La actualización de iOS 26 elimina IOC clave del spyware Pegasus y Predator

 (iverify.io)
1 puntos por GN⁺ 2025-10-27 | 1 comentarios | Compartir por WhatsApp
  • En la actualización más reciente de iOS 26, cambió la forma en que se procesa el archivo shutdown.log, lo que provoca que se borren rastros de infección de los spyware Pegasus y Predator
  • Antes, shutdown.log se utilizaba como evidencia forense clave para detectar malware en iOS, pero en la nueva versión el log se sobrescribe al reiniciar
  • Pegasus ha venido perfeccionando de forma continua técnicas de borrado y ocultamiento de logs desde hace años, y se analizó que Predator dejó huellas similares
  • Este cambio plantea el problema de que a investigadores de seguridad y peritos forenses les resulta más difícil verificar si hubo infección
  • En un momento en que los ataques con spyware van en aumento, llama la atención el gran impacto que la política de manejo de logs de Apple tiene sobre la transparencia de seguridad

El papel y la importancia de shutdown.log

  • El archivo shutdown.log registra eventos que ocurren durante el proceso de apagado de los dispositivos iOS y aporta pistas importantes para detectar malware
    • Su ubicación es la ruta Sysdiagnosesystem_logs.logarchiveExtrashutdown.log
    • Durante años pasó desapercibido en el análisis de malware para iOS, pero en realidad cumplía el papel de un “testigo silencioso” que dejaba rastros de infección
  • Existe un caso en que una versión de Pegasus revelada en 2021 dejó en este log rastros claros de infección (Indicator of Compromise, IOC)
    • Esto permitió a investigadores de seguridad identificar dispositivos infectados
    • Después, NSO Group, desarrollador de Pegasus, siguió mejorando sus técnicas para evadir la detección

La estrategia de evasión evolucionada de Pegasus

  • Hacia 2022, Pegasus empezó a ocultar sus rastros eliminando por completo el propio shutdown.log
    • Sin embargo, incluso durante ese proceso de borrado quedaban huellas mínimas, por lo que un “log anormalmente limpio” terminó usándose como indicio de infección
    • Este patrón se encontró en varios casos, y el borrado del log en sí mismo pasó a considerarse un indicador de compromiso
  • Después, se cree que Pegasus introdujo un mecanismo para vigilar en tiempo real el apagado del dispositivo y borrar por completo el log
    • Investigadores confirmaron múltiples casos en dispositivos conocidos como infectados donde shutdown.log aparecía vacío o era eliminado junto con otros IOC
    • Como resultado, un archivo de log reiniciado de forma anormal se usó como indicador heurístico para identificar dispositivos sospechosos

Huellas similares en el spyware Predator

  • El spyware Predator, observado en 2023, también parece haber aprendido del caso de Pegasus
    • Predator monitoreaba shutdown.log mientras dejaba sus propios rastros
    • Se detectaron patrones de log similares a los de Pegasus, lo que llevó a señalar similitudes técnicas entre ambos spyware

Cambios en iOS 26 y su impacto

  • En iOS 26, shutdown.log ahora se sobrescribe en cada reinicio (overwrite)
    • En versiones anteriores, el log de cada apagado se iba acumulando (append), preservando así el historial
    • Ahora, cada vez que se reinicia el dispositivo, el log anterior se borra por completo y se reemplaza por uno nuevo
  • Este cambio provoca que la evidencia existente de infección por Pegasus y Predator se elimine automáticamente
    • No está claro si Apple lo diseñó así intencionalmente o si se trata de un bug
    • Podría tener como objetivo mejorar la higiene del sistema o el rendimiento, pero afecta de forma crítica al análisis forense
  • Como recientemente altos ejecutivos, celebridades y otras figuras también se han convertido en blancos de ataques con spyware, la eliminación de logs en este momento genera gran preocupación en la comunidad de seguridad

