Apple se ha pasado la última semana apurándose para desarrollar una solución para una importante falla de seguridad que permite descargar software espía en un iPhone o iPad sin que el propietario siquiera haga clic en un botón.

Pero, ¿cómo funcionan estos ataques de "clic cero"? ¿Se pueden detener?

¿Qué es un truco de 'clic cero'?

El software de espionaje se ha basado tradicionalmente en convencer a la persona objetivo de hacer clic en un enlace o archivo con una trampa explosiva para instalarse en su teléfono, tableta o computadora.

"Zero-click lleva esa amenaza al siguiente nivel", dijo John Scott-Railton, investigador principal de Citizen Lab, el centro de ciberseguridad de la Universidad de Toronto que descubrió la falla de Apple.

Con un ataque de clic cero, el software puede colarse en el dispositivo sin que la persona deba ser engañada para hacer clic en el enlace.

Eso otorga a los posibles espías un acceso mucho más fácil, sobre todo en una era en la que las personas se han vuelto cada vez más cautelosas a la hora de hacer clic en mensajes de aspecto sospechoso.

En este caso, el malware aprovechó un agujero en el software iMessage de Apple para instalar sigilosamente Pegasus, una pieza de software enormemente invasiva que esencialmente convierte un teléfono en un dispositivo de escucha de bolsillo.

Las denuncias de que el software ha sido utilizado por gobiernos de todo el mundo para espiar a activistas de derechos humanos, ejecutivos de empresas y políticos provocaron un escándalo mundial en julio.

¿Sabré si mi teléfono está infectado?

Una respuesta simple:"No", dijo Scott-Railton.

"No hay nada que puedas hacer como usuario para protegerte de la infección, y nada que verás cuando estés infectado", dijo a la AFP.

Esa es en parte la razón por la que Apple se ha tomado la amenaza tan en serio, dijo.

Scott-Railton instó a los usuarios de Apple a instalar la actualización de software lanzada por el gigante tecnológico el lunes.

Apple anunció una solución para el problema poco menos de una semana después de que Citizen Lab lo informara el 7 de septiembre.

Una solución de esta velocidad es "una rareza, incluso para una gran empresa", dijo Scott-Railton.

¿Por qué las aplicaciones de mensajería son tan vulnerables?

Las revelaciones de la falla de iMessage de Apple se producen después de que el servicio de mensajería WhatsApp descubriera en 2019 que también tenía una vulnerabilidad de clic cero que se estaba utilizando para instalar Pegasus en los teléfonos.

Scott-Railton dijo que la ubicuidad de tales aplicaciones significaba que no era sorprendente que NSO Group, la compañía israelí detrás de Pegasus golpeada por el escándalo, las hubiera usado para infiltrarse en los dispositivos de las personas.

"Si encuentra un teléfono, es muy probable que tenga una aplicación de mensajería popular", explicó.

"Encontrar una manera de infectar teléfonos a través de aplicaciones de mensajería es una manera fácil y rápida de lograr lo que deseas".

El hecho de que las aplicaciones de mensajería permitan identificar a las personas con sus números de teléfono, que son fácilmente localizables, también "significa que hay un gran objetivo tanto para los estados-nación como para las operaciones de piratería de mercenarios comerciales como NSO", dijo.

¿Se pueden detener estos ataques?

Vivien Raoul, directora técnica de la firma francesa de ciberseguridad Pradeo, dijo que el descubrimiento de la falla de iMessage fue "un buen comienzo para reducir los puertos de entrada, pero desafortunadamente no es suficiente para detener a Pegasus".

Los creadores de malware pueden simplemente buscar otras debilidades en aplicaciones ampliamente utilizadas, que inevitablemente incluyen fallas de vez en cuando debido a su complejidad, dicen los expertos.

El sistema operativo móvil de Google, Android, y el iOS de Apple, "corregen regularmente una gran cantidad de vulnerabilidades", dijo Raoul.

NSO, cuyos reclutas incluyen a exmiembros de élite de la inteligencia militar israelí, tiene formidables recursos propios para invertir en la búsqueda de puntos débiles, mientras que los piratas informáticos también venden el acceso a ellos en la web oscura.