Los investigadores dicen que los presuntos piratas informáticos de un estado-nación infectaron los iPhones de Apple con software espía durante dos años en lo que los expertos en seguridad llamaron el viernes una falla de seguridad alarmante para una empresa cuya tarjeta de visita es la privacidad.

Una simple visita a uno de los pocos sitios web contaminados podría infectar un iPhone con un implante capaz de enviar mensajes de texto al propietario del teléfono inteligente. Email, fotos y datos de ubicación en tiempo real a los ciberespías detrás de la operación.

"Este es definitivamente el incidente de piratería de iPhone más grave que se haya llamado la atención del público, tanto por la focalización indiscriminada como por la cantidad de datos comprometidos por el implante, "dijo el ex pirata informático del gobierno de EE. UU. Jake Williams, el presidente de Rendition Security.

Anunciado el jueves por la noche por investigadores de Google, Apple corrigió silenciosamente la última de las vulnerabilidades en febrero, pero solo después de que se creyó que miles de usuarios de iPhone habían quedado expuestos durante más de dos años.

Los investigadores no identificaron los sitios web utilizados para sembrar el software espía ni su ubicación. Tampoco dijeron quién estaba detrás del ciberespionaje ni a qué población se dirigía. pero los expertos dijeron que la operación tenía el sello de un esfuerzo de estado-nación.

Williams dijo que el implante de software espía no fue escrito para transmitir datos robados de forma segura, lo que indica que los piratas informáticos no estaban preocupados por ser atrapados. Eso sugiere que un estado autoritario estaba detrás de esto. Especuló que probablemente se utilizó para apuntar a disidentes políticos.

Los datos confidenciales a los que accede el software espía incluyen WhatsApp, Mensajes de texto de iMessage y Telegram, Gmail, fotos, contactos y ubicación en tiempo real, básicamente todas las bases de datos del teléfono de la víctima. Si bien las aplicaciones de mensajería pueden cifrar los datos en tránsito, es legible en reposo en iPhones.

El investigador de Google, Ian Beer, dijo en un blog publicado el jueves por la noche que el descubrimiento debería disipar cualquier idea de que cuesta un millón de dólares piratear con éxito un iPhone. Esa es una referencia al caso de un disidente de los Emiratos Árabes Unidos cuyo iPhone se infectó en 2016 con los llamados exploits de día cero. que se sabe que alcanzan precios tan altos.

"Día cero" se refiere al hecho de que los desarrolladores del software afectado desconocen tales vulnerabilidades. y por eso no han tenido tiempo de desarrollar parches para solucionarlo.

El descubrimiento, que involucran 14 de tales vulnerabilidades, fue realizado por investigadores de Google en Project Zero, que busca las fallas de seguridad en el software y el firmware del microprocesador, independiente de su fabricante, que los criminales, los piratas informáticos patrocinados por el estado y las agencias de inteligencia.

"Esto debería servir como una llamada de atención para la gente, "dijo Will Strafach, un experto en seguridad móvil con Sudo Security. "Cualquiera en cualquier plataforma podría potencialmente infectarse con malware".

Beer dijo que su equipo estimó que los sitios web infectados utilizados en los "ataques indiscriminados de abrevaderos" reciben miles de visitantes por semana. Dijo que el equipo recopiló cinco cadenas separadas de exploits que cubren el sistema iOS de Apple desde la versión 10, lanzado en 2016.

Apple no respondió a las solicitudes de comentarios sobre por qué no detectó las vulnerabilidades por sí mismo y si puede asegurar a los usuarios que un ataque tan generalizado no podría volver a ocurrir. La garantía de privacidad es fundamental para la marca Apple.

Ni Google ni Beer respondieron preguntas sobre los atacantes o los objetivos, aunque Beer dio una pista en la publicación de su blog:"Ser un objetivo puede significar simplemente haber nacido en una determinada región geográfica o ser parte de un determinado grupo étnico".

El gerente de seguridad Matt Lourens de Check Point Software Technologies calificó el desarrollo como un cambio de juego alarmante. Dijo que si bien los propietarios de iPhone previamente comprometidos por cero días eran objetivos de alto valor, Ahora se ha demostrado que es posible una siembra más generalizada de software espía a un menor costo por infección.

"Esto debería cambiar absolutamente la forma en que las corporaciones ven el uso de dispositivos móviles para aplicaciones corporativas, y el riesgo de seguridad que presenta para el individuo y / o la organización, ", Dijo Lourens en un correo electrónico.

En su publicación de blog, Beer, investigador de Google, advirtió que no se puede garantizar la seguridad digital absoluta.

En última instancia, los usuarios de teléfonos inteligentes deben "ser conscientes del hecho de que la explotación masiva todavía existe y comportarse en consecuencia"; el escribio, "tratar sus dispositivos móviles como parte integral de sus vidas modernas, pero también como dispositivos que, cuando se ven comprometidos, pueden cargar cada una de sus acciones en una base de datos para ser potencialmente utilizadas en su contra ".

© 2019 The Associated Press. Reservados todos los derechos.