Apple parchea una vulnerabilidad en iPhone que estaba aprovechando Pegasus, el software espía que infectó a periodistas, activistas y políticos

Unas manos con un iPhone

Unsplash / Gilles Lambert 

  • Investigadores de Citizen Lab descubren una vulnerabilidad en iMessage con la que NSO Group, la firma israelí responsable de Pegasus, había infectado a un activista saudí.
  • Apple ha lanzado una actualización de emergencia para subsanar esta vulnerabilidad, que se ha bautizado como FORCEDENTRY.
  • Descubre más historias en Business Insider España.

Pegasus es el software espía que desarrolla una firma israelí llamada NSO Group. WhatsApp ya la demandó hace más de un año, acusándola de estar detrás de un masivo hackeo que aprovechó una vulnerabilidad de la plataforma de mensajería. Este mismo verano se ha descubierto una lista con 50.000 números de teléfono de potenciales víctimas de este sypware.

Citizen Lab, un laboratorio de la Escuela Munk de la Universidad de Toronto, lleva años persiguiendo, analizando e investigando las técnicas de NSO. Este lunes ha anunciado el descubrimiento de una vulnerabilidad hasta ahora desconocida en iPhone que precisamente la empresa israelí había aprovechado para infectar el teléfono de un activista de Arabia Saudí.

John Scott-Railton, investigador sénior del Citizen Lab, ha compartido varios detalles en un hilo en Twitter. El propio equipo de investigación también ha compartido sus pesquisas en un comunicado. Han bautizado la vulnerabilidad como FORCEDENTRY y la han catalogado como una vulnerabilidad de día cero, es decir, no había sido parcheada hasta ahora.

El problema es que actores maliciosos ya habían estado explotando esta vulnerabilidad sin que Apple, propietaria del ecosistema iPhone, fuese consciente de ello. No es la primera vez que los dispositivos de Apple son objetivo de Pegasus.

Cuando Citizen Lab comenzó la investigación sobre los 50.000 números de teléfono filtrados como potenciales víctimas de Pegasus, uno de los miembros del equipo se detuvo en el teléfono de un activista saudí. Los investigadores hicieron una copia de seguridad del terminal para comprobar si efectivamente había sido intervenido.

En un reanálisis, los investigadores descubrieron unos extraños archivos GIF en el terminal. Scott-Railton continúa detallando que esos archivos GIF en realidad eran archivos PSD y PDF que estaban explotando la capacidad de renderizado de imágenes de la librería de Apple, y como resultado, estaba permitiendo que Pegasus se instalara en segundo plano a través de iMessage.

"Las víctimas no ven nada mientras Pegasus se instala silenciosamente y su móvil se convierte en un espía que viaja en su bolsillo", abunda Scott-Railton. Apple, por su parte, ha confirmado que la vulnerabilidad permitía a un atacante invadir el dispositivo de su víctima enviándole un archivo PDF "fabricado" para aprovechar esa vulnerabilidad, recoge Bloomberg.

Los entresijos del mercado oscuro en el que se venden programas de ciberespionaje como el que se utilizó contra políticos catalanes: "Es como el tráfico de armas"

La vulnerabilidad era de día cero (un término de la industria de la ciberseguridad que se refiere a aquellos agujeros de seguridad que ya están aprovechando los ciberdelincuentes sin que los propietarios del programa sean conscientes de su problema) y también era de "cero click", lo que como su propio nombre sugiere, no requiere de ninguna interacción de la víctima.

En otras palabras: los objetivos de Pegasus no necesitaban pinchar ni abrir ningún malware de forma inconsciente para sufrir el ataque, ni para que el spyware de NSO continuara propagándose.

De la misma manera que NSO empleó presuntamente WhatsApp para distribuir su programa espía, el hecho de que ahora estuviesen aprovechando una vulnerabilidad en iMessages de iPhone revela, para John Scott-Railton, el problema de seguridad que envuelve al mundo de las aplicaciones de mensajería.

"Lo que esto pone de relieve es que las aplicaciones de mensajería son una de las partes más vulnerables de la seguridad de un dispositivo". "Son ubicuas, están en todas partes, lo que las hace en muy atractivas para atacantes. Son un objetivo muy común para ellos", refleja Scott-Railton.

Otra cosa que pone de relieve es que NSO, "la firma de mercenarios espías" (según los definen los investigadores de Citizen Lab) también ataca activistas. 

Después de que este verano trascendiesen nombres tan dispares entre las potenciales víctimas del programa (entre los que figuraban dirigentes políticos de primer nivel, como el presidente francés Emmanuel Macron), NSO reivindicó siempre que su programa espía solo lo emplean fuerzas y cuerpos de seguridad y servicios de espionaje de estados.

Ya el año pasado una exclusiva del diario El País y The Guardian puso el foco en como NSO había podido destinar su programa para espiar a políticos catalanes independentistas. Poco después, Motherboard reveló que España había sido cliente de NSO y de su programa Pegasus, citando a un extrabajador de la firma israelí que nunca reveló su identidad.

Cataluña fue de nuevo objetivo de una herramienta diseñada por ciberespías mercenarios, según Microsoft: esto es todo lo que se sabe de momento

Apple ha reaccionado rápido y ha lanzado parches para solucionar esta vulnerabilidad en diversos sistemas y dispositivos. iPhone, iPad, Mac o Apple Watch ya están recibiendo actualizaciones de seguridad, solo unas horas antes de que la multinacional celebre su keynote donde cabe esperar que los de Cupertino presenten sus nuevos móviles.

"Después de identificar la vulnerabilidad usada para aprovecharse de iMessage, Apple ha desarrollado rápidamente una solución que ya distribuye en iOS 14.8 para proteger a nuestros usuarios". "Queremos alabar a Citizen Lab por conseguir satisfactoriamente una prueba de esta vulnerabilidad para que hayamos podido desarrollar una solución tan rápido".

Estas han sido las palabras que ha enunciado en un comunicado Ivan Krstić, jefe de Ingeniería de Seguridad en Apple. La rápida colaboración se da semanas después de que varios especialistas pidiesen a los de Cupertino más transparencia para poder colaborar más estrechamente en materia de ciberseguridad.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.