El gigante ha descubierto una serie de
páginas web infectadas que descargaban malware iOS cada vez que un dispositivo
accedía a ellas. Aunque Apple lanzó un parche el pasado 7 de febrero, los datos
de los aparatos comprometidos ya han sido robados. Todavía no se sabe quién es
el responsable
- El malware era capaz de robar
contraseñas, mensajes cifrados y contactos
- No está claro quién ideó la
campaña de hackeo ni quién era el objetivo
- Quienes han actualizado su
iPhone, están protegidos
El mayor ciberataque conocido contra
los usuarios de iPhone duró al menos dos años y afectó a miles de personas,
según una investigación publicada por Google.
El malware podía acceder a cualquier
iPhone para robar contraseñas, mensajes cifrados, ubicación, contactos y otra
información confidencial. Luego, los datos se enviaban a un servidor de comando
y control que los hackers utilizaban para ejecutar la operación. El alcance, la
ejecución y la duración de este ciberataque sin precedentes apuntan a una
posible operación respaldada por algún gobierno, pero la identidad de los
hackers y sus objetivos todavía se desconoce.
"Los datos que han robado son los
'jugosos'. Si se toman todas las contraseñas, datos de ubicación, chats,
contactos, etcétera, se puede construir una red en la sombra con las conexiones
de todas las víctimas. Seguramente en ella se podrán encontrar objetivos
interesantes con seis grados de separación", explica el autor de tres
libros sobre el funcionamiento interno de los sistemas operativos de Apple
Jonathan Levin.
Apple parcheó rápidamente el error en
febrero de 2019, así que todos los que hayan actualizado su iPhone desde
entonces están protegidos. Pero, aunque al reiniciar el iPhone se borra el
malware, los previos datos ya fueron robados. Y todavía no se sabe exactamente
quienes han sido los usuarios afectados. Las víctimas probablemente no serán
conscientes porque el malware se ejecuta en un segundo plano sin indicador
visual y no hay forma de que un usuario de iOS vea qué procesos se están
ejecutando en su dispositivo.
En enero de 2019, el Grupo de Análisis
de Amenazas (TAG, por sus siglas en inglés) de Google, compuesto por
especialistas en contraespionaje, descubrió una serie de páginas web hackeadas
que introducían el malware a miles de visitantes por semana. La táctica se
conoce como ataque tipo pozo: los hackers infectan con malware páginas web
cuidadosamente seleccionadas y esperan a que lleguen los visitantes para acabar
infectados. Basta con visitar la página para descargar el malware.
Entre los hallazgos de Google figuran
cinco "cadenas de explotación" ejecutadas en un período de años y 14
vulnerabilidades, de las cuales, al menos una era de día cero. Este término
describe un error explotable no descubierto por una empresa como Apple. Cuando
una cadena de explotación se quedaba inutilizada por un parche de Apple, el
hacker pasaba rápidamente a la siguiente.
TAG transmitió la información a Apple,
quen lanzó el parche 12.1.4 de iOS el 7 de febrero con la solución, así como a
otros dentro de Google. El Proyecto Cero de Google, el equipo de análisis de
seguridad de la compañía, lleva los últimos siete meses diseccionando estos
errores.
El experto de Google Ian Beer detalla
"No hubo discriminación de objetivos; bastaba con visitar la página
hackeada para que el servidor atacara el dispositivo, y si tenía éxito,
instalaba un implante de control. Calculamos que estas páginas web reciben miles
de visitantes por semana".
No está claro quién acabó afectado. El
Proyecto Cero de Google no ha revelado esta información ni las páginas web
infectadas. Parece poco probable que Apple y Google tengan un recuento completo
de las víctimas, pero podría haber otras pistas, como las poblaciones que
suelen visitar páginas web infectadas.
Entonces, ¿quién está detrás de esto?
Existe toda una industria de hackeo ofensivo que crea y vende herramientas de
hackeo a gobiernos y empresas de todo el mundo. El más famoso es NSO Group,
pero sus herramientas también han sido atacadas. Levin cree que las señales
apuntan a que hay un estado detrás de este ataque, ya que el modelo utilizado
no está dentro del alcance típico de un pequeño hacker o empresa.
La revelación se ha propagado
instantáneamente por toda la industria de la ciberseguridad. "Esta es la
primera vez que se demuestra que tales vulnerabilidades se utilizan de forma
masiva, indiscriminadamente como 'red de pesca' contra cualquier persona
desprevenida que visa páginas web infectadas", afirma Levin. Una de las
víctimas más notables del malware para iPhone es el activista de derechos
humanos conocido mundialmente y encarcelado por criticar al Gobierno de
Emiratos Árabes Unidos, Ahmed Mansoor, apodado como "el disidente de un
millón de dólares" debido al alto coste del malware que se utilizó para
hackear su iPhone y espiarlo.
Hasta ahora, el uso de estas armas era
poco común y siempre estaba muy dirigido, dado su alto coste. Atacar el sistema
operativo iOS de Apple, el software del iPhone y también del iPad, es un
proceso complejo y costoso. "Atacar el iOS requiere evadir y atravesar las
enormes y múltiples capas de defensa de Apple", explica Levin. El
descubrimiento de Google tira por tierra algunas de esas suposiciones.
También alterará las percepciones
sobre la seguridad de los iPhones. Las personas de alto riesgo, como
periodistas, abogados y activistas, usan iPhone con la esperanza de que estos
dispositivos proporcionen una defensa real contra los hackers que, en algunos
casos, pueden suponer una amenaza de vida o muerte.
Beer concluye: "Los usuarios
reales toman decisiones de riesgo basadas en la percepción pública de la
seguridad de estos dispositivos. Pero la realidad es que las protecciones de
seguridad nunca eliminarán el riesgo de ataque si somos un objetivo".
Fuente: MIT Technology Review