En los últimos años, los ataques de clic cero ocasionalmente se han convertido en el centro de atención. Como sugiere el nombre, los ataques de clic cero no requieren ninguna acción por parte de la víctima, lo que significa que incluso los usuarios más avanzados pueden ser víctimas de ciberataques graves y herramientas de spyware.
Los ataques de clic cero suelen tener objetivos específicos y utilizan tácticas sofisticadas. Pueden tener consecuencias devastadoras sin que la víctima sepa que algo va mal en segundo plano. Los términos «ataques de clic cero» y «exploits de clic cero» suelen utilizarse indistintamente. A veces también se denominan «ataques sin interacción» o «ataques totalmente remotos».
¿Qué es el malware de clic cero?
Tradicionalmente, el software espía requiere convencer al usuario objetivo de que haga clic en un enlace o archivo comprometido para que se instale en su teléfono, tablet u ordenador. Sin embargo, con un ataque de clic cero, el software puede instalarse en un dispositivo sin que la víctima tenga que hacer clic en ningún enlace. Como resultado, el malware de clic cero o sin clics es mucho más peligroso.
La interacción reducida que implican los ataques sin clics significa que hay menos rastros de la actividad maliciosa. Si a esto le sumamos el hecho de que las vulnerabilidades que los cibercriminales explotan para los ataques de clic cero suelen ser poco comunes, esto hace que los atacantes los valoren de manera especial.
Incluso los ataques de clic cero más básicos dejan pocos rastros, por lo que detectarlos es extremadamente difícil. Además, las mismas funciones que hacen que un software sea más seguro a menudo pueden hacer que los ataques de clic cero sean más difíciles de detectar. Los pirateos de clic cero existen desde hace mucho tiempo, y el problema se ha generalizado debido al uso creciente de teléfonos inteligentes, en los que se almacena una gran cantidad de datos personales. A medida que las personas y las organizaciones dependen cada vez más de los dispositivos móviles, la necesidad de estar informados de las vulnerabilidades de clic cero es más grande que nunca.
¿Cómo funciona un ataque de clic cero?
Por lo general, la infección remota de un dispositivo móvil objetivo requiere un cierto grado de ingeniería social, mediante la cual el usuario hace clic en un enlace malicioso o instala una aplicación maliciosa para ofrecerle un punto de entrada al atacante. Este no es el caso en los ataques de clic cero, los cuales evitan por completo la necesidad de aplicar ingeniería social.
Un pirateo de clic cero explota los fallos de tu dispositivo y utiliza una deficiencia en la verificación de datos para acceder a tu sistema. Gran parte del software usa procesos de verificación de datos para mantener a raya los incidentes de ciberseguridad. Sin embargo, existen vulnerabilidades de día cero persistentes que aún no se han corregido, las cuales brindan objetivos potencialmente lucrativos para los ciberdelincuentes. Los hackers sofisticados pueden aprovechar estas vulnerabilidades de día cero para ejecutar ciberataques que pueden implementarse sin que realices ninguna acción.
A menudo, los ataques sin clics se centran en aplicaciones que ofrecen mensajes o llamadas de voz, ya que estos servicios están diseñados para recibir e interpretar datos desde fuentes poco fiables. Por lo general, los atacantes utilizan datos creados especialmente —como un mensaje de texto oculto o una imagen de archivo— para inyectar un código que compromete al dispositivo.
Un ataque de clic cero hipotético suele funcionar de la siguiente manera:
- Los ciberdelincuentes detectan una vulnerabilidad en una aplicación de correo o mensajería.
- Aprovechan la vulnerabilidad enviando un mensaje cuidadosamente elaborado al objetivo.
- La vulnerabilidad permite que las entidades maliciosas infecten el dispositivo de forma remota a través de correos electrónicos que consumen mucha memoria.
- El correo electrónico, el mensaje o la llamada del hacker no permanecerán necesariamente en el dispositivo.
- Como resultado del ataque, los ciberdelincuentes pueden leer, editar, filtrar o eliminar mensajes.
El pirateo puede ser una serie de paquetes de red, solicitudes de autenticación, mensajes de texto, MMS, correos de voz, sesiones de videoconferencia, llamadas telefónicas o mensajes enviados por Skype, Telegram, WhatsApp, etc. Todos estos elementos pueden aprovechar una vulnerabilidad en el código de una aplicación cuyo trabajo es procesar los datos.
El hecho de que las aplicaciones de mensajería permitan identificar a las personas mediante sus números de teléfono, los cuales pueden localizarse fácilmente, implica que pueden ser un objetivo claro tanto para entidades políticas como para operaciones comerciales de piratería.
Los detalles de cada ataque de clic cero variarán según el tipo de vulnerabilidad que se esté aprovechando. Un rasgo clave de los pirateos de clic cero es su capacidad de no dejar rastro, lo que hace que sean muy difíciles de detectar. Esto significa que no es sencillo identificar quién los está usando ni con qué propósito. Sin embargo, se sabe que las agencias de inteligencia de todo el mundo los usan para interceptar mensajes de delincuentes y terroristas bajo sospecha, y para controlar su ubicación.
