La seguridad en los sistemas informáticos es un continuo juego del gato y el ratón. Por una parte, las actualizaciones de software cierran fallos que pueden llevar a ataques y, por la otra, se descubren y explotan ciertos fallos para realizar ataques. De esta última parte habla un nuevo reporte de Amnistía Internacional, que afirma que el malware Pegasus se ha usado para infectar el iPhone de periodistas y disidentes políticos en todo el mundo.
"No es posible crear una puerta trasera solo para los buenos"
Amnistía Internacional ha analizado datos que abarcan desde julio de 2014 hasta julio de 2021. Según estos, las herramientas de ataque creadas y vendidas por la empresa Israelí NSO Group, que reciben el nombre de Pegasus, se han utilizado para espiar a periodistas y disidentes políticos sin que estos tuvieran constancia alguna de la situación.
Aquí han de venirnos a la mente las palabras de Tim Cook: "No es posible crear una puerta trasera solo para los buenos". Pues cuanta razón tenía. Si bien el NSO Group afirma que solo vende su software para contraterrorismo, el reporte de Amnistía Internacional revela que este software se ha usado para espiar a activistas, abogados, reporteros y otras personas en puestos similares.
Como decíamos al principio del artículo, la seguridad es como un juego del gato y el ratón. El mismo reporte recoge varias de las variantes que el NSO Group ha tenido que utilizar para mantener a Pegasus operativo a medida que Apple cerraba diferentes agujeros de seguridad. En 2019, por ejemplo, el ataque se podía realizar a través de la app Fotos, donde los atacantes, a través del servicio de Fotos en Streaming, podían comprometer el dispositivo. Un ataque que, en un esfuerzo para evitar ser descubierto, desactivaba el informe de fallos del teléfono para que Apple no recibiera información sobre este exploit.
La técnica de ataque en activo actualmente parece ser un exploit zero-click en iMessage que funciona incluso en iOS 14.6, la última versión disponible del sistema operativo del iPhone.
Zero-click, zero-day y iOS 14
Hagamos una breve pausa en el camino para aclarar un par de conceptos necesarios para entender los ataques, así como un breve apunte a una de las muchas defensas que nos protegen de los mismos. Cuando hablamos de una vulnerabilidad zero-day, de lo que estamos hablando en realidad es de un fallo que no es conocido. No conocido por el fabricante o los investigadores de seguridad en todo caso, pues está claro que los malos actores lo han estado explotando.
Mientras, si hablamos de zero-click, como es el caso del exploit de iMessage que nos ocupa, nos estamos refiriendo a que no se requiere ningún clic, ninguna interacción, por parte de la víctima para que el ataque surta a efecto. Este es el tipo de ataque más peligroso, pues el sentido común ante determinados enlaces, mensajes, etc. no es una línea de defensa.
Lo que no quiere decir que no haya ninguna línea de defensa, pues en determinadas posiciones o profesiones hay varios servicios y configuraciones recomendables para reducir la exposición a posibles ataques. En el sentido de la protección, Apple mejoró el sistema de seguridad de iMessage con una especie de sandbox que recibe el nombre de BlastDoor, un sistema que ya explicamos en detalle en Applesfera y que es capaz de bloquear la gran mayoría de ataques, aunque no haya sido suficiente para detener este ataque en concreto.
El éxito de un ataque depende de la motivación del adversario
Esta es una frase que se oye mucho en los entornos de seguridad y privacidad. Lo que viene a decir es que no hay un sistema lo suficientemente seguro para no ser roto por un actor motivado, financiado y que dispone de los suficientes recursos. Por ello siempre recomendamos actualizar nuestros dispositivos. ¿Esta versión del sistema operativo no tiene muchas novedades? No importa, las protecciones a nuestra seguridad deberían ser motivo suficiente para actualizar siempre, siempre, todos nuestros dispositivos rápidamente.
Dicho esto también es muy necesario que tengamos presente que este tipo de ataques, de alto nivel, siempre son dirigidos. Esto significa que de los cientos de millones de iPhone por todo el mundo se han atacado una pequeñísima parte. ¿Por qué? Por que estos ataques no pueden distribuirse de forma masiva, hay que localizar, marcar y atacar un dispositivo concreto, lo que requiere tiempo y dinero.
Desconocemos si iOS 14.7, que debería llegar esta misma semana, será resistente a este ataque. Tampoco sabemos si iOS 15, que actualmente está en fase beta, lo será. Aunque cabe esperar que sí. Que de forma progresiva Apple cierre estos agujeros de seguridad para que todos los iPhone, desde los que pertenecen a un reportero del NYT hasta el nuestro, sean más seguros.
Está claro, pues, que no se puede crear una puerta trasera solo para los buenos. Este caso muestra claramente que aún con la intención de mantener los sistemas operativos lo más seguros posible siguen habiendo fallos. No hablemos ya de lo que podría pasar si intencionadamente se planteara debilitar su seguridad. Al final, la tecnología está ahora en nuestras vidas más que nunca, y cada vez lo estará más, claramente el camino a seguir es hacerla más segura.
Imágenes | Raphiell Alfaridzy Sara Kurfeß
Ver 15 comentarios