Un informe explosivo de software espía muestra los límites de la seguridad de iOS y Android

Un informe de esta semana indica que el problema del software espía de alto calibre está mucho más extendido de lo que se temía anteriormente.
Agrandar / Un informe de esta semana indica que el problema del software espía de alto calibre está mucho más extendido de lo que se temía anteriormente.

Pablo Barrena | Getty Images

El mundo sombrío de el software espía privado ha causado alarma durante mucho tiempo en los círculos de ciberseguridad, ya que los gobiernos autoritarios han sido atrapado repetidamente dirigirse a los teléfonos inteligentes de activistas, periodistas y rivales políticos con malware comprado a corredores sin escrúpulos. Las herramientas de vigilancia que estas empresas proporcionan con frecuencia se dirigen a iOS y Android, que aparentemente no han podido mantenerse al día con la amenaza. Pero un nuevo informe sugiere que la escala del problema es mucho mayor de lo que se temía, y ha ejercido una presión adicional sobre los fabricantes de tecnología móvil, en particular Apple, por parte de los investigadores de seguridad que buscan soluciones.

Esta semana, un grupo internacional de investigadores y periodistas de Amnistía Internacional, Forbidden Stories y más de una docena de otras organizaciones publicaron pruebas forenses que varios gobiernos de todo el mundo, incluidos Hungría, India, México, Marruecos, Arabia Saudita y los Emiratos Árabes Unidos, pueden ser clientes del conocido proveedor israelí de software espía NSO Group. Los investigadores estudiaron una lista filtrada de 50.000 números de teléfono asociados con activistas, periodistas, ejecutivos y políticos que eran todos posibles objetivos de vigilancia. También analizaron específicamente 37 dispositivos infectados o atacados por el software espía invasivo Pegasus de NSO. Ellos creó una herramienta para que pueda comprobar si su iPhone se ha visto comprometido.

NSO Group calificó la investigación como “acusaciones falsas de un consorcio de medios de comunicación” en una negación fuertemente redactada el martes. Un portavoz de NSO Group dijo: “La lista no es una lista de objetivos de Pegasus o posibles objetivos. Los números de la lista no están relacionados con NSO Group de ninguna manera. Cualquier afirmación de que un nombre en la lista está necesariamente relacionado con un objetivo de Pegasus o el objetivo potencial es erróneo y falso “. El miércoles, NSO Group dijo que ya no respondería a las consultas de los medios.

NSO Group no es el único proveedor de software espía que existe, pero tiene el perfil más alto. WhatsApp demandó a la empresa en 2019 sobre lo que afirma fueron ataques a más de mil de sus usuarios. Y la función BlastDoor de Apple, introducido en iOS 14 a principios de este año, fue un intento de eliminar las “vulnerabilidades de cero clic”, ataques que no requieren ningún toque o descarga de las víctimas. La protección no parece haber funcionado tan bien como se esperaba; la compañía lanzó un parche para iOS para abordar la última ronda de supuestos piratería de NSO Group el martes.

De cara al informe, muchos investigadores de seguridad dicen que tanto Apple como Google pueden y deben hacer más para proteger a sus usuarios contra estas sofisticadas herramientas de vigilancia.

“Definitivamente muestra desafíos en general con la seguridad de los dispositivos móviles y las capacidades de investigación en estos días”, dice el investigador independiente Cedric Owens. “También creo que ver las infecciones sin clic de Android e iOS por parte de NSO muestra que los atacantes motivados y con recursos aún pueden tener éxito a pesar de la cantidad de control que Apple aplica a sus productos y ecosistema “.

Las tensiones han hervido durante mucho tiempo entre Apple y la comunidad de seguridad sobre los límites en la capacidad de los investigadores para realizar investigaciones forenses en dispositivos iOS e implementar herramientas de monitoreo. Un mayor acceso al sistema operativo ayudaría potencialmente a detectar más ataques en tiempo real, lo que permitiría a los investigadores obtener una comprensión más profunda de cómo se construyeron esos ataques en primer lugar. Por ahora, los investigadores de seguridad se basan en un pequeño conjunto de indicadores dentro de iOS, además de fuga ocasional. Y aunque Android es más abierto por diseño, también pone límites a lo que se conoce como “observabilidad”. La lucha eficaz contra el software espía de alto calibre como Pegasus, dicen algunos investigadores, requeriría cosas como el acceso para leer el sistema de archivos de un dispositivo, la capacidad de examinar qué procesos se están ejecutando, el acceso a los registros del sistema y otra telemetría.

Muchas críticas se han centrado en Apple en este sentido, porque históricam ente la compañía ha ofrecido protecciones de seguridad más fuertes para sus usuarios que el ecosistema fragmentado de Android.

“La verdad es que mantenemos a Apple en un estándar más alto precisamente porque lo están haciendo mucho mejor”, dice el investigador principal de amenazas de SentinelOne, Juan Andrés Guerrero-Saade. “Android es gratis para todos. No creo que nadie espere que la seguridad de Android mejore hasta un punto en el que todo lo que debamos preocuparnos sean los ataques dirigidos con exploits de día cero “.

De hecho, los investigadores de Amnistía Internacional dicen que en realidad les resultó más fácil encontrar e investigar los indicadores de compromiso en los dispositivos Apple dirigidos con el malware Pegasus que en los que ejecutan Android estándar.

