• El malware era capaz de robar contraseñas, mensajes cifrados y contactos
• No está claro quién ideó la campaña de hackeo ni quién era el objetivo
• Quienes han actualizado su iPhone, están protegidos

Agencias / MonitorSur, Ciudad de México.- El mayor ciberataque conocido contra los usuarios de iPhone duró al menos dos años y afectó a miles de personas, según una investigación publicada por Google.

El malware podía acceder a cualquier iPhone para robar contraseñas, mensajes cifrados, ubicación, contactos y otra información confidencial. Luego, los datos se enviaban a un servidor de comando y control que los hackers utilizaban para ejecutar la operación. El alcance, la ejecución y la duración de este ciberataque sin precedentes apuntan a una posible operación respaldada por algún gobierno, pero la identidad de los hackers y sus objetivos todavía se desconoce.

“Los datos que han robado son los ‘jugosos’. Si se toman todas las contraseñas, datos de ubicación, chats, contactos, etcétera, se puede construir una red en la sombra con las conexiones de todas las víctimas. Seguramente en ella se podrán encontrar objetivos interesantes con seis grados de separación”, explica el autor de tres libros sobre el funcionamiento interno de los sistemas operativos de Apple Jonathan Levin.

Apple parcheó rápidamente el error en febrero de 2019, así que todos los que hayan actualizado su iPhone desde entonces están protegidos. Pero, aunque al reiniciar el iPhone se borra el malware, los previos datos ya fueron robados. Y todavía no se sabe exactamente quienes han sido los usuarios afectados. Las víctimas probablemente no serán conscientes porque el malware se ejecuta en un segundo plano sin indicador visual y no hay forma de que un usuario de iOS vea qué procesos se están ejecutando en su dispositivo.

En enero de 2019, el Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) de Google, compuesto por especialistas en contraespionaje, descubrió una serie de páginas web hackeadas que introducían el malware a miles de visitantes por semana. La táctica se conoce como ataque tipo pozo: los hackers infectan con malware páginas web cuidadosamente seleccionadas y esperan a que lleguen los visitantes para acabar infectados. Basta con visitar la página para descargar el malware.

Entre los hallazgos de Google figuran cinco “cadenas de explotación” ejecutadas en un período de años y 14 vulnerabilidades, de las cuales, al menos una era de día cero. Este término describe un error explotable no descubierto por una empresa como Apple. Cuando una cadena de explotación se quedaba inutilizada por un parche de Apple, el hacker pasaba rápidamente a la siguiente.

TAG transmitió la información a Apple, quen lanzó el parche 12.1.4 de iOS el 7 de febrero con la solución, así como a otros dentro de Google. El Proyecto Cero de Google, el equipo de análisis de seguridad de la compañía, lleva los últimos siete meses diseccionando estos errores.

El experto de Google Ian Beer detalla “No hubo discriminación de objetivos; bastaba con visitar la página hackeada para que el servidor atacara el dispositivo, y si tenía éxito, instalaba un implante de control. Calculamos que estas páginas web reciben miles de visitantes por semana“.

No está claro quién acabó afectado. El Proyecto Cero de Google no ha revelado esta información ni las páginas web infectadas. Parece poco probable que Apple y Google tengan un recuento completo de las víctimas, pero podría haber otras pistas, como las poblaciones que suelen visitar páginas web infectadas.

Entonces, ¿quién está detrás de esto? Existe toda una industria de hackeo ofensivo que crea y vende herramientas de hackeo a gobiernos y empresas de todo el mundo. El más famoso es NSO Group, pero sus herramientas también han sido atacadas. Levin cree que las señales apuntan a que hay un estado detrás de este ataque, ya que el modelo utilizado no está dentro del alcance típico de un pequeño hacker o empresa.

La revelación se ha propagado instantáneamente por toda la industria de la ciberseguridad. “Esta es la primera vez que se demuestra que tales vulnerabilidades se utilizan de forma masiva, indiscriminadamente como ‘red de pesca’ contra cualquier persona desprevenida que visa páginas web infectadas”, afirma Levin. Una de las víctimas más notables del malware para iPhone es el activista de derechos humanos conocido mundialmente y encarcelado por criticar al Gobierno de Emiratos Árabes Unidos, Ahmed Mansoor, apodado como “el disidente de un millón de dólares” debido al alto coste del malware que se utilizó para hackear su iPhone y espiarlo.

Hasta ahora, el uso de estas armas era poco común y siempre estaba muy dirigido, dado su alto coste. Atacar el sistema operativo iOS de Apple, el software del iPhone y también del iPad, es un proceso complejo y costoso. “Atacar el iOS requiere evadir y atravesar las enormes y múltiples capas de defensa de Apple“, explica Levin. El descubrimiento de Google tira por tierra algunas de esas suposiciones.

También alterará las percepciones sobre la seguridad de los iPhones. Las personas de alto riesgo, como periodistas, abogados y activistas, usan iPhone con la esperanza de que estos dispositivos proporcionen una defensa real contra los hackers que, en algunos casos, pueden suponer una amenaza de vida o muerte.

Beer concluye: “Los usuarios reales toman decisiones de riesgo basadas en la percepción pública de la seguridad de estos dispositivos. Pero la realidad es que las protecciones de seguridad nunca eliminarán el riesgo de ataque si somos un objetivo”.