El periódico The Washington Post ha publicado diversos artículos de seguimiento a las revelaciones sobre el programa espía de NSO Group, que ha sido utilizado por gobiernos de todo el mundo para espiar a disidentes y periodistas.
Uno de los artículos comienza relatando el caso de Claude Mangin, ciudadana francesa, esposa de un activista político encarcelado en Marruecos. El iPhone de Mangin recibió un mensaje que no emitió ningún sonido, no produjo ninguna imagen ni notificación alguna, menos aún una advertencia de seguridad. El iMessage malicioso contenía la aplicación Pegasus y fue enviado directamente a su teléfono, eludiendo los sistemas de seguridad de Apple.
Una vez introducido, el software espía, producido y licenciado por la empresa israelí NSO Group a uno de sus clientes gubernamentales, se puso a trabajar, según un examen forense de su dispositivo realizado por el Laboratorio de Seguridad de Amnistía Internacional. Se descubrió que, entre octubre y junio, el teléfono de Magin fue intervenido varias veces con Pegasus.
Pegasus puede recolectar correos electrónicos, registros de llamadas, publicaciones en redes sociales, contraseñas de usuarios, listas de contactos, imágenes, vídeos, grabaciones de sonido e historiales de navegación, según los investigadores de seguridad y los materiales de marketing de NSO. El programa espía puede activar cámaras o micrófonos para capturar imágenes y grabaciones recientes. Puede escuchar llamadas y mensajes de voz. Puede recopilar registros de localización de los lugares en los que ha estado un usuario y también determinar dónde se encuentra ahora, junto con datos que indiquen si la persona está quieta o, si se mueve, en qué dirección.
Y todo esto puede ocurrir sin que el usuario toque siquiera su teléfono o sepa que ha recibido un misterioso mensaje de una persona desconocida. Este tipo de ataques “zero-click”, como se denominan en la industria de la vigilancia, pueden funcionar incluso en las últimas generaciones de iPhones, tras años de esfuerzos en los que Apple ha intentado cerrar la puerta a la vigilancia no autorizada, y ha construido campañas de marketing sobre la afirmación de que ofrece mejor privacidad y seguridad que sus rivales.
The Washington Post agrega que el número de Mangin estaba en una lista de más de 50.000 números de teléfono de más de 50 países, que revisó en asociación con otras 16 organizaciones revisaron. Forbidden Stories, una entidad periodística sin ánimo de lucro con sede en París, y Amnistía Internacional tuvieron acceso a los números y los compartieron con el periódico y sus socios, en un esfuerzo por identificar a quiénes pertenecían los números. Una vez identificadas las víctimas se les pidió autorizar un examen forense de los datos de sus teléfonos.
Los investigadores han documentado docenas de infecciones de iPhone con Pegasus en los últimos años. Las conclusiones ponen en entredicho la reputación de seguridad superior de iOS en comparación con su principal competidor, Android de Google.
La investigación de varios meses realizada por The Washington Post y sus socios encontró más pruebas que avivan ese debate. El Laboratorio de Seguridad de Amnistía examinó 67 teléfonos inteligentes cuyos números figuraban en la lista de Forbidden Stories y encontró pruebas forenses de infecciones o intentos de infección de Pegasus en 37. De ellos, 34 eran iPhones: 23 que mostraban signos de haber sido infectados por Pegasus y 11 que mostraban signos de intento de infección.
Sólo tres de los 15 teléfonos Android examinados mostraban indicios de un intento de hackeo, pero eso se debió probablemente a que los registros de Android no son lo suficientemente completos como para almacenar la información necesaria para obtener resultados concluyentes, dijeron los investigadores de Amnistía.
Aun así, el número de veces que Pegasus se implantó con éxito en un iPhone subraya la vulnerabilidad incluso de sus últimos modelos. Entre los teléfonos hackeados había un iPhone 12 con la última actualización de software de Apple.
En una evaluación independiente publicada el domingo 18 de junio, Citizen Lab de la Universidad de Toronto corroboró la metodología de Amnistía. Citizen Lab también señaló que su investigación anterior había encontrado infecciones de Pegasus en un iPhone 12 Pro Max y dos iPhone SE2, todos ellos con versiones 14.0 o más recientes del sistema operativo iOS, lanzado por primera vez el año pasado.
Ivan Krstić, jefe de Ingeniería y Arquitectura de Seguridad de Apple, defendió los esfuerzos de seguridad de su compañía: “Apple condena categóricamente los ciberataques contra periodistas, activistas de derechos humanos y otras personas que buscan hacer del mundo un lugar mejor. Durante más de una década, Apple ha liderado la industria en innovación de seguridad y, como resultado, los investigadores de seguridad coinciden en que el iPhone es el dispositivo móvil de consumo más seguro del mercado”, dijo en un comunicado. “Ataques como los descritos son muy sofisticados, su desarrollo cuesta millones de dólares, suelen tener una vida útil corta y se utilizan para dirigirse a personas concretas. Aunque eso significa que no son una amenaza para la inmensa mayoría de nuestros usuarios, seguimos trabajando incansablemente para defender a todos nuestros clientes, y añadimos constantemente nuevas protecciones para sus dispositivos y datos.”
