Un informe explosivo sobre software espía revela los límites de la seguridad de iOS y Android


Un informe de esta semana muestra que el problema del software espía de alta calidad está mucho más extendido de lo que se temía anteriormente.
Agrandar / Un informe de esta semana muestra que el problema del software espía de alta calidad está mucho más extendido de lo que se temía anteriormente.

Pau Barrena | imágenes falsas

El sombrío mundo del software espía privado ha sido durante mucho tiempo una preocupación en los círculos de ciberseguridad, ya que los gobiernos autoritarios han sido sorprendidos repetidamente atacando los teléfonos inteligentes de activistas, periodistas y rivales políticos con malware comprado a corredores sin escrúpulos. Las herramientas de vigilancia de estas empresas a menudo se dirigen a iOS y Android, que parecen no haber podido seguir el ritmo de la amenaza. Sin embargo, un nuevo informe sugiere que la escala del problema es mucho mayor de lo que se temía, y ha ejercido una presión adicional sobre los fabricantes de tecnología móvil, especialmente Apple, por parte de los investigadores de seguridad que buscan soluciones.

Esta semana, un grupo internacional de investigadores y periodistas de Amnistía Internacional, Forbidden Stories y más de una docena de otras organizaciones publicaron evidencia forense de que varios gobiernos de todo el mundo, incluidos Hungría, India, México, Marruecos, Arabia Saudita y los Emiratos Árabes Unidos, posiblemente clientes de la infame empresa israelí de software espía NSO Group. Los investigadores examinaron una lista filtrada de 50.000 números de teléfono de activistas, periodistas, ejecutivos y políticos, todos los cuales eran posibles objetivos de vigilancia. También examinaron 37 dispositivos que fueron infectados o atacados por el software espía invasivo Pegasus de NSO. Incluso desarrollaron una herramienta que puede usar para verificar si su iPhone se ha visto comprometido.

El Grupo NSO marcó el estudio el martes en una clara negación como «afirmaciones falsas de un consorcio de medios». Un portavoz del Grupo NSO dijo: “La lista no es una lista de objetivos de Pegasus o posibles objetivos. Los números de la lista no están relacionados de ninguna manera con el Grupo NSO. Cualquier afirmación de que un nombre en la lista está necesariamente asociado con un objetivo de Pegasus o un objetivo potencial es falso y falso ”. El miércoles, el Grupo NSO dijo que ya no responderá a las consultas de los medios.

NSO Group no es el único proveedor de software espía, pero tiene el perfil más alto. WhatsApp demandó a la compañía en 2019 por supuestamente atacar a más de mil de sus usuarios. Y la función BlastDoor de Apple, introducida en iOS 14 a principios de este año, fue un intento de detener las «vulnerabilidades de cero clic», ataques que no requerían dar propina o descargar a las víctimas. La protección no parece haber funcionado tan bien como se esperaba; La compañía lanzó un parche para iOS el martes para abordar la última ronda de presunta piratería del grupo NSO.

A la luz del informe, muchos investigadores de seguridad dicen que tanto Apple como Google pueden y deben hacer más para proteger a sus usuarios de estas sofisticadas herramientas de vigilancia.

«Definitivamente muestra desafíos en general con la seguridad de los dispositivos móviles y las capacidades de investigación en la actualidad», dice el investigador independiente Cedric Owens. «También creo que las infecciones de cero clic de NSO tanto en Android como en iOS muestran que los atacantes motivados y orientados a los recursos tienen éxito a pesar del control que ejerce Apple sobre sus productos y su ecosistema».

La tensión ha hervido durante mucho tiempo entre Apple y la comunidad de seguridad sobre los límites de la capacidad de los investigadores para realizar investigaciones forenses en dispositivos iOS y proporcionar herramientas de vigilancia. Un mayor acceso al sistema operativo ayudaría potencialmente a interceptar más ataques en tiempo real, por lo que los investigadores podrían obtener una comprensión más profunda de cómo se construyeron estos ataques. En este momento, los investigadores de seguridad se basan en una pequeña cantidad de indicadores dentro de iOS, así como en el jailbreak ocasional. Y aunque Android es intrínsecamente más abierto, también limita lo que se conoce como «observabilidad». Para combatir eficazmente el software espía de alto perfil como Pegasus, algunos investigadores creen que se necesitarían cosas como acceso para leer el sistema de archivos de un dispositivo, la capacidad de examinar qué procesos se están ejecutando, el acceso a los registros del sistema y otra telemetría.

Muchas críticas se han centrado en Apple en este sentido, ya que históricamente la compañía ha proporcionado protecciones de seguridad más fuertes a sus usuarios que el ecosistema fragmentado de Android.

«La verdad es que mantenemos a Apple en un estándar más alto precisamente porque lo están haciendo mucho mejor», dijo Juan Andrés Guerrero-Saade, principal investigador de amenazas de SentinelOne. “Android es gratis. No creo que nadie espere que la seguridad de Android mejore hasta el punto en que solo tengamos que lidiar con ataques dirigidos con exploits de día cero «.

De hecho, los investigadores de Amnistía Internacional dijeron que los dispositivos Apple infectados con el malware Pegasus en realidad encontraron más fácil encontrar e investigar los indicadores de compromiso que los dispositivos con Android estándar.

