Protección mediante restricción: El nuevo Lockdown Mode de Apple

La nueva función de Apple promete una mayor protección en la lucha contra los ataques dirigidos.

En julio de 2022, Apple anunció una nueva función de protección para sus dispositivos llamada “Lockdown Mode“. Esta se encarga de restringir las funcionalidades de tu smartphone, tablet o portátil de Apple. Su objetivo es reducir el porcentaje de éxito de los ataques dirigidos cuyo target son políticos, activistas y periodistas, entre otros. Este Lockdown Mode está previsto que aparezca en las próximas versiones de iOS 16 (para smartphones), iPadOS 16 (para tablets) y macOS 13 Ventura (para ordenadores de mesa y portátiles).

Para los usuarios “corrientes”, este modo puede causar más problemas que beneficios. Por esta razón, Apple lo recomienda sólo a los usuarios cuyas actividades estén expuestas a ataques dirigidos. En este post, analizamos los entresijos del Lockdown Mode, comparamos las nuevas restricciones con las capacidades de famosos exploits para smartphones de Apple y explicamos por qué este modo, a pesar de ser útil, no es nuestra salvación.

Lockdown Mode al detalle

Antes de que termine este año, con el lanzamiento de las nuevas versiones de iOS, tu smartphone o tablet de Apple, si es posterior a 2018, tendrá el nuevo Lockdown Mode en sus ajustes.

Pantalla de activación del Lockdown Mode en un smartphone de Apple

Pantalla de activación del Lockdown Mode en un smartphone de Apple. Fuente

Tras la activación de la función, el teléfono se reiniciará y pequeñas funciones (pero, para algunas personas, vitales) dejarán de funcionar. Por ejemplo, los archivos adjuntos de iMessage se bloquearán y el navegador de internet puede experimentar algunos fallos. Además, será más difícil que te contacten personas con las que no has tenido contacto antes. Todas estas restricciones son un esfuerzo por cerrar los puntos de entrada más explotados por los atacantes.

En concreto, el Lockdown Mode restringe las siguientes funciones en tu dispositivo Apple::

  1. En los chats de iMessage, sólo podrás ver el texto y las imágenes que te envíen. Todos los demás archivos adjuntos son bloqueados.
  2. Algunas funciones de los navegadores estarán deshabilitadas, incluida la compilación en tiempo de ejecución.
  3. Se bloquearán todas las invitaciones entrantes para comunicarse a través de los servicios de Apple. Por ejemplo, no podrás realizar una llamada FaceTime si no has hablado antes con el otro usuario.
  4. Si está bloqueado, el smartphone no interactuará de ninguna manera con el ordenador (u otros dispositivos externos conectados con un cable).
  5. Tampoco será posible instalar perfiles de configuración o inscribir el teléfono en la Gestión de Dispositivos Móviles (MDM).

Las tres primeras medidas pretenden limitar las entradas de ataque remoto más comunes en los dispositivos de Apple: un iMessage infectado, un enlace a un sitio web malicioso y una videollamada entrante.

El cuarto está diseñado para proteger la conexión del iPhone, si se deja sin vigilancia, a un ordenador ante un posible robo de información a través de una vulnerabilidad en el protocolo de comunicación.

Y la quinta restricción hace imposible conectar un smartphone en Lockdown Mode a un sistema MDM. Normalmente, las empresas suelen utilizar el MDM con fines de seguridad, como, por ejemplo, borrar la información de un teléfono perdido. Pero esta función también puede utilizarse para robar datos, ya que da al administrador de MDM un amplio control sobre el dispositivo.

En definitiva, el Lockdown Mode parece una buena solución. ¿Deberíamos aguantar estos inconvenientes para estar seguros?

Ventajas vs errores

Antes de abordar este tema, vamos a ver hasta qué punto es eficiente la solución de Apple. Si nos paramos a pensar, es exactamente lo contrario a todas las normas establecidas en la industria. Por lo general, es así: primero, un desarrollador propone una nueva función, la lanza y luego comienza esa lucha por pulir los errores. Con el Lockdown Mode, en cambio, Apple propone renunciar a un puñado de funciones existentes para una mejor protección.