Apple tuvo una victoria de imagen al proteger la privacidad de los usuarios durante una contienda con el FBI en 2016, cuando el organismo de seguridad intentó obligar, por la vía legal, a Apple a desbloquear el iPhone utilizado por uno de los atacantes en ataque terrorista ocurrido en San Bernardino, California, el año anterior. El FBI finalmente abandonó la disputa legal cuando encontró una empresa australiana de ciberseguridad, Azimuth Security, que podía desbloquear el iPhone 5c sin ninguna ayuda de Apple. La actitud desafiante de Apple, junto con su marketing, contribuyeron a percibir a la empresa como campeona de la privacidad y la seguridad.
El domingo, el director ejecutivo de NSO, Shalev Hulio, dijo a The Washington Post que estaba molesto por los informes de la investigación de que los teléfonos pertenecientes a periodistas, activistas de derechos humanos y funcionarios públicos habían sido atacados con el software de su empresa, aunque negó otras acusaciones reportadas por el periódico y demás organizaciones participantes en la iniciativa periodística. Hulio prometió una investigación, agregando que “Todas las acusaciones de uso indebido del sistema me preocupan. Viola la confianza que estamos dando al cliente”.
La portavoz de Google, Kaylin Trychon, dijo que Google tiene un equipo de análisis de amenazas que rastrea a NSO Group y a otros actores de amenazas y que la compañía envió más de 4.000 avisos a los usuarios cada mes sobre intentos de infiltración por parte de atacantes, incluidos los patrocinados por gobiernos.
Dijo que la falta de registros que ayuden a los investigadores a determinar si un dispositivo Android ha sido atacado también constituye una decisión de seguridad.
“Aunque entendemos que los registros persistentes serían más útiles para usos forenses como los descritos por los investigadores de Amnistía Internacional, también serían útiles para los atacantes. Estamos continuamente equilibrando estas diferentes necesidades”, dijo.
The Washington Post escribe que los defensores del derecho a la privacidad afirman que la imposibilidad de impedir el hackeo de los teléfonos inteligentes amenaza la democracia en decenas de países al socavar la recopilación de noticias, la actividad política y las campañas contra los abusos de los derechos humanos. La mayoría de los países tienen poca o ninguna regulación efectiva de la industria del software espía o de cómo se utilizan sus herramientas.
Hatice Cengiz, la prometida del columnista del Washington Post asesinado Jamal Khashoggi, dijo que utilizaba un iPhone porque pensaba que ofrecería una sólida protección contra los Hackers. “¿Por qué dicen que el iPhone es más seguro?” dijo Cengiz en una entrevista en junio en Turquía, donde vive. Su iPhone fue uno de los 23 en los que se encontraron pruebas forenses de la exitosa intrusión de Pegasus. La infiltración ocurrió en los días posteriores al asesinato de Khashoggi en octubre de 2018, según el examen de su teléfono.
Al respecto, NSO aseguró en comunicado no haber encontrado evidencia alguna de que el teléfono de Cengiz hubiera sido intervenido con Pegasus. “Nuestra tecnología no estaba asociada de ninguna manera con el atroz asesinato de Jamal Khashoggi”, dijo la compañía.
The Washington Post indica que no es posible hacer una comparación directa de la seguridad de los sistemas operativos de Apple y Google y de los dispositivos que los ejecutan, pero los informes de hackeos a iPhones han aumentado en los últimos años, ya que los investigadores de seguridad han descubierto pruebas de que los atacantes habían encontrado vulnerabilidades en aplicaciones de iPhone tan utilizadas como iMessage, Apple Music, Apple Photos, FaceTime y el navegador Safari.
La investigación descubrió que iMessage -la aplicación de mensajería incorporada que permite chatear a los usuarios de iPhone- fue el vector de ataque en 13 de las 23 infiltraciones exitosas de iPhones. IMessage también fue el modo de ataque en seis de los 11 intentos fallidos que el Laboratorio de Seguridad de Amnistía identificó a través de sus exámenes forenses.
Una de las razones por las que iMessage se ha convertido en un vector de ataque, dicen los investigadores de seguridad, es que la aplicación ha ido añadiendo funciones, lo que inevitablemente crea más vulnerabilidades potenciales.
“No pueden hacer que iMessage sea seguro”, dijo Matthew Green, profesor de seguridad y criptología de la Universidad Johns Hopkins. “No digo que no se pueda arreglar, pero es bastante malo”.
