BOSTON, Massachusetts - Apple lanzó un ajuste de software crítico para corregir una vulnerabilidad de seguridad que, según los investigadores, podría permitir a los piratas informáticos infectar directamente iPhones y otros dispositivos Apple sin ninguna acción del usuario.
Investigadores del Citizen Lab de la Universidad de Toronto dijeron que el problema de seguridad se aprovechó para plantar software espía en el iPhone de un activista saudí. Dijeron que tenían una gran confianza en que la empresa de hackers contratados más infame del mundo, NSO Group de Israel, estaba detrás de ese ataque.
La vulnerabilidad previamente desconocida afectó a todos los principales dispositivos de Apple: iPhones, Macs y Apple Watches, dijeron los investigadores. NSO Group respondió con una declaración de una frase diciendo que continuará proporcionando herramientas para combatir "el terrorismo y el crimen".
Recibe las noticias locales y los pronósticos del tiempo directo a tu email. Inscríbete para recibir newsletters de Telemundo Washington aquí.
Era la primera vez que se detectaba y analizaba un exploit denominado "sin hacer clic", uno que no requiere que los usuarios hagan clic en enlaces sospechosos o que abran archivos infectados, dijeron los investigadores. Encontraron el código malicioso el 7 de septiembre e inmediatamente alertaron a Apple. El activista objetivo pidió permanecer en el anonimato, dijeron.
"No atribuimos necesariamente este ataque al gobierno saudí", dijo el investigador Bill Marczak.
Citizen Lab encontró anteriormente evidencia de exploits de cero clic que se usaban para piratear los teléfonos de los periodistas de al-Jazeera y otros objetivos, pero no había visto previamente el código malicioso en sí.
Aunque los expertos en seguridad dicen que el usuario promedio de iPhone, iPad y Mac generalmente no necesita preocuparse, tales ataques tienden a limitarse a objetivos específicos, el descubrimiento aún alarma a los profesionales de la seguridad.
Los archivos de imágenes maliciosos se transmitieron al teléfono del activista a través de la aplicación de mensajería instantánea iMessage antes de que fuera pirateado con el software espía Pegasus de NSO, que abre un teléfono a escuchas clandestinas y robo de datos remotos, dijo Marczak. Fue descubierto durante un segundo examen del teléfono, que los forenses mostraron que había sido infectado en marzo. Dijo que el archivo malicioso hace que los dispositivos se bloqueen.
Citizen Lab dice que el caso revela, una vez más, que NSO Group está permitiendo que su software espía se use contra civiles comunes.
En una publicación de blog, Apple dijo que estaba publicando una actualización de seguridad para iPhones y iPads porque un archivo PDF "creado con fines malintencionados" podría llevar a que fueran pirateados. Dijo que era consciente de que el problema podría haber sido explotado y citó a Citizen Lab.
En una declaración posterior, el jefe de seguridad de Apple, Ivan Krstić, elogió a Citizen Lab y dijo que tales exploits "no son una amenaza para la inmensa mayoría de nuestros usuarios". Señaló, como lo ha hecho en el pasado, que tales exploits suelen costar millones de dólares para desarrollarse y, a menudo, tienen una vida útil corta. Apple no respondió a las preguntas sobre si era la primera vez que reparaba una vulnerabilidad de cero clics.
Los usuarios deben recibir alertas en sus iPhones que les soliciten que actualicen el software iOS del teléfono. Aquellos que quieran saltar el arma pueden ir a la configuración del teléfono, hacer clic en "General", luego en "Actualización de software" y activar la actualización del parche directamente.
Citizen Lab llamó al exploit de iMessage FORCEDENTRY y dijo que era efectivo contra dispositivos Apple iOS, MacOS y WatchOS. Instó a la gente a instalar inmediatamente actualizaciones de seguridad.
El investigador John Scott-Railton dijo que la noticia destaca la importancia de proteger las aplicaciones de mensajería populares contra tales ataques. “Las aplicaciones de chat se están convirtiendo cada vez más en una forma importante en que los estados-nación y los piratas informáticos mercenarios obtienen acceso a los teléfonos”, dijo. "Y por eso es tan importante que las empresas se centren en asegurarse de estar lo más bloqueadas posible".
Los investigadores dijeron que también socava las afirmaciones de NSO Group de que solo vende su software espía a funcionarios encargados de hacer cumplir la ley para su uso contra delincuentes y terroristas y audita a sus clientes para asegurarse de que no se abuse de él.
“Si Pegasus solo estuviera siendo utilizado contra criminales y terroristas, nunca hubiéramos encontrado estas cosas”, dijo Marczak.
El WhatsApp de Facebook también fue presuntamente atacado por un exploit de cero clics de NSO. En octubre de 2019, Facebook demandó a NSO en un tribunal federal de EEUU por presuntamente apuntar a unos 1,400 usuarios del servicio de mensajería cifrada con software espía.
En julio, un consorcio global de medios publicó un informe condenatorio sobre cómo los clientes de NSO Group han estado espiando durante años a periodistas, activistas de derechos humanos, disidentes políticos y personas cercanas a ellos, con el grupo de hackers contratados directamente involucrado en el focalización. Amnistía Internacional dijo que confirmó 37 infecciones exitosas de Pegasus basándose en una lista de objetivos filtrada cuyo origen no fue revelado.
Un caso involucró a la prometida del periodista del Washington Post, Jamal Khashoggi, solo cuatro días después de que fuera asesinado en el consulado saudí en Estambul en 2018. La CIA atribuyó el asesinato al gobierno saudí.
Las recientes revelaciones también provocaron pedidos de una investigación sobre si el gobierno de derecha de Hungría utilizó a Pegasus para monitorear en secreto a periodistas, abogados y empresarios críticos. El parlamento de la India también estalló en protestas cuando los legisladores de la oposición acusaron al gobierno del primer ministro Narendra Modi de utilizar el producto de NSO Groups para espiar a oponentes políticos y otros.
Francia también está tratando de llegar al fondo de las acusaciones de que el presidente Emmanuel Macron y miembros de su gobierno pueden haber sido atacados en 2019 por un servicio de seguridad marroquí no identificado que usaba Pegasus. Marruecos, un aliado clave de Francia, negó esos informes y está tomando acciones legales para contrarrestar las acusaciones que implican al reino del norte de África en el escándalo del software espía.