“Según la experiencia de Amnistía Internacional, hay muchos más rastros forenses accesibles para los investigadores en los dispositivos iOS de Apple que en los dispositivos Android estándar, por lo que nuestra metodología se centra en los primeros”, escribió el grupo en un extenso análisis técnico de sus hallazgos sobre Pegasus. “Como resultado, los casos más recientes de infecciones confirmadas por Pegasus han involucrado a iPhones”.

Parte del enfoque en Apple también proviene del propio énfasis de la compañía en la privacidad y seguridad en el diseño y marketing de sus productos.

“Apple lo está intentando, pero el problema es que no se están esforzando tanto como su reputación implica”, dice el criptógrafo de la Universidad Johns Hopkins, Matthew Green.

Sin embargo, incluso con su enfoque más abierto, Google enfrenta críticas similares sobre la visibilidad que los investigadores de seguridad pueden obtener en su sistema operativo móvil.

“Android e iOS tienen diferentes tipos de registros. Es realmente difícil compararlos ”, dice Zuk Avraham, director ejecutivo del grupo de análisis ZecOps y defensor desde hace mucho tiempo del acceso a la información del sistema móvil. “Cada uno tiene una ventaja, pero tampoco son suficientes y permiten que los actores de amenazas se escondan”.

Sin embargo, Apple y Google parecen reacios a revelar más sobre la fabricación de salchichas forenses digitales. Y aunque la mayoría de los investigadores de seguridad independientes abogan por el cambio, algunos también reconocen que un mayor acceso a la telemetría del sistema también ayudaría a los malos actores.

“Si bien entendemos que los registros persistentes serían más útiles para usos forenses como los descritos por los investigadores de Amnistía Internacional, también serían útiles para los atacantes”, dijo un portavoz de Google en un comunicado a WIRED. “Constantemente equilibramos estas diferentes necesidades . “

Ivan Krstić, jefe de ingeniería y arquitectura de seguridad de Apple, dijo en un comunicado que “Apple condena inequívocamente los ciberataques contra periodistas, activistas de derechos humanos y otras personas que buscan hacer del mundo un lugar mejor. Durante más de una década, Apple ha liderado la industria en innovación de seguridad y, como resultado, los investigadores de seguridad coinciden en que el iPhone es el dispositivo móvil de consumo más seguro del mercado. Los ataques como los descritos son altamente sofisticados, cuestan millones de dólares desarrollarlos, a menudo tienen una vida útil corta y se utilizan para atacar a individuos específicos. Si bien eso significa que no son una amenaza para la inmensa mayoría de nuestros usuarios, continuamos trabajando incansablemente para defender a todos nuestros clientes y constantemente agregamos nuevas protecciones para sus dispositivos y datos “.

El truco consiste en encontrar el equilibrio adecuado entre ofrecer más indicadores del sistema sin facilitar inadvertidamente el trabajo de los atacantes. “Hay muchas cosas que Apple podría estar haciendo de una manera muy segura para permitir la observación y la creación de imágenes de dispositivos iOS para detectar este tipo de mal comportamiento, pero eso no parece tratarse como una prioridad”, dice el investigador de seguridad de iOS. Will Strafach. “Estoy seguro de que tienen razones políticas justas para esto, pero es algo con lo que no estoy de acuerdo y me encantaría ver cambios en esta forma de pensar”.

Thomas Reed, director de Mac y plataformas móviles del fabricante de antivirus Malwarebytes, dice que está de acuerdo en que una mayor comprensión de iOS beneficiaría a las defensas de los usuarios. Pero agrega que permitir un software de monitoreo especial y confiable conllevaría riesgos reales. Señala que ya existen programas sospechosos y potencialmente no deseados en macOS que el antivirus no puede eliminar por completo porque el sistema operativo les otorga este tipo especial de confianza del sistema, potencialmente en error. El mismo problema de las herramientas de análisis de sistemas fraudulentos también surgiría casi inevitablemente en iOS.

“También vemos malware de estado-nación todo el tiempo en los sistemas de escritorio que se descubre después de varios años de implementación no detectada”, agrega Reed. “Y eso es en sistemas donde ya hay muchas soluciones de seguridad diferentes disponibles. Muchos ojos que buscan este malware son mejor que pocos. Solo me preocupa lo que tendríamos que intercambiar por esa visibilidad “.

El Proyecto Pegasus, como el consorcio de investigadores llama a los nuevos hallazgos, subraya la realidad de que es poco probable que Apple y Google resuelvan la amenaza que representan los proveedores privados de software espía por sí solos. La escala y el alcance de los posibles objetivos de Pegasus indican que puede ser necesaria una prohibición global del software espía privado.

“Una moratoria en el comercio de software de intrusión es lo mínimo para una respuesta creíble: mera clasificación”, dijo el denunciante de vigilancia de la NSA, Edward Snowden. tuiteó el martes en reacción a los hallazgos del Proyecto Pegasus. “Cualquier cosa menos y el problema empeora”.

El lunes, Amazon Web Services dio su propio paso cerrando la infraestructura en la nube vinculada a NSO.

Independientemente de lo que suceda con NSO Group en particular, o con el mercado de vigilancia privada en general, los dispositivos de los usuarios siguen siendo, en última instancia, donde se desarrollarán los ataques dirigidos clandestinos de cualquier fuente. Incluso si no se puede esperar que Google y Apple resuelvan el problema por sí mismos, deben seguir trabajando en una mejor manera de avanzar.

Esta historia apareció originalmente en wired.com.

Leave a Reply

Your email address will not be published. Required fields are marked *