IOC de Pegasus 2022 en versiones anteriores a iOS 26

  • En versiones anteriores a iOS 26 se identificó un IOC específico de infección por Pegasus 2022
    • Si la ruta /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking está presente en shutdown.log, hay una alta probabilidad de infección
    • NSO Group usó la estrategia de disfrazarse con nombres de procesos comunes del sistema para evitar la detección
    • Esto hizo más difícil la detección tradicional basada en nombres explícitos de procesos

Análisis correlativo de logs en iOS 18 y versiones anteriores

  • En iOS 18 y versiones anteriores, era posible determinar si hubo infección comparando los logs de containermanagerd con shutdown.log
    • Los logs de containermanagerd registran eventos de arranque y conservan datos durante varias semanas
    • Las discrepancias entre ambos logs (por ejemplo, muchos eventos de arranque pero pocos logs de apagado) sugieren una posible ocultación intencional
    • Esto permitía rastrear indirectamente señales de actividad del spyware

Medidas recomendadas antes de actualizar

  • Se recomienda tomar las siguientes medidas antes de actualizar a iOS 26
    • Generar y guardar de inmediato un Sysdiagnose para preservar el shutdown.log actual y la evidencia relacionada
    • Es aconsejable posponer la actualización hasta que Apple corrija el problema de sobrescritura del log
  • Estas medidas son esenciales para evitar la pérdida permanente de evidencia de infección y asegurar datos para futuros análisis forenses

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-10-27
Opiniones en Hacker News

  • El artículo resultaba confuso porque no definía qué era un IOC
    IOC significa Indicators Of Compromise. En el artículo lo escriben completo una vez, pero sin paréntesis. Lo comparto por si alguien más, como yo, no lo sabía

    • Gracias. El único IOC que yo conocía era el Comité Olímpico Internacional
    • En el ejército de EE. UU., IOC se usa como Initial Operational Capability. Se distingue de FOC (Full Operational Capability). Ver este enlace con la explicación del término
    • Las siglas o acrónimos, si no se definen con claridad, son ineficientes y crean una barrera entre quienes saben y quienes no
      Odié mucho cuando en Facebook empezó a usarse “ISO” con el sentido de “in search of”, porque se confundía con la ISO de la Organización Internacional de Normalización.
      En nuestra empresa tenemos la regla de usar solo abreviaturas cuyo significado una persona común pueda deducir y que no se presten a otra interpretación
    • Hacen el chiste “Help stamp out TLAs” con la idea de eliminar el abuso de TLA (three-letter acronym). También comparten este enlace a ASS.md
    • Los acrónimos de tres letras (TLA) solo tienen 17,576 combinaciones posibles

  • Que Apple se haya posicionado como una empresa de privacidad al final no fue más que marketing de marca
    Mientras ICE contrata a Paragon y usa spyware de cero clic, Apple borra rastros forenses clave que permiten detectar vigilancia patrocinada por Estados. Sumando incluso el lobby de oro y efectivo de Cook, están compitiendo por tocar fondo entre las big tech

    • Cuando trabajé en Apple hace 10 años, el ambiente interno no era así. Si hubo un cambio de ese tipo, probablemente sea algo reciente.
      Lo más probable es que sea un bug, y es muy poco probable que sea una función agregada tarde por petición del gobierno. En el caso San Bernardino con el FBI, Apple tampoco cooperó
    • Creo que Apple va a seguir fallando en reforzar la seguridad del iPhone frente a empresas de spyware
    • Apple tiene programa de bug bounty y también SDR, pero queda la duda de si eso es una convicción real o solo prevención de daño de marca.
      Podrían hacer más, pero a cualquier empresa le cuesta resistir por completo la presión política
    • Apple siempre ha sido buena en el marketing engañoso desde el principio: ecologismo falso, políticas que impiden reparar, promesas falsas de privacidad, etc.
      Si de verdad necesitas seguridad, GrapheneOS es mucho más confiable

