Gran brecha de seguridad en Apple: hay que actualizar los iPhone, Mac y relojes

Apple publicó este miércoles actualizaciones para los sistemas operativos de sus teléfonos iPhone, sus ordenadores Mac y sus relojes Watch. El análisis de estas actualizaciones ha permitido a la comunidad de ciberseguridad saber que el motivo de su publicación es el cierre de agujeros de seguridad que no eran conocidos por los técnicos de Apple. Hay indicios de que estas vulnerabilidades han sido aprovechadas por ciberdelincuentes en ataques de espionaje, pero no se conoce con precisión a qué escala.

El Instituto Nacional de Ciberseguridad (Incibe) ha emitido una alerta de nivel 5 (importancia “crítica”) y ha llamado a actualizar de inmediato los iPhone, Mac y Watch. “Georgy Kucherin, Leonid Bezvershenko y Boris Larin, de Kaspersky, han informado a Apple sobre tres vulnerabilidades 0day que podrían permitir a un atacante ejecutar código arbitrario”, detalla.

Los investigadores de la firman de ciberseguridad rusa Kaspersky publicaron a principios de junio la descripción de un ataque que habían sufrido los propios ejecutivos de la compañía. “Nuestros expertos han descubierto un ciberataque profesional extremadamente complejo que utiliza los dispositivos móviles de Apple. El objetivo del ataque es la colocación discreta de spyware en los iPhones de los empleados de al menos nuestra empresa, tanto de mandos intermedios como superiores”, expusieron.

La firma ha denominado a este troyano “Triangulation”. No requiere que el usuario haga ninguna acción para comprometer su dispositivo. Llega a través de un iMessage invisible que aprovecha las vulnerabilidades detectadas para colarse en el sistema operativo y ejecutar un programa espía. “A continuación, el spyware transmite silenciosamente información privada a servidores remotos: grabaciones del micrófono, fotos de mensajería instantánea, geolocalización y datos sobre otra serie de actividades del propietario del dispositivo infectado”, detallaron sus investigadores.

El spyware transmite silenciosamente información privada a servidores remotos: grabaciones del micrófono, fotos de mensajería instantánea, geolocalización y datos sobre otra serie de actividades

Triangulation aprovecha dos agujeros concretos, uno en el kernel y otro en el WebKit de Apple. El kernel es el software que actúa como intermediario entre el hardware de los dispositivos y las aplicaciones que se ejecutan en ellos. Su principal función es gestionar los recursos del sistema, permitiendo que los programas y procesos puedan comunicarse con el hardware de manera eficiente. WebKit por su parte es un motor de renderizado de código abierto utilizado en el navegador Safari. Su misión es transformar el código fuente de una página web en el diseño y contenido que se muestra en la pantalla del usuario.

“Caja negra”

En una actualización posterior de su informe, la firma de ciberseguridad reveló que el troyano no se ha diseñado específicamente para atacar a sus directivos: “Estamos seguros de que Kaspersky no era el objetivo principal de este ciberataque”, aseveraron, responsabilizando a Apple y su sistema de “caja negra” de que la vulnerabilidad no se hubiera podido detectar antes.

“Creemos que la razón principal de este incidente es la naturaleza propietaria de iOS. Este sistema operativo es una ”caja negra“, en la que programas espía como Triangulation pueden esconderse durante años. Detectar y analizar este tipo de amenazas es aún más difícil por el monopolio de Apple de las herramientas de investigación, lo que lo convierte en un refugio perfecto para el spyware”, han denunciado: “Los expertos en ciberseguridad desconocen lo que ocurre realmente en iOS, y la ausencia de noticias sobre ataques no indica en absoluto que sean imposibles, como acabamos de ver”.

Apple no ha hecho declaraciones sobre el informe de Kaspersky, pero la actualización de seguridad publicada esta semana ha corregido las vulnerabilidades detectadas por la firma a principios de mes. Este tipo de ataques se vende a menudo en los bajos fondos de Internet, como ha publicado elDiario.es en un reciente reportaje: 100 infecciones con un spyware de alta calidad valen en torno a 5.000 dólares.

Kaspersky ha estado en el punto de mira de la comunidad internacional desde la invasión rusa de Ucrania. Alemania llegó a denunciar que sus antivirus podrían utilizarse como herramientas de espionaje por el Kremlin y llamó a sus ciudadanos y empresas a desinstalarlos a principios de la ofensiva. La firma dice que estos avisos se basan en “motivos políticos” y ha seguido investigando este tipo de vulnerabilidades, aunque ha perdido clientes desde entonces. Su fundador, Eugene Kaspersky, ha tratado de mantener una posición neutral y se ha mostrado partidario de las negociaciones entre Kiev y Moscú.