Ejemplos de malware de clic cero
Una vulnerabilidad de clic cero puede afectar a varios dispositivos, tanto Apple como Android. Los siguientes son solo algunos ejemplos de alto perfil de exploits de clic cero:
Entrada forzada de clic cero en Apple, 2021:
En 2021, un potente spyware que se vende a naciones-estado pirateó el iPhone de un activista de derechos humanos de Baréin. El pirateo, descubierto por investigadores de Citizen Lab, había superado las protecciones de seguridad implementadas por Apple para resistir ataques encubiertos.
Citizen Lab es un grupo de vigilancia en Internet con sede en la Universidad de Toronto. Analizaron el iPhone 12 Pro del activista y descubrieron que se había pirateado mediante un ataque de clic cero. El ataque sin clics se aprovechó de una vulnerabilidad de seguridad previamente desconocida del programa iMessage de Apple, que se empleó para insertar en el teléfono del activista el spyware Pegasus, programa desarrollado por la empresa israelí NGO Group.
El pirateo atrajo especial atención de la prensa, principalmente porque se aprovechó del software de iPhone más reciente del momento (iOS 14.4 y, posteriormente, iOS 14.6), que Apple había lanzado en mayo de 2021. El pirateo sobrepasó una función del software de seguridad integrada en todas las versiones de iOS 14 llamada BlastDoor, cuya finalidad era evitar este tipo de ataques al dispositivo mediante el filtrado de los datos maliciosos enviados a través de iMessage. Debido a su capacidad para superar a BlastDoor, este exploit se denominó ForcedEntry. Como respuesta, Apple actualizó sus defensas de seguridad en iOS 15.
Vulneración de WhatsApp, 2019:
Esta infame intrusión fue provocada por una llamada perdida, que aprovechó un fallo en el marco del código fuente de WhatsApp. Un exploit de día cero (es decir, una cibervulnerabilidad no corregida y desconocida hasta entonces) permitió que el atacante cargara spyware en los datos intercambiados entre dos dispositivos debido a la llamada perdida. Una vez cargado, el spyware se activaba como un recurso en segundo plano, y se integraba dentro del marco del software del dispositivo.
Jeff Bezos, 2018:
En 2018, el príncipe heredero Mohammed bin Salman de Arabia Saudita aparentemente envió a Jeff Bezos, CEO de Amazon, un mensaje de WhatsApp con un vídeo que promocionaba el mercado de telecomunicaciones de Arabia Saudita. Se dijo que había un código dentro del archivo de vídeo que permitió al emisor extraer información del iPhone de Bezos durante varios meses. El resultado fue la captura de mensajes de texto, mensajes instantáneos y correos electrónicos; incluso es posible que se obtuvieran grabaciones con los micrófonos del teléfono.
Project Raven, 2016:
Project Raven hace referencia a la unidad de ciberoperaciones ofensivas de Emiratos Árabes Unidos, en la cual trabajan como contratistas oficiales de seguridad emiratíes y ex operadores de inteligencia estadounidenses. Supuestamente, utilizaron una herramienta llamada Karma para aprovecharse de un fallo de iMessage. Karma utilizaba mensajes de texto diseñados especialmente para piratear los iPhones de activistas, diplomáticos y líderes extranjeros rivales con la finalidad de obtener fotos, correos electrónicos, mensajes de texto e información sobre su ubicación.
Cómo protegerse de los exploits de clic cero
Como los ataques de clic cero no se basan en la interacción de la víctima, es evidente que no se puede hacer mucho para protegerse. Aunque esto suene desalentador, es importante recordar que, generalmente, estos ataques suelen estar dirigidos a víctimas específicas con fines de espionaje o, quizá, para obtener ganancias económicas.
Dicho esto, poner en práctica hábitos básicos de protección cibernética te ayudarán a maximizar la seguridad en Internet. Puedes poner en marcha medidas sensatas como las siguientes:
- Mantén actualizado el sistema operativo, el firmware y las aplicaciones en todos tus dispositivos cuando recibas las solicitudes correspondientes.
- Descarga solo aplicaciones de tiendas oficiales.
- Desinstala las aplicaciones que ya no utilices.
- No hagas «jailbreaking» o «rooting» en tu teléfono, ya que esto elimina la protección proporcionada por Apple y Google.
- Utiliza la protección por contraseña de tu dispositivo.
- Usa una autenticación segura para acceder a las cuentas, especialmente en redes críticas.
- Usa contraseñas sólidas; es decir, contraseñas largas y únicas.
- Haz una copia de seguridad frecuente de los sistemas. Los sistemas se pueden restaurar en caso de ransomware, y contar con una copia de seguridad actual de todos los datos acelera el proceso de recuperación.
- Activa bloqueadores de ventanas emergentes o evita que estas aparezcan modificando la configuración de tu navegador. Los estafadores suelen usar ventanas emergentes para propagar malware.
Usar un antivirus integral también te ayudará a mantenerte a salvo en Internet. Kaspersky Total Security ofrece una protección ininterrumpida contra hackers, virus y malware, además de protección para pagos y herramientas de privacidad que te protegerán desde todos los ángulos. Kaspersky Internet Security for Android también protegerá tus dispositivos Android.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
¿Cómo funcionan los ataques de clic cero? https://t.co/Bjo7UdUVy1
RT @ciberseguridadl: ¿Cómo funcionan los ataques de clic cero? https://t.co/YQQiJEtmOk