1 puntos por GN⁺ 2024-04-12 | 1 comentarios | Compartir por WhatsApp
  • Se confirmó nuevamente la amenaza del spyware mercenario dirigido a personas de alto riesgo, y Apple notificó a usuarios de iPhone en 92 países sobre la posibilidad de ataques dirigidos
  • La alerta indica que se detectaron intentos de comprometer de forma remota iPhones vinculados a sus Apple ID, pero no se reveló la identidad de los atacantes ni los países afectados
  • Apple aclara que no existe certeza absoluta en este tipo de detección, pero señala que esta advertencia tiene alta confianza y debe tomarse en serio
  • Desde 2021, Apple ha enviado alertas similares a usuarios en más de 150 países, y en octubre del año pasado también emitió el mismo tipo de advertencia a periodistas y políticos en India
  • Apple cambió su expresión anterior “state-sponsored” por “mercenary spyware attacks”, diferenciando ataques como Pegasus de malware común por ser mucho más sofisticados y poco frecuentes

Alerta de amenaza enviada a usuarios de iPhone en 92 países

  • Apple envió el miércoles al mediodía (hora del Pacífico) una alerta de amenaza a usuarios individuales en 92 países
  • La notificación advertía que los iPhone vinculados a sus Apple ID podían ser comprometidos de forma remota mediante un ataque de spyware mercenario
  • La alerta revisada por TechCrunch no revela la identidad de los atacantes ni el país en el que recibió el aviso cada usuario
  • El mensaje principal enviado a los usuarios fue el siguiente
    • Es posible que el ataque los haya tomado como objetivo individual por quiénes son o por lo que hacen
    • En este tipo de ataques es difícil garantizar certeza absoluta durante el proceso de detección
    • Apple tiene un alto nivel de confianza en esta advertencia y los usuarios deben tomarla en serio
  • Apple indicó que no puede dar información más detallada sobre la causa del envío de la alerta, ya que los atacantes podrían cambiar sus métodos para evadir futuras detecciones

Alertas repetidas y cambio de terminología

  • Apple envía este tipo de alertas varias veces al año y en su página de soporte indica que, desde 2021, ha advertido sobre amenazas similares a usuarios en más de 150 países
  • En octubre del año pasado, la misma advertencia también fue enviada a varios periodistas y políticos de India
    • Posteriormente, Amnesty International informó que encontró el spyware intrusivo Pegasus de la firma israelí de spyware NSO Group en los iPhone de destacados periodistas indios
    • Personas familiarizadas con el caso dijeron que entre quienes recibieron la alerta más reciente también había usuarios en India
  • La alerta llega en un momento en que varios países se preparan para elecciones
    • Recientemente, varias empresas tecnológicas han advertido sobre un aumento de actividades respaldadas por Estados para influir en determinados resultados electorales
    • La notificación de Apple no menciona por sí misma el momento del envío
  • Apple antes describía a los atacantes como “state-sponsored”, pero ahora reemplazó toda esa terminología por “mercenary spyware attacks
  • Los ataques de spyware mercenario como Pegasus se clasifican como una categoría mucho más sofisticada y excepcionalmente rara que el cibercrimen común o el malware de consumo
  • Apple afirma que para detectar estos ataques utiliza únicamente información interna de inteligencia de amenazas e investigación
  • Material relacionado: Herramienta para verificar si el spyware Pegasus de NSO atacó tu teléfono

1 comentarios

 
GN⁺ 2024-04-12
Opiniones de Hacker News
  • Hay un hilo de Reddit publicado por alguien que recibió una advertencia de este tipo: https://old.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
    Lo interesante es que afirma ser simplemente un estudiante universitario común y corriente; si realmente fuera alguien como un agente secreto, probablemente no lo preguntaría en Reddit, así que suena plausible.
    Me pregunto si los hackers eligen sus objetivos con criterios como el número de teléfono. Es imaginable que el estudiante haya recibido hace poco un número nuevo y que ese número haya estado vinculado antes a un objetivo. Aun así, uno pensaría que debería existir una forma de descartar números que se sabe que son objetivos.

