Un fallo de seguridad de Apple es ‘explotado activamente’ por hackers

Se aconsejó a los usuarios de Apple que actualicen inmediatamente sus iPhones, iPads y Macs para protegerse de un par de vulnerabilidades de seguridad que pueden permitir que los atacantes tomen el control absoluto de sus dispositivos.

En ambos casos, indicó Apple, existen informes creíbles de que los hackers ya están abusando de las vulnerabilidades con el fin de atacar a los usuarios.

Una de las fallas del software afecta el núcleo, la capa más profunda del sistema operativo que todos los dispositivos tienen en común, explicó Apple. La otra afecta el WebKit, la tecnología subyacente del navegador web Safari.

En relación con cada uno de los errores, la empresa señaló que “tenía conocimiento de un informe en el que se indicaba que este problema podía haber sido explotado activamente”, aunque no proporcionó mayores detalles. La empresa atribuyó la revelación de ambos errores a un investigador o investigadores anónimos.

Todo aquel que tenga un iPhone que haya salido a la venta desde 2015, un iPad que haya salido a la venta desde 2014 o una Mac que ejecute macOS Monterey puede descargar la actualización accediendo al menú de ajustes de su dispositivo móvil o eligiendo “actualización de software” en el menú “sobre esta Mac” de su computadora.

Rachel Tobac, la CEO de SocialProof Security, comentó que la explicación de Apple sobre dicha vulnerabilidad significa que un hacker podría obtener “acceso completo de administrador al dispositivo”, de modo que puede “ejecutar cualquier código como si fuera tú, el usuario”.

Las personas que deberían prestar especial atención a la actualización de su software son “las personas que están bajo la mirada pública”, como los activistas o los periodistas, que podrían ser objeto de una sofisticada actividad de espionaje por parte de los estados naciones, señaló Tobac.

Hasta que se publicó la corrección de los errores el miércoles, las vulnerabilidades habrán sido clasificadas como errores de “día cero”, debido a que no hubo una corrección disponible para ellos en ningún momento. Estas debilidades son sumamente valiosas en el mercado abierto, donde los intermediarios de armas cibernéticas las compran por cientos de miles o millones de dólares.

La empresa intermediaria Zerodium, por ejemplo, pagará “hasta 500 mil dólares” por un fallo de seguridad que pueda ser utilizado para hackear a un usuario a través de Safari, y hasta 2 millones de dólares por una pieza de malware plenamente desarrollada que pueda hackear un iPhone sin que el usuario tenga que hacer clic en ningún sitio. La empresa señala que sus clientes para este tipo de debilidades son “instituciones gubernamentales (principalmente de Europa y Norteamérica)”.

Las empresas de software espía comerciales, como la israelí NSO Group, son conocidas por identificar y aprovechar esos fallos, explotándolos en programas maliciosos que infectan secretamente los teléfonos inteligentes de los objetivos, desviando su contenido y vigilando a los objetivos en tiempo real.

El Departamento de Comercio de Estados Unidos incluyó a NSO Group en su lista negra. Se sabe que su software espía se ha utilizado en Europa, Oriente Medio, África y América Latina contra periodistas, disidentes y activistas de los derechos humanos.

Will Strafach, investigador de seguridad, comentó que no había visto ningún análisis técnico sobre las vulnerabilidades que Apple acaba de corregir. La empresa ha reconocido anteriormente fallos igualmente serios y, en lo que Strafach calculó que quizás sea una docena de ocasiones, indicó que estaba al tanto de los informes de que dichos fallos de seguridad habían sido explotados.