a los clientes que acepten utilizar su software espía solo para rastrear a terroristas o delincuentes.

Pero en los últimos seis años, el software espía Pegasus de NSO ha aparecido en los teléfonos de activistas, disidentes, abogados, médicos, nutricionistas e incluso niños en países como Arabia Saudita, Emiratos Árabes Unidos y México.

A partir de 2016, una serie de investigaciones del New York Times revelaron la presencia del software espía de NSO en los iPhones de activistas emiratíes que presionan por la ampliación del derecho al voto; nutricionistas mexicanos que presionan por un impuesto nacional a las bebidas gaseosas; abogados que investigan la desaparición de 43 estudiantes mexicanos; académicos que ayudaron a redactar la legislación anticorrupción; periodistas en México e Inglaterra; y un estadounidense que representa a las víctimas de abuso sexual por parte de la policía de México.

En julio, NSO se convirtió en objeto de un nuevo escrutinio después de que Amnistía Internacional, el organismo de vigilancia de derechos humanos, y Forbidden Stories, un grupo que se centra en la libertad de expresión, se unieron a un consorcio de organizaciones de medios de comunicación en el “Projecto Pegasus” para publicar una lista de 50.000 números de teléfono, incluidos algunos utilizados por periodistas, líderes gubernamentales, disidentes y activistas, que, según ellos, habían sido seleccionados como objetivos por los clientes de NSO.

El consorcio no reveló cómo había obtenido la lista, y no estaba claro si se trataba de una lista aspiracional o si las personas habían sido realmente el blanco del programa espía de NSO.

Entre las personas que figuraban en la lista estaban Azam Ahmed, quien había sido jefe de la oficina del Times en Ciudad de México y que ha reportado ampliamente sobre la corrupción, la violencia y la vigilancia en América Latina, incluso sobre la propia NSO; y Ben Hubbard, jefe de la oficina del Times en Beirut, Líbano, quien ha investigado los abusos de los derechos y la corrupción en Arabia Saudita y escribió una reciente biografía del príncipe heredero saudí, Mohamed bin Salmán.

También incluía a 14 jefes de Estado, entre ellos el presidente de Francia, Emmanuel Macron; el presidente de Sudáfrica, Cyril Ramaphosa; el primer ministro de Egipto, Mostafa Madbouly; el primer ministro de Pakistán, Imran Khan; Saad-Eddine El Othmani, quien hasta hace poco era el primer ministro de Marruecos, y Charles Michel, el jefe del Consejo Europeo.

Shalev Hulio, cofundador de NSO Group, negó vehementemente la exactitud de la lista, al declarar al Times: “Esto es como abrir la guía telefónica, elegir 50.000 números y sacar alguna conclusión”.

Este año marca un récord en el descubrimiento de los llamados días cero, fallas secretas de software como la que NSO utilizó para instalar su programa espía. Este año, se sorprendió a hackers chinos usando días cero en Microsoft Exchange para robar correos electrónicos y plantar programas de secuestro. En julio, los cibersecuestradores utilizaron un día cero en el software vendido por la empresa tecnológica Kaseya para colapsar las redes de unas 1000 empresas.

Durante años, la industria del software espía ha sido una caja negra. La venta de programas espía está guardada por acuerdos de no divulgación y a menudo se incluye en programas clasificados, con una supervisión limitada, si es que hay alguna.

Antes, los clientes de NSO infectaban a sus objetivos mediante mensajes de texto que engatusaban a las víctimas para que hicieran clic en enlaces. Esos enlaces permitían a los periodistas e investigadores de organizaciones como Citizen Lab investigar la posible presencia de software espía. Sin embargo, el nuevo método de NSO, que no requiere hacer clic, dificulta el descubrimiento de programas espía por parte de periodistas e investigadores de ciberseguridad.

“La industria del programa espía comercial se está volviendo más sombría”, dijo Marczak, investigador de Citizen Lab. Marczak advirtió que el activista saudita se puso en contacto con él por primera vez en marzo. Pero no fue hasta la semana pasada que pudo analizar las pruebas del teléfono del activista y descubrir migajas digitales similares a las de los iPhones de otros objetivos de Pegasus.

Marczak dijo que descubrió que el activista saudita, que pidió no ser identificado, había recibido una imagen. Esa imagen, que era invisible para el usuario, aprovechaba una vulnerabilidad en la forma en que Apple procesa las imágenes y permitía que el programa espía Pegasus se descargase silenciosamente en los dispositivos de Apple. Sin que la víctima se diera cuenta, sus comunicaciones, datos y contraseñas más sensibles se desviaban a los servidores de los servicios de inteligencia y de las fuerzas del orden de todo el mundo.

Citizen Lab dijo que la escala y el alcance de la operación no estaban claros. Marczak dijo que, basándose en el momento en que descubrió Pegasus en el iPhone del activista saudita y en otros iPhones en marzo, era seguro decir que el software espía había estado desviando datos de los dispositivos de Apple durante al menos seis meses.

El programa que aprovecha un fallo de seguridad de forma remota con cero clics, que Citizen Lab bautizó como Forcedentry (entrada forzosa), fue uno de los más sofisticados que han descubierto los investigadores forenses. En 2019, los investigadores descubrieron que un programa que aprovecha un fallo de seguridad con cero clics de NSO similar había sido desplegado contra 1400 usuarios de WhatsApp, el servicio de mensajería de Facebook. El año pasado, Citizen Lab encontró un rastro digital que sugería que NSO podría tener un programa que aprovecha el fallo de seguridad con cero clics para leer iMessages de Apple, pero los investigadores nunca descubrieron el programa completo.

Hace tiempo que se sospecha que NSO tenía una capacidad de clic cero. Un hackeo en 2015 de uno de los principales competidores de NSO, Hacking Team, una empresa de software espía con sede en Milán, reveló correos electrónicos que mostraban a los ejecutivos de Hacking Team esforzándose por igualar un programa que explota las vulnerabilidades de forma remota y con cero clics que, según sus clientes, NSO había desarrollado. Ese mismo año, un periodista del Times obtuvo materiales de marketing de NSO para posibles nuevos clientes que mencionaban una capacidad remota de cero clics.

No había aparecido la prueba de esa capacidad.

“La prueba fue hoy”, dijo Marczak.

Forcedentry fue la primera vez que los investigadores recuperaron con éxito un programa completo que aprovecha los fallos de seguridad con cero clics en los teléfonos de activistas y disidentes. Cuando se revelan estos descubrimientos, los gobiernos y los ciberdelincuentes suelen tratar de explotar los sistemas vulnerables antes de que los usuarios tengan la oportunidad de remediarlos, por lo que es fundamental aplicar los parches a tiempo.

Scott-Railton instó a los clientes de Apple a ejecutar sus actualizaciones de software inmediatamente.

“¿Tienes un producto de Apple? Actualízalo hoy”, dijo.

Nicole Perlroth es una reportera que cubre ciberseguridad y espionaje. Es la autora del libro This Is How They Tell Me The World Ends, sobre la carrera armamentística cibernética mundial. @nicoleperlroth

Creó la ZX Spectrum. Murió Sir Clive Sinclair, el ingeniero británico que popularizó las computadoras domésticas

Velocidad del 4G. Cuál es la red móvil más rápida de la Argentina, según el reporte de SpeedTest

Adiós a "Buenos Aires". Boca y River estarán con la licencia completa en el FIFA 22