- Se confirmó nuevamente la amenaza del spyware mercenario dirigido a personas de alto riesgo, y Apple notificó a usuarios de iPhone en 92 países sobre la posibilidad de ataques dirigidos
- La alerta indica que se detectaron intentos de comprometer de forma remota iPhones vinculados a sus Apple ID, pero no se reveló la identidad de los atacantes ni los países afectados
- Apple aclara que no existe certeza absoluta en este tipo de detección, pero señala que esta advertencia tiene alta confianza y debe tomarse en serio
- Desde 2021, Apple ha enviado alertas similares a usuarios en más de 150 países, y en octubre del año pasado también emitió el mismo tipo de advertencia a periodistas y políticos en India
- Apple cambió su expresión anterior “state-sponsored” por “mercenary spyware attacks”, diferenciando ataques como Pegasus de malware común por ser mucho más sofisticados y poco frecuentes
Alerta de amenaza enviada a usuarios de iPhone en 92 países
- Apple envió el miércoles al mediodía (hora del Pacífico) una alerta de amenaza a usuarios individuales en 92 países
- La notificación advertía que los iPhone vinculados a sus Apple ID podían ser comprometidos de forma remota mediante un ataque de spyware mercenario
- La alerta revisada por TechCrunch no revela la identidad de los atacantes ni el país en el que recibió el aviso cada usuario
- El mensaje principal enviado a los usuarios fue el siguiente
- Es posible que el ataque los haya tomado como objetivo individual por quiénes son o por lo que hacen
- En este tipo de ataques es difícil garantizar certeza absoluta durante el proceso de detección
- Apple tiene un alto nivel de confianza en esta advertencia y los usuarios deben tomarla en serio
- Apple indicó que no puede dar información más detallada sobre la causa del envío de la alerta, ya que los atacantes podrían cambiar sus métodos para evadir futuras detecciones
Alertas repetidas y cambio de terminología
- Apple envía este tipo de alertas varias veces al año y en su página de soporte indica que, desde 2021, ha advertido sobre amenazas similares a usuarios en más de 150 países
- En octubre del año pasado, la misma advertencia también fue enviada a varios periodistas y políticos de India
- Posteriormente, Amnesty International informó que encontró el spyware intrusivo Pegasus de la firma israelí de spyware NSO Group en los iPhone de destacados periodistas indios
- Personas familiarizadas con el caso dijeron que entre quienes recibieron la alerta más reciente también había usuarios en India
- La alerta llega en un momento en que varios países se preparan para elecciones
- Recientemente, varias empresas tecnológicas han advertido sobre un aumento de actividades respaldadas por Estados para influir en determinados resultados electorales
- La notificación de Apple no menciona por sí misma el momento del envío
- Apple antes describía a los atacantes como “state-sponsored”, pero ahora reemplazó toda esa terminología por “mercenary spyware attacks”
- Los ataques de spyware mercenario como Pegasus se clasifican como una categoría mucho más sofisticada y excepcionalmente rara que el cibercrimen común o el malware de consumo
- Apple afirma que para detectar estos ataques utiliza únicamente información interna de inteligencia de amenazas e investigación
- Material relacionado: Herramienta para verificar si el spyware Pegasus de NSO atacó tu teléfono
1 comentarios
Opiniones de Hacker News
Hay un hilo de Reddit publicado por alguien que recibió una advertencia de este tipo: https://old.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
Lo interesante es que afirma ser simplemente un estudiante universitario común y corriente; si realmente fuera alguien como un agente secreto, probablemente no lo preguntaría en Reddit, así que suena plausible.
Me pregunto si los hackers eligen sus objetivos con criterios como el número de teléfono. Es imaginable que el estudiante haya recibido hace poco un número nuevo y que ese número haya estado vinculado antes a un objetivo. Aun así, uno pensaría que debería existir una forma de descartar números que se sabe que son objetivos.
Si puedes tomar control de un activista y destruir su credibilidad, es una capacidad enorme. No me sorprendería en absoluto que la puerta trasera de xz compression haya sido un intento de algún gobierno de obtener la capacidad de hacer caer o desprestigiar a cualquiera que se opusiera a ellos.
Cuando veo el metaverso, el spyware mercenario, la selección de objetivos de guerra con IA y hasta drones letales, sigo preguntándome quién leyó Neuromancer y pensó: “¡Qué visión tan optimista del futuro! ¿Cómo hacemos realidad esta maravillosa visión?”.
Empresa tecnológica: por fin hemos creado el Torment Nexus de la clásica novela de ciencia ficción “No creen el Torment Nexus”.
https://twitter.com/AlexBlechman/status/1457842724128833538
O quizá no leyeron 1984 y por eso no entendieron la advertencia.
Y al final no se arregló. Parece que seguimos empujando para hacerlo todo más rápido y más barato. Si sigues reduciendo peso, tarde o temprano tendrás que cortar extremidades. Si un burócrata o gerente competente anterior ya recortó la grasa, al siguiente no le queda mucha grasa por cortar. Además, cierta cantidad de grasa en realidad es buena.
