El riesgo cibernético está en constante aumento. Los ciberataques son ahora tan sofisticados que los usuarios se convierten en víctimas sin haber actuado ellos mismos ni haber cometido un error.

Lo que suena más a métodos de un thriller de espías es la realidad. La semana pasada se supo que había sido posible infiltrarse en el software de vigilancia Pegasus en iPhones, sin la intervención del usuario. Las vulnerabilidades de día cero en el software iMessage servían como una puerta de entrada. Pero, ¿qué hay exactamente detrás de los ataques sin clic? En nuestra entrada actual del blog, ofrecemos información.

No es el primer incidente con el spyware Pegasus

El spyware Pegasus se conoce desde 2016. Fue desarrollado por la empresa israelí NSO Group y se utiliza para espiar dispositivos Android e iOS. El software permite acceder a los datos sin ser detectados y enviarlos por Internet. El uso de Pegasus es bastante controvertido. La empresa ya atrajo la atención con titulares negativos en 2019. En ese momento, alrededor de 1.400 activistas de derechos humanos, periodistas y políticos eran vigilados mediante ataques de espionaje por Whatsapp . Según Cathcart, jefe de WhatsApp, estos ataques también se llevaron a cabo con la ayuda del software Pegasus en ese momento. Ahora el spyware vuelve a estar en el centro de atención. Esta vez, sin embargo, el hecho de que Pegasus pueda ser introducido de contrabando en los dispositivos sin ninguna actividad humana complica aún más las cosas. Con los llamados ataques de cero clic.

El peligro de los ataques sin clic

Este tipo de ataque conlleva un conjunto completamente nuevo de riesgos. Monika Bubela, analista de inteligencia de amenazas cibernéticas en Perseus, resume la situación de la amenaza de la siguiente manera:

«La mayor amenaza de los ataques de cero clic es que no requieren ninguna acción por parte de la víctima. No hay ningún enlace o mensaje sospechoso en el que la víctima tenga que hacer clic.»

Así, los sistemas pueden verse comprometidos sin ninguna interacción humana. Por ejemplo, solo recibir un mensaje manipulado puede ser suficiente para permitir que los atacantes tomen el control de los smartphones. Incluso un usuario muy atento con un sistema bien actualizado y parcheado puede convertirse fácilmente en víctima.

¿Qué hacen los ciberdelincuentes?

Para ataques de cero clic, los ciberdelincuentes explotan vulnerabilidades y vulnerabilidades que encuentran en el sistema operativo de dispositivos móviles o en las aplicaciones instaladas en el dispositivo.

Las llamadas vulnerabilidades de día cero son especialmente interesantes. Estas son vulnerabilidades de seguridad que aún no son conocidas por el fabricante del software y, por tanto, no han sido mitigadas ni parcheadas.

¡Atención! Solo con la instalación de las actualizaciones y parches de seguridad proporcionados se cierran estas brechas de seguridad en tu propio dispositivo y se evita una explotación activa de las vulnerabilidades por parte de los ciberdelincuentes.

(Nota del editor. En relación con el software espía Pegasus, los expertos aún no han dado el visto bueno de que una actualización del sistema operativo iOS 14.7 actual evitará la propagación de cero clics.)

Para los expertos:

Monika Bubela explica en detalle cómo los ciberdelincuentes pueden finalmente apoderarse de los dispositivos móviles:

«El malware en sí ‘jailbreaka’ un dispositivo iOS sin que el usuario lo sepa.» En seguridad de la información, un ‘jailbreak‘ describe el levantamiento no autorizado de restricciones sobre el uso de ordenadores u otros dispositivos móviles. Esto significa que ciertas funciones que el fabricante ha bloqueado por defecto ahora están disponibles.

«Para el mencionado ataque de cero clics de Pegasus a dispositivos iOS, significa que un tercero no autorizado obtiene acceso root al dispositivo iOS. Como resultado, Apple ya no es la única fuente de aplicaciones, permitiendo a un atacante descargar aplicaciones que no están verificadas por Apple en el dispositivo de la víctima. Los dispositivos Android también son vulnerables. Google es consciente de esto y está intentando ofrecer parches para el conocido malware como Pegasus.»

¿Qué puedes hacer?

En tu trabajo diario, probablemente no te enfrentarás a ataques de cero clic, al menos no todavía. Sin embargo, los acontecimientos de los últimos años muestran que los ataques de ciberdelincuentes se están volviendo cada vez más complejos. Así que tarde o temprano tendrás que lidiar con ataques de cero clic con más intensidad.

En este caso, los ataques sin clic, como ya se ha explicado, pueden afectar incluso a usuarios muy atentos. Por tanto, la protección completa es casi imposible, pero nos gustaría señalar medidas de protección importantes:

1. Realiza actualizaciones y actualizaciones al sistema operativo y a las aplicaciones instaladas de forma instantánea
2. Descargar e instalar aplicaciones solo desde las tiendas oficiales de iOS y Android
3. Lee nuestro artículo detallado sobre el tema: «Cómo proteger mejor tu smartphone»