    • Parece haber un malentendido sobre qué constituye un objetivo válido o ideal para atacantes patrocinados por Estados o atacantes mercenarios. Solo trabajar en un laboratorio, una fábrica industrial, una central eléctrica o una empresa tecnológica, o conocer a cierto profesor, puede bastar para terminar en una lista de objetivos.
    • Esa persona puede ser simplemente un estudiante universitario, pero también podría tener algún tipo de relación con el objetivo real. Si forma parte de una operación compleja, quizá estén intentando un acceso indirecto.
    • Todos piensan solo en secretos académicos, pero también habría que ver si esa persona ha participado de alguna forma en activismo.
      Si puedes tomar control de un activista y destruir su credibilidad, es una capacidad enorme. No me sorprendería en absoluto que la puerta trasera de xz compression haya sido un intento de algún gobierno de obtener la capacidad de hacer caer o desprestigiar a cualquiera que se opusiera a ellos.
    • Esa persona ya había sido objetivo el verano pasado. Es muy probable que no sea tan poco interesante como cree o afirma.
    • También podría ser un familiar o conocido del objetivo. He hecho bastante inteligencia de fuentes abiertas (OSINT) como hobby, y al buscar un objetivo a veces se aborda el problema triangulando o pivotando a través de alguien ligeramente alejado del centro.
  • Cuando veo el metaverso, el spyware mercenario, la selección de objetivos de guerra con IA y hasta drones letales, sigo preguntándome quién leyó Neuromancer y pensó: “¡Qué visión tan optimista del futuro! ¿Cómo hacemos realidad esta maravillosa visión?”.

    • Escritor de ciencia ficción: inventé el Torment Nexus en mi libro como una historia de advertencia.
      Empresa tecnológica: por fin hemos creado el Torment Nexus de la clásica novela de ciencia ficción “No creen el Torment Nexus”.
      https://twitter.com/AlexBlechman/status/1457842724128833538
    • Quienes leyeron Neuromancer y pensaron eso probablemente son los mismos que leyeron 1984 y pensaron lo mismo.
      O quizá no leyeron 1984 y por eso no entendieron la advertencia.
    • Quienes dijeron “no te preocupes por hacerlo bien, hazlo rápido primero y luego lo arreglamos” crearon ese futuro.
      Y al final no se arregló. Parece que seguimos empujando para hacerlo todo más rápido y más barato. Si sigues reduciendo peso, tarde o temprano tendrás que cortar extremidades. Si un burócrata o gerente competente anterior ya recortó la grasa, al siguiente no le queda mucha grasa por cortar. Además, cierta cantidad de grasa en realidad es buena.
    • No hay de qué preocuparse. La realidad y el tiempo encontrarán formas de hacer la realidad peor de lo que los novelistas del pasado pudieron imaginar. Ahora incluso Brave New World parece ingenua.
    • Nunca faltará gente que lea una distopía y piense: “Eso es horrible. Debería oprimir al mundo entero como un dios-rey justo y virtuoso, para que todo funcione bien según lo que mi visión extremadamente estrecha entiende como el bien y el mal”.
      También aquí hay muchísima gente que cree que “la tecnología por la tecnología” es algo bueno, o que cualquier tecnología es inherentemente progreso social y que progreso === bien.
  • Si recibiera un mensaje como “Apple detectó que estás siendo objetivo de un ataque de spyware mercenario que intenta comprometer de forma remota el iPhone asociado a tu Apple ID -xxx-”, pensaría que es parte de una estafa de phishing.
    ¿Cómo se puede saber si algo así es real? Si se ve distinto de otros mensajes que recibes normalmente, es aún más probable que lo tomes por falso.
    Luego vi que, como dicen comentarios más abajo, se puede verificar iniciando sesión en appleid.apple.com. Con eso sí se puede confiar.