También aquí hay muchísima gente que cree que “la tecnología por la tecnología” es algo bueno, o que cualquier tecnología es inherentemente progreso social y que progreso === bien.
Si recibiera un mensaje como “Apple detectó que estás siendo objetivo de un ataque de spyware mercenario que intenta comprometer de forma remota el iPhone asociado a tu Apple ID -xxx-”, pensaría que es parte de una estafa de phishing.
¿Cómo se puede saber si algo así es real? Si se ve distinto de otros mensajes que recibes normalmente, es aún más probable que lo tomes por falso.
Luego vi que, como dicen comentarios más abajo, se puede verificar iniciando sesión en appleid.apple.com. Con eso sí se puede confiar.
https://support.apple.com/en-lamr/102174
Si un banco me contacta por un fraude con tarjeta de crédito y hay un botón grande de “haz clic aquí para iniciar sesión”, me parecería muy sospechoso. En cambio, si solo contiene información y termina con algo como “para más información, consulta con tu sucursal más cercana”, sin enlaces ni números de teléfono, sería menos sospechoso.
No entiendo cómo se sigue permitiendo que Pegasus y NSO existan. Sé que es una empresa israelí, pero aun así, ¿el gobierno de Israel ha tomado alguna medida contra ellos? Esto es básicamente comportamiento de Estado canalla.
Los usuarios de Android probablemente estén mucho peor; solo que Google no lo hace público.
Estoy considerando seriamente cambiarme a Apple por esto. No porque Apple sea segura, sino porque tiene la voluntad de informar a los usuarios a este nivel.
La naturaleza open source de Android aumenta la probabilidad de que estas cosas sean descubiertas primero por investigadores de seguridad. Tampoco hay que olvidar que Zerodium sigue pagando más por un 0-day de Android que por un 0-day de iOS.
Además, las diferencias entre dispositivos de Samsung, Google, Moto, Huawei, etc. son tan grandes que es tres veces más difícil que un solo exploit tenga éxito.
Eso significa que, si finalmente se descubre una infección, Apple puede aislar el punto de entrada de la vulnerabilidad y luego volver a escanear todos los dispositivos para detectar aquellos que posiblemente hayan sido objetivo del mismo ataque.
Desde una perspectiva colectiva, tiene sentido hashear datos que puedan servir como huella. En un caso extremo, incluso algo tan simple como la pila de llamadas después de recibir un iMessage podría bastar.
Además, no creo que Google tenga la responsabilidad de monitorear y avisar también sobre teléfonos de otros fabricantes como Samsung o Motorola.
“Los ataques de spyware mercenario, como los que parecen usar Pegasus de NSO Group, son extremadamente raros y mucho más sofisticados que el cibercrimen común o el malware de consumo”.
Entonces, provocar una alerta de Apple al objetivo en sí mismo también podría ser parte de una operación sofisticada.
Estos objetivos reaccionan, o se ven obligados a reaccionar, de ciertas maneras. Se trata de hacer salir a alguien que está escondido y obligarlo a responder, aunque sea solo para observar su comportamiento.
¿Qué harán después esos objetivos? ¿Cambiarán de teléfono? ¿Accederán a algún servicio digital específico? ¿Alertarán a su red por medios de comunicación normales? Desde el punto de vista de un observador, es bastante emocionante.
Apple: “Si recibiste una notificación de amenaza de Apple, te recomendamos encarecidamente que busques ayuda experta, como la asistencia de seguridad de emergencia de respuesta rápida que ofrece la línea de ayuda sin fines de lucro Digital Security Helpline de Access Now. Los destinatarios de las notificaciones de amenaza de Apple pueden contactar a Digital Security Helpline a través de su sitio web, las 24 horas del día, los 7 días de la semana. Las organizaciones externas no tienen información sobre qué llevó a Apple a enviar una notificación de amenaza, pero pueden ayudar con consejos de seguridad personalizados para usuarios objetivo”.
https://support.apple.com/en-lamr/102174
Amnesty International: “Access Now Helpline y otros socios de la sociedad civil de Security Lab también están preparados para apoyar a las personas que hayan recibido notificaciones de Apple”.
https://securitylab.amnesty.org/latest/2024/04/apple-threat-...
Me sorprende que alguien guarde secretos en un iPhone después de que el FBI lograra entrar en uno en 2018.
Si tienes curiosidad por saber cómo se ve el mensaje real, un usuario de Reddit publicó uno junto con una versión anterior de 2023. No incluye todo el contenido: https://www.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
¿Este spyware es posible por fallas de ingeniería en los productos de Apple?
Pero nunca ha existido software significativo que esté completamente libre de este tipo de fallas. Dicho de otra forma, creo que iOS probablemente sea mejor que la mayoría de las otras plataformas frente a este tipo de ataque.
https://darknetdiaries.com/episode/100/
Parece que prácticamente aplicaría a todos los países, así que me da curiosidad que las alertas solo vayan a 92 países.
No se indica cuáles son esos 92 países.