Un ejemplo sencillo (y puramente teórico): supongamos que el fabricante de una aplicación de mensajería añade la posibilidad de intercambiar emojis animados, e incluso crear los tuyos. Pero resulta que es posible crear un emoji que hace que los dispositivos de todos los destinatarios se reinicien constantemente. No es un buen plan, ¿verdad?.

Para evitarlo, habría que haber descartado esa función, o haber dedicado más tiempo al análisis de la vulnerabilidad. Pero, claro, era más importante lanzar y monetizar el producto cuanto antes. En esta lucha entre seguridad y comodidad, siempre ganaba esta última. Hasta ahora, ya que el nuevo modo de Apple pone la seguridad por delante de todo lo demás. Y solo hay una palabra para describirlo: genial.

¿Significa esto que los iPhones sin Lockdown Mode son inseguros?

Los dispositivos móviles de Apple son bastante seguros, y es algo que tenemos que poner de manifiesto en este artículo: Robar datos de un iPhone no es fácil, y Apple se esfuerza por mantenerlo así.

Por ejemplo, la información biométrica para desbloquear el teléfono se almacena sólo en el dispositivo y no se envía al servidor. Los datos del almacenamiento del teléfono están encriptados y el PIN para desbloquear el teléfono no puede ser forzado ya que, tras varios intentos erróneos, el dispositivo se bloquea. Las aplicaciones del smartphone se ejecutan de forma aislada y, en general, no pueden acceder a los datos almacenados por otras aplicaciones. Hackear un iPhone es cada vez más difícil. Para la mayoría de los usuarios, este nivel de seguridad es más que suficiente.

Entonces, ¿para qué más?

La clave es que está función va dirigida a un número bastante reducido de usuarios cuyos datos son tan valiosos que quienes los quieren están dispuestos a recorrer longitudes extraordinarias para conseguirlos. En este contexto, longitudes extraordinarias significa invertir mucho tiempo y dinero en el desarrollo de complejos exploits capaces de eludir los sistemas de protección más conocidos. Estos sofisticados ciberataques solo amenazan a unas pocas decenas de miles de personas en todo el mundo.

Esta cifra aproximada la conocemos por el Proyecto Pegasus. En 2020 se filtró una lista con unos 50.000 nombres y números de teléfono de personas que supuestamente habían sido (o podrían haber sido) atacadas con un programa espía desarrollado por NSO Group. Esta empresa israelí ha sido criticada durante mucho tiempo por su desarrollo “legal” de herramientas de hacking para clientes, entre los que se encuentran muchas agencias de inteligencia de todo el mundo.

La propia NSO Group negó cualquier relación entre sus soluciones y la lista de objetivos filtrada, pero más tarde aparecieron pruebas de que varios activistas, periodistas y políticos (hasta jefes de Estado y de Gobierno) habían sido atacados utilizando las tecnologías de dicha empresa. El desarrollo de exploits, incluso legalmente, es un negocio que puede dar lugar a la filtración de métodos de ataque extremadamente peligrosos, que cualquiera puede utilizar.

¿Cómo de complejos son los exploits para iOS?

El nivel de complejidad de estos exploits puede medirse observando un ataque de “clic cero” que el equipo del Proyecto Cero de Google investigó a finales del año pasado. Normalmente, la víctima tiene que hacer clic en un enlace para activar el malware del atacante, pero “cero clic” significa que no se requiere ninguna acción del usuario para afectar el dispositivo.

En concreto, en el caso descrito por Project Zero, basta con enviar un mensaje malicioso a la víctima por iMessage, que en la mayoría de los iPhones está activado por defecto y sustituye los sms normales. En otras palabras, basta con que un atacante conozca el número de teléfono de la víctima y le envíe un mensaje, con solamente esto obtiene el control remoto del dispositivo objetivo.