    • Según el sitio web de Apple, para comprobar si una notificación de amenaza de Apple es auténtica hay que iniciar sesión en appleid.apple.com. Si Apple envió una notificación de amenaza, se mostrará claramente en la parte superior de la página después de iniciar sesión.
      https://support.apple.com/en-lamr/102174
    • Si no hay un enlace para hacer clic ni te presionan para iniciar sesión en algún lugar, suena más como una comunicación informativa.
      Si un banco me contacta por un fraude con tarjeta de crédito y hay un botón grande de “haz clic aquí para iniciar sesión”, me parecería muy sospechoso. En cambio, si solo contiene información y termina con algo como “para más información, consulta con tu sucursal más cercana”, sin enlaces ni números de teléfono, sería menos sospechoso.
    • Si una estafa de phishing logró mostrar ese tipo de mensaje en el teléfono de alguna otra manera, entonces es muy probable que el teléfono ya esté hackeado y ya no sea confiable.
    • Al final dice que se puede confirmar su validez iniciando sesión en iCloud, donde aparecerá un banner de notificación.
    • Escuché que aparece como una insignia o banner en la parte superior del panel web de iCloud en el navegador. Parece que también aparece encima del mensaje recibido.
  • No entiendo cómo se sigue permitiendo que Pegasus y NSO existan. Sé que es una empresa israelí, pero aun así, ¿el gobierno de Israel ha tomado alguna medida contra ellos? Esto es básicamente comportamiento de Estado canalla.

    • PBS Frontline tiene un buen documental sobre NSO Group. Están aprobados por el gobierno e incluso se usan como palanca política: https://m.youtube.com/watch?v=6ZVj1_SE4Mo
    • La razón por la que Pegasus y NSO siguen permitidos es que quienes tienen la autoridad para prohibirlos son precisamente sus mayores clientes.
    • Hay muchas empresas así; simplemente no son conocidas. No creo que esta situación tenga mucho que ver con Israel.
    • ¿La suposición es que el gobierno de Israel no aprueba lo que hacen?
  • Los usuarios de Android probablemente estén mucho peor; solo que Google no lo hace público.
    Estoy considerando seriamente cambiarme a Apple por esto. No porque Apple sea segura, sino porque tiene la voluntad de informar a los usuarios a este nivel.

    • Irónicamente, eso podría ser peor. iMessage probablemente sea un paso clave en más del 60% de estos exploits, y varios motores de renderizado de Unicode/PDF también son causa de muchos ataques.
      La naturaleza open source de Android aumenta la probabilidad de que estas cosas sean descubiertas primero por investigadores de seguridad. Tampoco hay que olvidar que Zerodium sigue pagando más por un 0-day de Android que por un 0-day de iOS.
      Además, las diferencias entre dispositivos de Samsung, Google, Moto, Huawei, etc. son tan grandes que es tres veces más difícil que un solo exploit tenga éxito.
    • Leyendo entre líneas, parece que Apple podría tener capacidad de reproducir la causa raíz después de una infección en todos los dispositivos Apple, solo que quizá no lo diga públicamente.
      Eso significa que, si finalmente se descubre una infección, Apple puede aislar el punto de entrada de la vulnerabilidad y luego volver a escanear todos los dispositivos para detectar aquellos que posiblemente hayan sido objetivo del mismo ataque.
      Desde una perspectiva colectiva, tiene sentido hashear datos que puedan servir como huella. En un caso extremo, incluso algo tan simple como la pila de llamadas después de recibir un iMessage podría bastar.
    • “Los usuarios de Android probablemente estén mucho peor” necesita fundamentos.
    • Google lleva mucho tiempo haciendo esto. Recibí un correo de ese tipo alrededor de 2010.
    • Si los usuarios de Android en general están mucho peor, podría ser. Pero hoy en día Google Pixel está a la par de Apple en seguridad, y algunos incluso lo consideran más seguro. Como dijeron otros, Google también ha enviado notificaciones similares en el pasado.
      Además, no creo que Google tenga la responsabilidad de monitorear y avisar también sobre teléfonos de otros fabricantes como Samsung o Motorola.
  • “Los ataques de spyware mercenario, como los que parecen usar Pegasus de NSO Group, son extremadamente raros y mucho más sofisticados que el cibercrimen común o el malware de consumo”.
    Entonces, provocar una alerta de Apple al objetivo en sí mismo también podría ser parte de una operación sofisticada.
    Estos objetivos reaccionan, o se ven obligados a reaccionar, de ciertas maneras. Se trata de hacer salir a alguien que está escondido y obligarlo a responder, aunque sea solo para observar su comportamiento.
    ¿Qué harán después esos objetivos? ¿Cambiarán de teléfono? ¿Accederán a algún servicio digital específico? ¿Alertarán a su red por medios de comunicación normales? Desde el punto de vista de un observador, es bastante emocionante.