“Tu iPhone, y otros mil millones de dispositivos de Apple fuera de la caja, ejecutan automáticamente un software notoriamente inseguro para previsualizar los iMessages, tanto si confías en el remitente como si no”, dijo el investigador de seguridad Bill Marczak, miembro de Citizen Lab, un instituto de investigación con sede en la Munk School of Global Affairs & Public Policy de la Universidad de Toronto. “Cualquier estudiante de Seguridad Informática 101 podría detectar el fallo aquí”.
Por su parte, Project Zero de Google, que busca fallos explotables en una serie de ofertas tecnológicas y publica sus hallazgos, informó el año pasado en una serie de entradas de blog sobre las vulnerabilidades de iMessage.
Un antiguo empleado de Apple, que habló bajo condición de anonimato porque Apple exige a sus empleados que firmen acuerdos que les prohíben comentar casi todos los aspectos de la empresa, incluso después de que se marchen, dijo a la publicación que era difícil comunicarse con los investigadores de seguridad que informaban de fallos en los productos de Apple porque el departamento de marketing de la empresa se interponía. “Marketing podía vetar todo”, dijo la persona. “Teníamos un montón de respuestas enlatadas que utilizábamos una y otra vez. Era increíblemente molesto y ralentizaba todo”.
Apple también restringe el acceso de los investigadores externos a iOS, el sistema operativo móvil que utilizan los iPhones y los iPads, de forma que dificulta la investigación del código y limita la capacidad de los consumidores para descubrir cuándo han sido hackeados, dicen los investigadores.
El modelo de negocio de Apple se basa en el lanzamiento anual de nuevos iPhones, su producto estrella que genera la mitad de sus ingresos. Empleados actuales y antiguos de Apple y personas que trabajan con la empresa dicen que el calendario de lanzamiento de productos es extenuante y, como hay poco tiempo para examinar los nuevos productos en busca de fallos de seguridad, conduce a una proliferación de nuevos errores que los investigadores de seguridad ofensivos de empresas como NSO Group pueden utilizar para entrar en los dispositivos más nuevos.
En su correo electrónico a The Washington Post, Apple dijo que utiliza herramientas automatizadas e investigadores internos para detectar la gran mayoría de los fallos antes de que se publiquen y que es la mejor del sector.
Apple también ha llegado relativamente tarde a los programas de recompensas por detección de errores de programación (bugs), mediante los cuales las empresas pagan a investigadores independientes por encontrar y revelar fallos de software que podrían ser utilizados por hackers en ataques.
Krstić, el máximo responsable de seguridad de Apple, impulsó un programa de recompensas por fallos que se añadió en 2016, pero algunos investigadores independientes dicen que han dejado de enviar fallos a través del programa porque Apple tiende a pagar pequeñas recompensas y el proceso puede llevar meses o años.
La semana pasada, Nicolas Brunner, un ingeniero de iOS para los Ferrocarriles Federales Suizos, detalló en una entrada de blog cómo envió un error a Apple que permitía a alguien rastrear permanentemente la ubicación de un usuario de iPhone sin su conocimiento. Dijo que Apple no se comunicó con él, tardó en arreglar el fallo y finalmente no le pagó.
Cuando se le preguntó por el artículo de Brunner, un portavoz de Apple se remitió al correo electrónico de la compañía en el que decía que su programa de recompensas por fallos es el mejor del sector y que paga recompensas más altas que cualquier otra empresa.
Una vez que se informa de un fallo a Apple, se le asigna un código de color, según explican antiguos empleados familiarizados con el proceso. El rojo significa que el fallo está siendo explotado activamente por los atacantes. El naranja, el siguiente nivel, significa que el fallo es grave, pero que aún no hay pruebas de que haya sido explotado. Los fallos naranjas pueden tardar meses en solucionarse, y es el equipo de ingeniería, y no el de seguridad, el que decide cuándo sucede.
Antiguos empleados de Apple relataron varios casos en los que fallos que no se consideraban graves fueron explotados contra los clientes entre el momento en que se informaba a Apple y el momento en que se parcheaban.
Apple dijo en su correo electrónico que ningún sistema es perfecto, pero que corrige rápidamente las vulnerabilidades de seguridad graves y sigue invirtiendo en la mejora de su sistema para evaluar la gravedad de los fallos.
Pero los investigadores de seguridad externos dicen que no pueden estar seguros de cuántos usuarios de iOS son explotados porque Apple dificulta a los investigadores el análisis de la información que apuntaría a los exploits.La conclusión inevitable es que, por una parte, NSO pide a sus clientes que no utilicen su software para fines indebidos (como por ejemplo espiar a periodistas). Así, es suficiente que los regímenes asientan. Por otra parte, Apple, al ser confrontada por insuficiencias específicas de seguridad del iPhone, se limita a asegurar que su software es el más seguro. Sobre el programa de recompensas, dice que es el mejor del sector. Confrontada sobre el bajo nivel de sus pagos, e incluso falta de pagos, dice pagar recompensas más altas que cualquier otra empresa.