La cadena de infección de spyware mediante exploits de clic cero a través de iMessage fue demostrada por la empresa de seguridad Kaspersky en el marco de su investigación Operación Triangulación del año pasado.
Todo lo que tiene que ocurrir es que la víctima reciba un iMessage con un archivo adjunto que contenga un exploit de clic cero. “Sin más interacción, el mensaje desencadena una vulnerabilidad que conduce a la ejecución de código para la escalada de privilegios y proporciona control total sobre el dispositivo infectado”, explica Boris Larin, investigador principal de seguridad del Equipo Global de Investigación y Análisis de Kaspersky.
Una vez que el atacante establece su presencia en el equipo, dice, el mensaje se elimina automáticamente.
El auge de Pegasus
El programa espía más conocido y destacado es Pegasus, creado por la empresa israelí NSO Group para atacar las vulnerabilidades del software de iOS y Android.
El spyware sólo existe gracias a vendedores como NSO Group, que afirma que vende exploits a los gobiernos para cazar delincuentes y terroristas. “Cualquier cliente, incluidos los gobiernos de Europa y Norteamérica, se compromete a no divulgar esas vulnerabilidades”, declara Richard Werner, asesor de ciberseguridad de Trend Micro.
A pesar de las aseveraciones de NSO Group, los programas espía han seguido atacando a periodistas, disidentes y manifestantes. La esposa del periodista y disidente saudí Jamal Khashoggi, Hanan Elatr, fue supuestamente objetivo de Pegasus antes de su muerte. En 2021, el periodista del New York Times, Ben Hubbard, se enteró de que su teléfono había sido objeto de Pegasus en dos ocasiones.
Pegasus se implantó silenciosamente en el iPhone de Claude Magnin, esposa del activista político Naama Asfari, encarcelado y presuntamente torturado en Marruecos. Pegasus también se ha utilizado para atacar a manifestantes prodemocráticos en Tailandia, a la periodista rusa Galina Timchenko y a funcionarios del Gobierno británico.
En 2021, Apple presentó una demanda contra NSO Group y su empresa matriz para responsabilizarla de “la vigilancia y selección de usuarios de Apple”.
El caso sigue en curso, con NSO Group intentando desestimar la demanda, pero los expertos opinan que el problema no va a desaparecer mientras los vendedores de software espía puedan operar.
David Ruiz, defensor de la privacidad de la empresa de seguridad, Malwarebytes, culpa a “los operadores obsesivos y opresivos que están detrás de los programas espía, que agravan su peligro para la sociedad”.
Nada que hacer
Si te enfrentas a un exploit zero-click que entrega spyware, los expertos creen que hay muy poco que puedas hacer para protegerte o restaurar la seguridad de tus dispositivos. “Lo mejor que puedes hacer si eres un objetivo es abandonar por completo tanto el hardware como cualquier cuenta asociada”, recomienda Aaron Engel, director de seguridad de la información de ExpressVPN. “Consigue una nueva computadora, obtén un nuevo número de teléfono y crea cuentas completamente nuevas vinculadas al dispositivo.”
Detectar spyware puede ser complicado, pero un comportamiento inusual, como que la batería se agote rápidamente, que se produzcan apagados inesperados o un uso elevado de datos, podría ser indicativo de una infección, según Javvad Malik, principal defensor de la concientización en seguridad de la organización KnowBe4. Aunque hay aplicaciones específicas que prometen detectar spyware, su eficacia puede variar, y a menudo es necesaria la ayuda de un profesional para una detección fiable, añade.
Señales de que algo anda mal
Chris Hauk, defensor de la privacidad de los consumidores en Pixel Privacy, está de acuerdo en que el agotamiento de la batería es un claro indicador de la presencia de spyware en el dispositivo: “La mayoría de los programas espía no se han desarrollado para funcionar de forma eficiente”, apunta.
Los usuarios también deben estar atentos a aplicaciones que no hayan instalado, redireccionamientos forzados debidos al secuestro de un navegador y cambios en la configuración de su navegador o motor de búsqueda predeterminado.
A principios de este año, el equipo de Kaspersky introdujo un método para detectar indicadores de infección de spyware para iOS como Pegasus, Reign y Predator. Es eficaz porque las infecciones de Pegasus dejan rastros en el registro inesperado del sistema, Shutdown.log, almacenado en el archivo sysdiagnose de los dispositivos iOS, de acuerdo con el equipo de seguridad.
Otra medida que puedes tomar para salvaguardar tu dispositivo es asegurarte de reiniciarlo al menos una vez al día. “Esto hace que los atacantes tengan que reinfectarlo repetidamente, lo que aumenta las posibilidades de detección con el tiempo”, señala Larin.
También puedes desactivar iMessage y FaceTime para reducir el riesgo de ser víctima de ataques de clic cero. Al mismo tiempo, mantén tu dispositivo actualizado con el software más reciente y evita hacer clic en enlaces recibidos en mensajes como correos electrónicos.
“Actualice a la última versión del software para protegerse de vulnerabilidades conocidas, utilice autenticación multifactor e instale únicamente aplicaciones de fuentes verificadas y legítimas”, recomienda Adam Price, analista de inteligencia sobre ciberamenazas de Cyjax.
Si llegas a ser víctima, existen líneas de ayuda para eliminar spyware, como la Digital Security Helpline de Access Now y el Security Lab de Amnistía Internacional. Por su parte, el modo de bloqueo de Apple, que desactiva algunas funciones pero resulta sorprendentemente útil, puede evitar que el iPhone se infecte.
Artículo publicado originalmente en WIRED. Adaptado por Mauricio Serfatty Godoy.