    • Apple recomienda en su sitio web a dónde contactar para recibir orientación y, por supuesto, Apple no es el único lugar que ofrece este tipo de consejos.
      Apple: “Si recibiste una notificación de amenaza de Apple, te recomendamos encarecidamente que busques ayuda experta, como la asistencia de seguridad de emergencia de respuesta rápida que ofrece la línea de ayuda sin fines de lucro Digital Security Helpline de Access Now. Los destinatarios de las notificaciones de amenaza de Apple pueden contactar a Digital Security Helpline a través de su sitio web, las 24 horas del día, los 7 días de la semana. Las organizaciones externas no tienen información sobre qué llevó a Apple a enviar una notificación de amenaza, pero pueden ayudar con consejos de seguridad personalizados para usuarios objetivo”.
      https://support.apple.com/en-lamr/102174
      Amnesty International: “Access Now Helpline y otros socios de la sociedad civil de Security Lab también están preparados para apoyar a las personas que hayan recibido notificaciones de Apple”.
      https://securitylab.amnesty.org/latest/2024/04/apple-threat-...
    • ¿Que si cambiaría de teléfono? Si un Motorola de 130 dólares puede ofrecer mejor seguridad, sí.
      Me sorprende que alguien guarde secretos en un iPhone después de que el FBI lograra entrar en uno en 2018.
  • Si tienes curiosidad por saber cómo se ve el mensaje real, un usuario de Reddit publicó uno junto con una versión anterior de 2023. No incluye todo el contenido: https://www.reddit.com/r/iphone/comments/1c10jai/i_have_rece...

    • Parece que el mensaje recomienda al usuario “actualizar a la versión más reciente del software, iOS 16.6”. Me pregunto si el mensaje es distinto para usuarios de dispositivos que no pueden actualizar más allá de iOS 15, como iPhone 7, 7 Plus o SE.
  • ¿Este spyware es posible por fallas de ingeniería en los productos de Apple?

    • Técnicamente, se podría decir que sí.
      Pero nunca ha existido software significativo que esté completamente libre de este tipo de fallas. Dicho de otra forma, creo que iOS probablemente sea mejor que la mayoría de las otras plataformas frente a este tipo de ataque.
    • Sobre NSO Group, vale la pena escuchar el podcast Darknet Diaries. NSO Group probablemente pague más de 100,000 dólares a hackers que tengan un zero-day útil para iPhone.
      https://darknetdiaries.com/episode/100/
    • Hasta ahora, casi todos los virus informáticos, gusanos, etc. han sido posibles por fallas de ingeniería en productos de software. Todo el software creado en el mundo, incluido el que estás usando ahora, tiene bugs.
    • Creo que sí. Todas las plataformas tienen bugs y zero-days.
  • Parece que prácticamente aplicaría a todos los países, así que me da curiosidad que las alertas solo vayan a 92 países.

    • ¿No será ilegal avisarles así a los usuarios en algunos países? Creo que en algunos países podría ser ilegal informar a una persona que fue objetivo del gobierno.
  • No se indica cuáles son esos 92 países.

    • Me pareció raro que mencionaran ese número en el mensaje al usuario final. Comparado con el mensaje del año pasado, siento que se volvió un poco más editorializado.