in

Solo mirar ese mensaje podría comprometer su dispositivo

screen post lYQvb5qgDnY unsplash 6c03186d7f9d4fd7a4fbb71c799e30bf

Conclusiones clave

  • Al analizar el escándalo de espionaje descubierto por Citizen Lab, los investigadores de seguridad de Google descubrieron un mecanismo de ataque novedoso conocido como exploit de clic cero.
  • Las herramientas de seguridad tradicionales, como los antivirus, no pueden evitar las vulnerabilidades de seguridad sin hacer clic.
  • Apple ha detenido uno, pero los investigadores temen que haya más exploits sin clic en el futuro.

Publicación en pantalla / Unspalsh.com



Seguir las mejores prácticas de seguridad se considera un curso de acción prudente para mantener seguros dispositivos como computadoras portátiles y teléfonos inteligentes, o lo era hasta que los investigadores descubrieron un nuevo truco que es prácticamente indetectable.


Mientras analizan el error de Apple recientemente parcheado que se usó para instalar el software espía Pegasus en objetivos específicos, los investigadores de seguridad del Proyecto Cero de Google descubrieron un nuevo e innovador mecanismo de ataque que llamaron «vulneración de clic cero», que ningún antivirus móvil puede frustrar.


«Aparte de no usar un dispositivo, no hay forma de evitar la explotación mediante un ‘exploit sin clic’; es un arma contra la cual no hay defensa», afirmaron los ingenieros de Google Project Zero, Ian Beer y Samuel Groß, en una publicación de blog.



el monstruo de frankenstein

El software espía Pegasus es una creación de NSO Group, una empresa de tecnología israelí que ahora se ha agregado a la «Lista de entidades» de EE. UU., que esencialmente lo excluye del mercado estadounidense.


«No está claro cuál es una explicación razonable de la privacidad en un teléfono celular, donde a menudo hacemos llamadas muy personales en lugares públicos. Pero ciertamente no esperamos que alguien escuche en nuestro teléfono, aunque eso es lo que Pegasus permite que la gente haga ”, explicó Saryu Nayyar, CEO de la empresa de ciberseguridad Gurucul, en un correo electrónico a Lifewire.


«Como usuarios finales, siempre debemos tener cuidado al abrir mensajes de fuentes desconocidas o no confiables, sin importar cuán atractivo sea el asunto o el mensaje…»

El software espía Pegasus saltó a la fama en julio de 2021, cuando Amnistía Internacional reveló que se utilizaba para espiar a periodistas y activistas de derechos humanos en todo el mundo.


A esto le siguió una revelación de los investigadores de Citizen Lab en agosto de 2021, luego de que encontraron evidencia de vigilancia en los iPhone 12 Pro de nueve activistas de Bahrein a través de un exploit que evadió las últimas protecciones de seguridad en iOS 14 conocidas colectivamente como BlastDoor.


De hecho, Apple ha presentado una demanda contra NSO Group, responsabilizándolo por eludir los mecanismos de seguridad del iPhone para vigilar a los usuarios de Apple a través de su software espía Pegasus.


“Los actores patrocinados por el estado como NSO Group gastan millones de dólares en tecnologías de vigilancia sofisticadas sin una responsabilidad efectiva. Eso debe cambiar”, dijo Craig Federighi, vicepresidente senior de Ingeniería de Software de Apple, en el comunicado de prensa sobre la demanda.


En la publicación de dos partes de Google Project Zero, Beer y Groß explicaron cómo NSO Group introdujo el spyware Pegasus en los iPhones de los objetivos utilizando el mecanismo de ataque de clic cero, que describieron como increíble y aterrador.


Un exploit de cero clics es exactamente lo que parece: las víctimas no necesitan hacer clic ni tocar nada para verse comprometidas. En cambio, simplemente ver un correo electrónico o mensaje con el malware ofensivo adjunto le permite instalarlo en el dispositivo.


Calle Jamie / Unsplash.com




Impresionante y peligroso

Según los investigadores, el ataque comienza a través de un mensaje nefasto en la aplicación iMessage. Para ayudarnos a descifrar la metodología de ataque bastante compleja ideada por los piratas informáticos, Lifewire solicitó la ayuda del investigador de seguridad independiente Devanand Premkumar.


Premkumar explicó que iMessage tiene varios mecanismos integrados para manejar archivos .gif animados. Uno de estos métodos verifica el formato de archivo específico usando una biblioteca llamada ImageIO. Los piratas informáticos utilizaron un «truco gif» para explotar una debilidad en la biblioteca de soporte subyacente, llamada CoreGraphics, para obtener acceso al iPhone de destino.


«Como usuarios finales, siempre debemos tener cuidado al abrir mensajes de fuentes desconocidas o no confiables, sin importar cuán atractivo sea el tema o el mensaje, ya que se utiliza como el punto de entrada principal al teléfono móvil», aconsejó Premkumar a Lifewire en un correo electrónico.


Premkumar agregó que solo se sabe que el mecanismo de ataque actual funciona en iPhones mientras repasaba los pasos que Apple ha tomado para eliminar la vulnerabilidad actual. Pero aunque el ataque actual se ha reducido, el mecanismo de ataque ha abierto la caja de Pandora.


Sara Kurfeß / Unsplash



«Los exploits de clic cero no van a desaparecer pronto. Habrá más y más de estos exploits de clic cero probados e implementados contra objetivos de alto perfil para los datos confidenciales y valiosos que se pueden extraer de los teléfonos móviles de los usuarios explotados. dijo Premkumar.


Mientras tanto, además de la demanda contra NSO, Apple decidió brindar asistencia técnica, de inteligencia de amenazas e ingeniería a los investigadores de Citizen Lab de forma gratuita y prometió ofrecer la misma asistencia a otras organizaciones que realizan un trabajo crítico en este espacio.


Además, la compañía ha llegado al extremo de contribuir $10 millones, así como todos los daños otorgados por la demanda para apoyar a las organizaciones involucradas en la defensa e investigación de abusos de vigilancia cibernética.

What do you think?

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

IMG 6913 a02aa35edac94a18a5803877a754839f

Los teclados Clicky pueden parecer más geniales, pero no siempre son mejores

GettyImages 537512969 45b5ae6600694d19bcf958955a0fb8f6

Honor se burla de su primer teléfono inteligente plegable, el Magic V