La actualización urgente de Apple es lo último en la batalla entre los propietarios de un iPhone y los hackers
Este tipo de vulnerabilidades tienden a ser utilizadas contra objetivos de alto perfil y de alto riesgo - pero los usuarios normales de iPhone pueden verse atrapados en los ataques
El anuncio de Apple de una importante vulnerabilidad en el iPhone, y de una actualización urgente para solucionarla, podría hacer entrar en pánico a cualquiera que utilice uno.
Se ha instado a los usuarios de iPhones, iPads y Macs a que instalen la actualización tan pronto como puedan, para asegurarse de que no sean objeto de un hackeo que, al parecer, ya se ha utilizado contra algunas personas.
El peligro que supone una vulnerabilidad de este tipo es alto, aunque la solución sea sencilla. Y sus efectos podrían ser desastrosos, aunque la mayoría de la gente nunca sepa que existe.
Se trata del último episodio importante de una batalla por el control y el acceso a los iPhones. Por un lado están los hackers -a menudo empleados por los gobiernos- que buscan constantemente una forma de entrar en el dispositivo; por otro lado está Apple, los expertos en seguridad y los propios propietarios de un iPhone.
No es ni mucho menos la primera vez que Apple lanza una actualización de seguridad urgente de este tipo. Pero la más reciente es menos común en el sentido de que Apple ha revelado que ya podría haber sido explotada: solo ha habido un puñado de ejemplos de este tipo de ataques a lo largo de la historia del iPhone.
Sin embargo, es casi seguro que habrá más. Cualquier dispositivo que esté conectado a Internet es un objetivo potencial para los hackers, y nunca existe la seguridad perfecta para siempre.
A pesar de esto, para la mayoría, arreglar el problema es bastante sencillo: los usuarios pueden descargar e instalar la actualización, que parcha la vulnerabilidad, y vuelven a ser tan seguros como antes.
Pero para Apple y sus clientes de mayor riesgo, esto no es más que lo último en una batalla continua para tratar de mantener a los usuarios a salvo. Para los propios hackers, se trata de un raro y valioso éxito en esa lucha.
Los hackers buscan siempre bugs (fallas) de este tipo, para poder venderlos. Probablemente el ejemplo más famoso sea Pegasus, un software espía que se cree que ha sido utilizado por varios gobiernos y que permite acceder a los iPhones, momento en el que los hackers son capaces de leer los mensajes de las personas, seguir su ubicación y escucharlas y observarlas a través de su micrófono y cámara.
Un software tan potente solo es posible porque existe todo un mercado para encontrar este tipo de bugs. Si un pirata informático encuentra un problema importante como el que se aborda en la nueva actualización de software, tiene la opción de venderlo a las empresas de software espía, que a su vez pueden convertirlo en un arma y venderlo a organizaciones como los Estados nacionales, que pueden desplegarlo contra los disidentes u otros enemigos.
Para intentar contrarrestar este mercado de vulnerabilidades, las empresas tecnológicas ofrecen “recompensas por detectar bugs”, pagos que pretenden incentivar a los investigadores de seguridad para que entreguen los bugs a las empresas responsables, en lugar de venderlos a personas que pretenden utilizarlos para ciberataques.
En el pasado, Apple ha sido criticada tanto por el valor como por la eficiencia de su programa de recompensas por bugs, y hay investigadores que argumentan que deberían recibir más y que los problemas no reciben un seguimiento rápido y eficiente. Pero Apple ofrece una cantidad considerable de dinero por los bugs: desde US$100.000 por encontrar una forma de evitar la pantalla de bloqueo del iPhone o conseguir los datos de la cuenta de iCloud, hasta un millón de dólares por los bugs más profundos, que permiten acceder a las partes más profundas del teléfono sin ni siquiera tocarlo.
La lista de actualizaciones de seguridad de Apple deja claro la frecuencia con la que se encuentran esos problemas y lo perjudiciales que pueden ser. La última actualización se publicó el miércoles y fue atribuida a un investigador anónimo -que al parecer habrá ganado una cantidad considerable por haberla encontrado-, pero antes de eso ha habido una actualización de seguridad crítica emitida casi una vez al mes en 2022.
Puede ser difícil saber la importancia de estos ataques, en especial porque Apple y otras empresas tecnológicas mantienen esa información en secreto, para asegurarse de que no puedan ser utilizados. Si Apple revelara la naturaleza del ataque, también podría dar a los hackers una pista sobre cómo utilizarlo.
“Para la protección de nuestros clientes, Apple no revela, discute o confirma los problemas de seguridad hasta que se ha producido una investigación y los parches o nuevas versiones están disponibles de forma general”, escribe en su sitio web. También es una estipulación del programa de recompensas por errores que los hackers no deben hablar del problema antes de que se haya solucionado.
Sin embargo, incluso con estas actualizaciones, el iPhone no puede ser seguro por completo. Los hackers siempre están buscando formas de entrar en los dispositivos, y a veces las encuentran; ningún dispositivo puede ser perfectamente seguro, algo que incluso la propia Apple ha reconocido en sus actualizaciones.
El mes pasado, Apple anunció la introducción del “Modo de confinamiento”. Su existencia es un reconocimiento del hecho de que siempre habrá cierta tensión entre las funciones útiles de los teléfonos y la seguridad total, y que no siempre es posible tener ambas cosas.
Cuando un usuario activa ese modo, deja claro que el teléfono “no funcionará como lo hace de forma habitual”. También aclara que solo está pensado para aquellos que puedan ser objetivo personal de este tipo de ataques.
“El modo de confinamiento es una protección extrema y opcional que solo debe utilizarse si crees que puedes ser el objetivo personal de un ciberataque muy sofisticado”, se lee. “La mayoría de las personas nunca son objetivo de ataques de esta naturaleza”.
Apple no dio ninguna orientación explícita sobre quién debe considerarse el tipo de usuario de alto riesgo que debe activar el modo. Pero sí sugirió que las personas que pertenecen a ese grupo ya lo sabrán; si no tienes razones para sospechar que podrías ser víctima de un hackeo de este tipo, lo más probable es que no lo hagas.
Esto se debe, en parte, a que la explotación de estas vulnerabilidades suele suponer también una alerta para las empresas y los expertos en seguridad sobre su existencia, lo que a su vez puede significar que sean parchadas; el potente programa espía Pegasus, por ejemplo, fue descubierto cuando los atacantes intentaron utilizarlo contra un activista de los derechos humanos. El propio hecho de utilizar una vulnerabilidad hace que esta se debilite, por lo que solo se utilizan en objetivos de alto perfil que merezcan el riesgo.
Utilizar este tipo de ataques también es un trabajo duro, y no del tipo que se puede hacer en masa. Para ganar acceso a los teléfonos, se utiliza un enlace o archivo sospechoso, por ejemplo, que debe enviarse específicamente a un usuario, quien a su vez debe abrirlo.
Esto no significa que el peligro no sea importante para alguien que no se considere de alto riesgo, sin embargo, los expertos en seguridad instan a los usuarios a instalar las actualizaciones tan pronto como estén disponibles.
“Aunque la vulnerabilidad podría permitir a los autores de la amenaza tomar el control total de un dispositivo, mantén la calma y solo toma el control de tus dispositivos y descarga las actualizaciones de software disponibles en Apple”, dijo Sam Curry, jefe de seguridad de Cybereason.
“Haz eso y sigue con tu vida”.