«Según la experiencia de Amnistía Internacional, los investigadores tienen mucha más evidencia forense en los dispositivos iOS de Apple que en los dispositivos Android estándar, por lo que nuestra metodología se centra en lo primero», escribió el grupo en un análisis técnico detallado de sus hallazgos sobre Pegasus, como resultado de la última casos de infecciones confirmadas por Pegasus en iPhones «.

Parte del enfoque en Apple también proviene de su propio énfasis en la privacidad y seguridad en el diseño y marketing de sus productos.

«Apple lo intenta, pero el problema es que no se esfuerzan tanto como sugiere su reputación», dijo Matthew Green, criptógrafo de la Universidad Johns Hopkins.

Sin embargo, a pesar de su enfoque más abierto, Google se enfrenta a críticas similares sobre la visibilidad que los investigadores de seguridad pueden obtener en su sistema operativo móvil.

“Android e iOS tienen diferentes tipos de protocolos. Son realmente difíciles de comparar ”, dijo Zuk Avraham, director ejecutivo del grupo de análisis ZecOps y defensor desde hace mucho tiempo del acceso a la información del sistema móvil. «Cada uno tiene una ventaja, pero ambos son igualmente insuficientes y permiten que los actores de amenazas se escondan».

Sin embargo, tanto Apple como Google parecen reacios a revelar más sobre la fabricación de salchichas forenses digitales. Y aunque la mayoría de los investigadores de seguridad independientes abogan por el aplazamiento, algunos también admiten que un mejor acceso a la telemetría del sistema también ayudaría a los malos actores.

«Sabemos que los registros persistentes para aplicaciones forenses, como los describen los investigadores de Amnistía Internacional, serían más útiles, pero también para los atacantes», dijo un portavoz de Google en un comunicado a WIRED. «Balanceamos continuamente estas diferentes necesidades».

Ivan Krstić, director de Arquitectura e Ingeniería de Seguridad de Apple, dijo en un comunicado: “Apple condena claramente los ataques cibernéticos contra periodistas, activistas de derechos humanos y otras personas que quieren hacer del mundo un lugar mejor. Apple ha sido líder en innovación en seguridad durante más de una década, por lo que los investigadores de seguridad están de acuerdo en que el iPhone es el dispositivo móvil más seguro que existe. Los ataques como los descritos son sofisticados, cuestan millones de dólares desarrollarlos, a menudo tienen una vida útil corta y se utilizan para atacar a individuos específicos. Si bien esto significa que no representan una amenaza para la inmensa mayoría de nuestros usuarios, continuamos trabajando incansablemente para mantener seguros a todos nuestros clientes y constantemente agregamos nuevas protecciones a sus dispositivos y datos «.

El truco consiste en encontrar el equilibrio adecuado entre ofrecer más indicadores del sistema sin facilitar inadvertidamente las cosas a los atacantes. «Apple podría hacer mucho de una manera muy segura para permitir la observación y la generación de imágenes de dispositivos iOS para detectar este tipo de mal comportamiento, pero eso no parece ser una prioridad», dijo el investigador de seguridad de iOS Will Strafach. «Estoy seguro de que tiene razones políticas legítimas para hacer esto, pero no estoy de acuerdo y me gustaría ver cambios en esa forma de pensar».

Thomas Reed, director de Mac y plataformas móviles del fabricante de antivirus Malwarebytes, está de acuerdo en que más información sobre iOS ayudaría a mantener seguros a los usuarios. Sin embargo, agrega que permitir un software de vigilancia específico y confiable conllevaría riesgos reales. Señala que ya existen programas sospechosos y potencialmente no deseados en macOS que Antivirus no puede eliminar por completo porque el sistema operativo les proporciona este tipo especial de confianza del sistema, posiblemente de forma incorrecta. El mismo problema con las herramientas de análisis de sistemas fraudulentos también aparecería casi inevitablemente en iOS.

«También vemos constantemente malware gubernamental en los sistemas de escritorio que se descubre después de varios años de implementación no detectada», agregó Reed. “Y eso en sistemas en los que ya se encuentran disponibles muchas soluciones de seguridad diferentes. Muchos ojos que buscan este malware son mejores que pocos. Solo me preocupa lo que tendríamos que cambiar por esa visibilidad «.

El Proyecto Pegasus, como el consorcio de investigación llama a los nuevos hallazgos, subraya el hecho de que es poco probable que Apple y Google puedan resolver la amenaza que representan los proveedores privados de software espía por sí mismos. La extensión y el alcance de los posibles objetivos de Pegasus sugieren que puede ser necesaria una prohibición global del software espía privado.

«Una moratoria en el comercio de software de intrusión es lo mínimo para una respuesta creíble: mera clasificación», dijo el denunciante de vigilancia de la NSA Edward Snowden. tuiteó el martes en respuesta a los resultados del Proyecto Pegasus. «Todo menos y el problema se agrava».

El lunes, Amazon Web Services dio su propio paso y cerró la infraestructura en la nube conectada a NSO.

Independientemente de lo que suceda con NSO Group en particular, o con el mercado de vigilancia privada en general, los ataques dirigidos sigilosos de cualquier fuente seguirán teniendo lugar en los dispositivos de los usuarios. Incluso si no se puede esperar que Google y Apple resuelvan el problema por sí mismos, deben seguir trabajando de una manera mejor.

Esta historia apareció originalmente en wired.com.



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *