El anuncio de Apple de una importante vulnerabilidad en el iPhone, y de una actualización urgente para solucionarla, podría hacer entrar en pánico a cualquiera que utilice uno.
Se ha instado a los usuarios de iPhones, iPads y Macs a que instalen la corrección lo antes posible, para asegurarse de que no son el objetivo de un pirateo informático que ya parece haber sido utilizado en algunas personas.
El peligro que supone una vulnerabilidad de este tipo es alto, aunque la solución sea sencilla. Y sus efectos podrían ser desastrosos, aunque la mayoría de la gente nunca sepa que existe.
Es el último gran estallido de una batalla por el control y la entrada en los iPhones. Por un lado están los piratas informáticos -a menudo empleados por los gobiernos- que buscan constantemente una forma de entrar en el dispositivo; por otro, Apple, los expertos en seguridad y los propios propietarios de iPhone.
No es ni mucho menos la primera vez que Apple lanza una actualización de seguridad urgente de este tipo. Pero la más reciente es menos común en el sentido de que Apple ha revelado que ya podría haber sido explotada: sólo ha habido un puñado de ejemplos de este tipo de ataques a lo largo de la historia del iPhone.
Sin embargo, es casi seguro que habrá más. Cualquier dispositivo conectado a Internet es un objetivo potencial para los hackers, y la seguridad perfecta nunca existe.
Sin embargo, para la mayoría, arreglar el problema es bastante sencillo: los usuarios pueden descargar e instalar la actualización, que parchea la vulnerabilidad, y vuelven a ser tan seguros como pueden ser.
Pero para Apple y sus clientes de mayor riesgo, esto no es más que lo último en una batalla continua para intentar mantener a los usuarios a salvo. Para los propios hackers, es un éxito raro y valioso en esa lucha.
Los piratas informáticos buscan constantemente bugs de este tipo, para poder venderlos. Probablemente el ejemplo más famoso sea Pegasus, un software espía que se cree que ha sido utilizado por varios gobiernos y que permite acceder a los iPhones, momento en el que los hackers son capaces de leer los mensajes de las personas, seguir su ubicación y escucharlas y observarlas a través de su micrófono y cámara.
Un software tan potente sólo ha sido posible porque existe todo un mercado para encontrar esos fallos. Si un pirata informático encuentra un problema importante como el que se aborda en la nueva actualización de software, tiene la opción de venderlo a las empresas de software espía; estas empresas de software espía pueden entonces convertirlo en un arma y venderlo a organizaciones como los estados nacionales, que pueden desplegarlo contra los disidentes u otros enemigos.
Para intentar contrarrestar este mercado de vulnerabilidades, las empresas tecnológicas ofrecen “recompensas por fallos”, pagos que pretenden incentivar a los investigadores de seguridad para que entreguen los fallos a las empresas responsables, en lugar de venderlos a personas que pretenden utilizarlos para ciberataques.
En el pasado, Apple ha sido criticada tanto por el valor como por la eficiencia de su programa de recompensas por fallos, con investigadores que argumentan que deberían recibir más y que los problemas no son seguidos con la suficiente rapidez. Sin embargo, Apple ofrece una cantidad considerable de dinero por los bugs: desde 100.000 dólares por encontrar una forma de evitar la pantalla de bloqueo del iPhone o conseguir los datos de la cuenta de iCloud, hasta un millón de dólares por los bugs más profundos, que permiten acceder a las partes más profundas del teléfono sin ni siquiera tocarlo.
La lista de actualizaciones de seguridad de Apple deja claro la frecuencia con la que se encuentran esos problemas y lo perjudiciales que pueden ser. La última actualización se publicó el miércoles y se atribuyó a un investigador anónimo -que presumiblemente habrá ganado una cantidad considerable por encontrarla-, pero antes de eso ha habido una actualización de seguridad crítica emitida casi una vez al mes en 2022.
Puede ser difícil saber la importancia de estos ataques precisamente porque Apple y otras empresas tecnológicas mantienen esa información en secreto, para asegurarse de que no puedan ser utilizados. Si Apple revelara la naturaleza del ataque, también podría dar a los hackers una pista sobre cómo utilizarlo.
“Para la protección de nuestros clientes, Apple no revela, discute o confirma los problemas de seguridad hasta que se ha producido una investigación y los parches o lanzamientos están generalmente disponibles”, escribe en su página web. También es una estipulación del programa de recompensas por errores que los hackers no deben hablar del problema antes de que se haya solucionado.
Sin embargo, incluso con estas actualizaciones, el iPhone no puede ser totalmente seguro. Los hackers siempre están buscando formas de entrar en los dispositivos, y a veces las encuentran; ningún dispositivo puede ser perfectamente seguro, algo que incluso la propia Apple ha reconocido en sus actualizaciones.
El mes pasado, Apple anunció la introducción del “Modo de bloqueo”. SuLa existencia es un reconocimiento del hecho de que siempre habrá cierta tensión entre las características útiles de los teléfonos y la seguridad total, y que no siempre es posible tener ambas cosas.
Cuando un usuario activa ese modo, deja claro que el teléfono “no funcionará como lo hace habitualmente”. También deja claro que sólo está pensado para aquellos que puedan ser objetivo personal de dichos ataques.
“El modo de bloqueo es una protección extrema y opcional que sólo debe utilizarse si crees que puedes ser el objetivo personal de un ciberataque muy sofisticado”, se lee. “La mayoría de las personas nunca son objetivo de ataques de esta naturaleza”.
Apple no dio ninguna orientación explícita sobre quién debe considerarse el tipo de usuario de alto riesgo que debe activar el modo. Pero sí sugirió que cualquier persona que pertenezca a ese grupo ya lo sabrá; si no tienes razones para sospechar que podrías ser víctima de un hackeo de este tipo, entonces probablemente no lo harás.
Esto se debe, en parte, a que la explotación de estas vulnerabilidades a menudo significa también alertar a las empresas y a los expertos en seguridad del hecho de que existen, lo que a su vez puede significar que podrían ser parcheadas; el potente software espía Pegasus, por ejemplo, se descubrió cuando los atacantes intentaron utilizarlo contra un activista de los derechos humanos. El mero hecho de utilizar un exploit significa que se debilita, por lo que generalmente sólo se utilizan en objetivos de alto perfil que merezcan el riesgo.
Utilizar este tipo de ataques también es un trabajo duro, y no del tipo que se puede hacer en masa. Los teléfonos se suelen introducir con un enlace o archivo sospechoso, por ejemplo, que debe enviarse específicamente a un usuario que debe abrirlo.
Sin embargo, nada de eso significa que el peligro no sea importante para alguien que no se considere de alto riesgo, y los expertos en seguridad instan, no obstante, a los usuarios a instalar las actualizaciones tan pronto como estén disponibles.
“Aunque la vulnerabilidad podría permitir a los actores de amenazas tomar el control total de un dispositivo, mantenga la calma y simplemente controle sus dispositivos y descargue las actualizaciones de software disponibles en Apple”, dijo Sam Curry, jefe de seguridad de Cybereason.
“Haz eso y sigue adelante”.
Comments