  • En sistemas grandes, incluso un cambio pequeño termina siendo un problema para alguien
    Apple podría revertir la función para calmar a la comunidad de iVerify, pero a largo plazo eso solo hará que el spyware se esconda con más habilidad.
    Ahora hace falta una estrategia que vaya más allá de simples artefactos forenses

    • Las vulnerabilidades de iOS usadas por Pegasus y Predator ya son ampliamente conocidas, así que es miope que Apple no controle estos métodos de detección.
      La idea de que “el iPhone es seguro” al final no es más que confianza de caja negra. Siguen apareciendo bugs en iOS26, ¿por qué las funciones de seguridad serían la excepción?
    • Citan xkcd 1172 y xkcd 1053 para mencionar la situación de forma satírica

  • Los IOC se basan en el log de apagado
    En iOS 26, cada arranque sobrescribe shutdown.log, por lo que se pierde el historial anterior.
    Eso termina borrando por completo rastros de infecciones por Pegasus o Predator

  • Que Apple elimine el log de apagado podría ser una medida de seguridad para impedir que un atacante analice condiciones de fallo o el comportamiento del dispositivo
    Pero si realmente se toma en serio la privacidad, los usuarios también deberían tener derecho a examinar a fondo su propio dispositivo

    • Un atacante en fase de investigación igual puede rootear el dispositivo y obtener más información.
      Al final, este tipo de medida solo limita al usuario común
    • Ser dueño del dispositivo no significa que el fabricante esté obligado a ofrecer cualquier función que uno quiera
    • El acceso al log de apagado está menos restringido que la posibilidad de ver los procesos en ejecución.
      Apple siempre justifica más control en nombre de la privacidad

  • En la beta de iOS 26 este cambio no existía. Ojalá lo corrijan pronto
    Como explican en este video de YouTube, shutdown.log registraba la lista de procesos en ejecución y era útil para detectar IOC.
    También se aconseja reiniciar el dispositivo todos los días si te importa mucho la seguridad

  • Llevo tiempo sospechando que alguien dentro de Apple deja vulnerabilidades a propósito para hackers israelíes

    • Es posible, pero el iPhone es el producto principal de Apple, así que una decisión así provocaría pérdidas devastadoras.
      En EE. UU. quizá se olvidaría rápido, pero en Asia y Europa perderían credibilidad.
      Más realista sería que el gobierno haya presionado o captado a algún desarrollador dentro de Apple
    • Preferiría que dejaran vulnerabilidades más bien para el jailbreak
    • Es curioso cómo, cuando Israel aparece involucrado, toda organización de I+D empieza a parecer una conspiración /s

  • Ni siquiera los autores del artículo creen que Apple haya intentado bloquear deliberadamente la detección de spyware
    Recomiendan posponer un poco la actualización a iOS 26 y esperar a que Apple lo corrija

    • Pero para la mayoría de los usuarios, las correcciones de bugs generales importan mucho más que los IOC.
      Si no eres un objetivo de nivel estatal, retrasar la actualización es irracional

  • Un buen artículo debería ofrecer al principio una lista de términos y siglas.
    Si no tiene eso, no vale la pena leerlo

  • Parece absurdo que la forensia del iPhone solo sea posible mediante archivos de respaldo
    Deberían permitir extensiones del sistema (EL1+) como en macOS para habilitar monitoreo de seguridad

    • Como investigador de seguridad, esa función sería más bien un regalo para las empresas de spyware.
      El acceso con privilegios altos es peligroso
    • Si incluyera un volcado completo de memoria, sería más fácil encontrar vulnerabilidades de rooteo, así que Apple jamás lo permitiría
    • Un empleado de iVerify comentó en CCC que, igual que en macOS, iOS debería exponer mecanismos EDR
    • Intentar meterse con exploits en memoria es en sí mismo un riesgo innecesario /s