Project Zero, un equipo de Google espacialmente dedicado a encontrar fallos de seguridad en los sistemas operativos existentes, ha desvelado estos días uno de los mayores ataques que ha recibido iOS desde su creación. Hasta cinco fallos de seguridad que en un periodo de dos años han ido aprovechándose para instalar software espía en nuestros iPhone y iPad.
¿Cuáles son esos fallos de seguridad? ¿Qué datos han estado expuestos? ¿Qué dispositivos han sido susceptibles? ¿Cómo funcionaban? Vamos a explicaros todos los detalles, sin cuñadismos ni catastrofismos, y en un lenguaje que todos entenderéis sin problemas.
Cinco fallos de seguridad
¿Qué es un fallo de seguridad? Los sistemas operativos no son perfectos, no existe el sistema invulnerable y jamás existirá. Sólo existen sistemas que son más seguros que otros porque ponen las cosas más difíciles a los hackers, pero si estos tienen interés, siempre encontrarán fallos de seguridad que podrán aprovechar. Esos fallos de seguridad son “agujeros” por los que los hackers pueden entrar en nuestro sistema y hacer cosas que no están permitidas, como instalar software espía.
En nuestro iPhone o nuestro iPad no se puede instalar cualquier software que encontremos, sólo el que está en el App Store, y que Apple revisa. Incluso el software que hay en el App Store y que sí podemos instalar, tiene limitaciones y hay funciones a las que no tiene acceso, en eso se basa la seguridad que Apple ofrece a sus usuarios. Pero como decíamos, ningún software es perfecto y a veces aparecen “agujeros” por los que se pueden colar aplicaciones con malas intenciones. Estos cinco fallos de seguridad de los que hoy os hablamos permitían que algunas páginas webs creadas por los hackers pudieran instalar software espía en nuestros dispositivos iOS sin nuestro conocimiento, algo que obviamente se salta todas las medidas de seguridad de Apple.
¿Qué páginas webs son? No se han publicado, pero según las informaciones que han ido apareciendo por la red, se trata de páginas con ideologías políticas bien definidas y creadas expresamente para que accedieran grupos poblacionales concretos, por lo que se sospecha que detrás de estos ataques habría un estado (o varios) que lo que querían era espiar a determinados grupos de su población. ¿Qué datos conseguían? Llamadas telefónicas, mensajes, WhatsApp, Telegram, páginas web, ubicación… información muy valiosa y por la que habrían pagado importantes sumas de dinero.
Tres de los fallos ya estaban solucionados
Project Zero informó a Apple de estos cinco fallos de seguridad en febrero de 2019, y en ese momento tres de esos cinco fallos ya estaban solucionados con las correspondientes actualizaciones que Apple lanzó en su momento. Los dos fallos que no estaban solucionados, porque Apple no conocía hasta que Project Zero se los mostró, tardaron una semana en solucionarse con la actualización a iOS 12.1.4. Es decir, al contrario de lo que se publica en la mayoría de medios, no han sido dos años con nuestros iPhone expuestos a estos ataques, porque Apple iba parcheando los fallos a medida que los descubría.
El mayor periodo de tiempo en el que un fallo estuvo activo fue inferior a 10 meses (“chain 3”), siendo el resto de fallos válidos por periodos inferiores a ese debido a las actualizaciones que Apple iba lanzando, como podéis ver en la gráfica que hay sobre estos párrafos y en las que se muestra las fechas y versiones que solucionan cada uno de los fallos de seguridad.
Solución: actualiza siempre a la última versión
No nos cansaremos de repetirlo a pesar de que muchos se nieguen a aceptarlo: contar con un sistema operativo que da soporte mediante actualizaciones frecuentes y prolongadas en el tiempo es la mejor forma de garantizar la máxima seguridad posible. Es importante que el tiempo de respuesta sea mínimo, que la actualización que soluciona el problema esté disponible lo antes posible, y que además llegue al mayor número de dispositivos posible. El sistema operativo invulnerable no existe, pero hay que intentar quedarse lo más cerca que se pueda de ese objetivo inalcanzable.