Cómo el modo "Lockdown Mode" del iPhone frustró un ataque con Pegasus a personalidades influyentes de México

Iphone 14
Sin comentarios Facebook Twitter Flipboard E-mail

Hay una falsa creencia de que los iPhone son inmunes a los ciberataques. Si bien los teléfonos inteligentes de Apple se encuentran entre los más seguros del mercado, también pueden acabar infectados por sistemas sofisticados, aunque estos generalmente están al alcance de una minúscula parte de las personas interesadas en tal fin.

Esta realidad se hizo más presente cuando salió a la luz la existencia de Pegasus, un software espía desarrollado por la compañía NSO que permite vulnerar la seguridad de los dispositivos iOS. Esto lo consigue gracias a que se aprovecha de vulnerabilidades de día cero, es decir, que son desconocidas por el fabricante del dispositivo.

El software que pone en jaque la seguridad del iPhone

Las vulnerabilidades, cabe señalar, están presentes en todas partes. Se podría decir que exceden el mundo digital. Por ejemplo, si un ladrón puede abrir una puerta utilizando una ganzúa está aprovechándose de una debilidad de diseño que permitió utilizar esta herramienta. El fabricante podría rediseñar la cerradura para hacerla más segura.

En los sistemas informáticos, que son enormemente más complejos y están compuestos por diferentes módulos complementarios, también se presenta este escenario. Muchas debilidades están ahí, solo que salen a la luz cuando alguien (un atacante o un investigador de ciberseguridad) las descubre. Es decir, no hay sistemas 100% seguros.

Partiendo desde esta base, Apple lanzó el año pasado una característica de seguridad opcional y extrema para limitar la efectividad de ataques sofisticados como los de Pegasus. Estamos hablando de el modo de aislamiento o Lockdown Mode que llegó con iOS 16. Meses después de su introducción finalmente la vemos en acción.

La información nos llega desde Citizen Lab, un prestigioso laboratorio de ciberseguridad que lleva bastante tiempo trabajando con amenazas y colaborando con los fabricantes de los dispositivos para mitigar su efecto dañino. En este caso, debemos viajar hasta México para encontrarnos con los detalles de varios ataques sofisticados.

El equipo de expertos llevó a cabo durante 2022 una investigación conjunta con la organización mexicana Red en Defensa de los Derechos Digitales (R3D) que dio como resultado el hallazgo de tres exploits utilizados por el software espía israelí para ejecutar ataques no solo dentro del país latinoamericano, sino también en otras partes del mundo.

Pegasus Ataque 2

Dos de los exploits, FINDMYPWN y LATENTIMAGE, consiguieron pasar por alto las medidas de seguridad de los dispositivos de la manzana. Por consecuencia, los teléfonos inteligentes de las víctimas, que funcionaban con iOS 15 e iOS 16 fueron infectados en varias ocasiones. El panorama cambió completamente con Lockdown Mode en escena.

“No hemos visto que PWNYOURHOME (el exploit teóricamente más avanzado de NSO) se use con éxito contra ningún dispositivo en el que el modo de bloqueo esté habilitado”, dicen los investigadores acerca de la efectividad de esta herramienta. Además, explican en profundidad cómo su activación alerta a los usuarios del intento de ataque.

Iphone 12

PWNYOURHOME es un nuevo exploit de clic cero de dos fases. Sin entrar en demasiados detalles podemos decir que se trata de una forma de aprovechar vulnerabilidades de iOS sin interacción del usuario. Una fase apunta a la funcionalidad HomeKit integrada en el sistema (se cree que no importa que no se la esté utilizando) y otra a iMessage.

En general, en un escenario de ataque efectivo en primer lugar se explota la seguridad de HomeKit y se registra una dirección de correo electrónico del actor malintencionado. Después entra en juego iMessage, que descarga imágenes PNG cuyo procesamiento de metadatos desencadena una serie de eventos que permiten tomar el control del dispositivo.

Pegasus Ataque 1 Ilustración basada en la notificación de alerta que recibieron los usuarios

Cuando el modo de bloqueo está activado y un atacante quiere comprometer la seguridad de un iPhone con Pegasus, la víctima recibe una notificación de alerta. Asimismo, gracias a las funciones desactivadas en iOS por la función de seguridad, el software no encuentra campo de acción para comprometer la seguridad del dispositivo y ataque se ve frustrado.

Si bien desde Citizen Lab recomiendan a “todos los usuarios en riesgo” activar el modo de bloqueo, es preciso señalar que esta funcionalidad desactiva gran parte de las funcionalidades del equipo. Por ejemplo, bloquea la mayoría de tipos de archivos adjuntos y otras prestaciones, como los enlaces y vistas previas de enlaces.

Lo mencionado únicamente corresponde a iMessage, porque esta función de protección avanzada también establece restricciones en Safari, FaceTime, HomeKit y más. En cualquier caso, advierten, el riesgo de Pegasus no desaparece completamente, y existe la posibilidad de que NSO también encuentre la forma de vulnerar esta medida de seguridad.

Imágenes: Citizen Lab | DuoNguyen

En Xataka: Filtrada la magnitud del spyware israelí Pegasus: miles de periodistas y opositores espiados por gobiernos de todo el mundo (incluido España)

Inicio