Se trata de un exploit es muy complejo. En iMessage, la víctima recibe un archivo con la extensión GIF, que en realidad no es un GIF, sino un PDF comprimido con un algoritmo bastante popular a principios de la década de 2000. El teléfono de la víctima intenta mostrar una vista previa de este documento. En la mayoría de los casos, se utiliza el propio código de Apple para esto, pero para esta compresión en particular se emplea un programa de terceros. Y en él, se encontró una vulnerabilidad – un error de desbordamiento de búfer no precisamente muy notable. Intentando explicarlo de la forma más sencilla posible, fue construido alrededor de esta vulnerabilidad menor es un sistema de cálculo separado e independiente, que en última instancia ejecuta código malicioso.

En otras palabras, el ataque aprovecha una serie de fallos no en el sistema, cada uno de los cuales parece insignificante por separado. Sin embargo, si se encadenan uno con otro, el resultado es la infección del iPhone mediante un único mensaje, sin necesidad de que el usuario haga clic.

Esto, siendo sinceros, no es algo con lo que un hacker adolescente podría tropezar accidentalmente. Y ni siquiera es lo que un equipo de escritores de malware normales podría crear: normalmente buscan una ruta mucho más directa para la monetización. Un exploit tan sofisticado requiere de miles de horas y muchos millones de dólares para su creación.

Pero recordemos una característica clave del Lockdown Mode: casi todos los archivos adjuntos están bloqueados. Esto es precisamente para hacer que los ataques de clic cero sean mucho más difíciles de llevar a cabo, incluso si el código de iOS contiene el error correspondiente.

El resto de las funciones del Lockdown Mode están ahí para cerrar otros “puntos de entrada” habituales para los ataques dirigidos: el navegador web, la conexión por cable a un ordenador, las llamadas entrantes de FaceTime… Para estas lanzas de ataque, ya existen bastantes exploits, aunque no necesariamente en los productos de Apple.

¿Qué posibilidades hay de que un ataque tan elaborado se despliegue contra ti si no estás en el radar de los servicios de inteligencia? Prácticamente cero, a menos que te ataquen por accidente. Por lo tanto, para el usuario medio, utilizar el Lockdown Mode no tiene mucho sentido. No tiene mucho sentido hacer que tu teléfono o tu portátil sean menos funcionales a cambio de una ligera disminución de las posibilidades de estar al final de un ataque exitoso.

No solo por el bloqueo

Por otro lado, para aquellos que están en el radar de potenciales objetivos de Pegasus y otros programas espía similares, el nuevo Lockdown Mode de Apple es sin duda un avance positivo, pero no una bala de plata.

Además de (y, hasta su lanzamiento, en lugar de) el Lockdown Mode, nuestros expertos tienen otras recomendaciones. Ten en cuenta que se trata de una situación en la que alguien muy poderoso está decidido a dar caza a tus datos. Por aquí algunos consejos:

  • Reinicia tu smartphone a diario. Crear un exploit para el iPhone ya es difícil, hacerlo resistente a un reinicio es mucho más difícil. Apagar tu teléfono regularmente te proporcionará un poco más de protección.
  • Desactivar iMessage por completo. Apple, probablemente, jamás recomiende esto, pero puedes hacerlo tú mismo. ¿Por qué reducir las posibilidades de un ataque de iMessage cuando puedes eliminar toda la amenaza de un solo golpe?
  • No abrir los enlaces. En este caso, ni siquiera importa quién los haya enviado. Si realmente necesitas abrir un enlace, utiliza un ordenador distinto y preferiblemente el navegador Tor, que oculta tus datos.
  • Si es posible, utiliza una VPN para enmascarar tu tráfico. De nuevo, esto dificultará la determinación de tu ubicación y la recolección de datos sobre tu dispositivo para un futuro ataque.

Para obtener más consejos, consulta el post de Costin Raiu “Pegasus, Chrysaor y otras APT: cómo protegerte de los malware para móvil“.

 

Consejos