Una comunicación móvil fiable y segura es imprescindible para cualquier organización moderna, ya sea una empresa, agencia gubernamental, ONG, etc. Tal como están las cosas, la elección se limita básicamente a la plataforma: Android de Google o los iPhone de Apple basados en iOS. A simple vista, el iPhone parece mucho más seguro, dado que se trata del único mercado estrictamente controlado y también debido a las restricciones a programas de terceros y a unos datos que los avalan: con una mínima parte del malware que se encuentra en otros lugares. Pero a continuación profundizaremos más en el tema para ver si todo esto es cierto.
¿Es iOS realmente tan seguro?
Las noticias sobre infecciones de malware en dispositivos Apple se han popularizado en los últimos años, todo gracias al “software de vigilancia legal” Pegasus. Pero como las víctimas de Pegasus eran principalmente activistas, políticos y periodistas, la amenaza fue tratada más como una leyenda urbana: desagradable, sí, pero tan remota y específica que las posibilidades de encontrarnos con ella en la realidad eran mínimas, a menos que fueras directamente a buscarla. Eso sí, con el tiempo empezó a llamar a nuestra puerta: en junio de este año hablamos de un ataque a la dirección de Kaspersky utilizando el malware Triangulation. Por cierto, en la próxima Security Analyst Summit tenemos pensado presentar un análisis detallado sobre este ataque; si estás interesado, puedes apuntarte.
Nuestra empresa, es decir, una corporación privada que utilizaba los iPhone como medio estándar de comunicación móvil, fue atacada. Después de llevar a cabo una investigación exhaustiva y lanzar la herramienta Triangle_check diseñada para buscar automáticamente rastros de infección, configuramos una bandeja de entrada para que las víctimas de ataques similares pudieran escribirnos. En esta bandeja recibimos correos electrónicos de otros usuarios de smartphones de Apple afirmando que también habían encontrado signos de infección en sus dispositivos. Créenos: ya no podemos considerar que los ataques dirigidos contra los iPhone son casos aislados.
La ilusión de la seguridad
Paradójicamente, la afirmación tantas veces repetida de que iOS es sin duda más seguro que Android no hace más que empeorar la situación. Esta negación pública de la amenaza transmite una falsa confianza al usuario, que afirma: “Está claro que se ha infectado a alguien, pero lo más probable es que no se trate de mí”.
Incluso algunos de nuestros colegas, es decir, usuarios conocedores del ámbito de la seguridad de la información, se negaron a creer que podían haber sido víctimas de Triangulation. Aún después de que se hiciera pública la amenaza, hubo que convencer a algunos para que revisaran su iPhone en busca de rastros del malware y se sorprendieron al conocer que efectivamente habían sido uno de los objetivos.
El pensamiento “¿por qué iba alguien a atacarme a mí?” es reconfortante pero peligroso. Podría haber muchas razones. No es necesario ser un objetivo interesante para que hackeen tu teléfono. Basta con estar relacionado con un alto ejecutivo o funcionario gubernamental, asistir a reuniones o simplemente estar físicamente cerca del verdadero objetivo del ataque. Y así, de repente, te encuentras en la línea de fuego porque se ha filtrado información comercial importante de tu dispositivo.
El verdadero problema
Si prestamos algo más de atención al mercado de las vulnerabilidades, ya sean foros de la dark web o alguna plataforma gris como Zerodium, detectamos que los exploits para iOS y Android cuestan aproximadamente lo mismo. Y esto indica cómo ve el mercado de atacantes el nivel de seguridad de estos sistemas. Algunos exploits para Android son incluso más caros que para iOS. En cualquier caso, ambos sistemas son objetivos viables.
La auténtica diferencia radica en la disponibilidad de herramientas para contrarrestar los ataques. Si los atacantes aprovechan la última vulnerabilidad de día cero para eludir los tan aclamados mecanismos de seguridad de Apple, no hay nada que puedas hacer al respecto. Lo más probable es que ni siquiera te des cuenta de lo que ha sucedido. Debido a las restricciones del sistema, incluso los mejores profesionales tendrán dificultades para llegar al fondo de lo que buscaban exactamente los atacantes. Mientras tanto, un smartphone basado en Android podría estar equipado con una solución de seguridad completa: no solo un antivirus, sino también una solución MDM, un software de gestión de dispositivos móviles que permite la administración en remoto de dispositivos corporativos.
Si profundizamos un poco más en el tema, vemos que las supuestas ventajas de iOS en caso de ataque en realidad resultan ser desventajas. La naturaleza cerrada de su ecosistema, fuera del alcance de los expertos de seguridad externos, solo favorece a los atacantes. Claro está que los ingenieros de Apple han creado una protección bastante buena: el usuario no puede ir accidentalmente a un sitio malicioso y descargar un APK con un troyano, por ejemplo. Pero en el caso de los ataques contra iPhone que, como muestra la práctica, están dentro de las posibilidades de atacantes sofisticados, las víctimas solo pueden esperar que sea la propia Apple la que acuda al rescate. Suponiendo, por supuesto, que detecte este ataque a tiempo.
La escala de la amenaza
El argumento de que hasta ahora todos los ataques de la vida real contra iOS han formado parte de campañas dirigidas tampoco resulta tranquilizador. En general, se acepta que el exploit EternalBlue fue desarrollado por una agencia gubernamental y que estaba destinado a una aplicación muy limitada. Pero luego, tras filtrarse por el grupo Shadow Brokers, cayó en manos de los ciberdelincuentes y fue utilizado para llevar a cabo el ataque de ransomware internacional WannaCry.
Además, el mercado de Apple ya no puede considerarse impenetrable. Nuestros colegas descubrieron recientemente una serie de aplicaciones fraudulentas en la App Store que, bajo ciertas condiciones, suplantaban datos personales del usuario. Claro está que todavía no es una amenaza masiva, pero sí sienta un precedente: estas aplicaciones con una carga maliciosa pudieron eludir los estrictos controles de Apple y publicarse en su tienda oficial.
¿Cómo actuar?
Tras aprender la lección con Triangulation, nosotros, al igual que muchas otras empresas privadas y agencias gubernamentales, estamos eliminando gradualmente el uso de iPhone con fines laborales. Por ahora, estamos utilizando como alternativa dispositivos Android equipados con nuestra solución, que sabemos que es efectiva. Esto no significa que pensemos que el ataque sea más difícil, solo que resulta más sencillo protegerlos y ciertamente que se pueden detectar más fácilmente las señales de ataque.
No se trata de una solución permanente: un complemento a un sistema operativo no es lo ideal. Una solución de seguridad opera según el principio de inmunidad adquirida: protege contra amenazas similares con las que ya se ha encontrado. En un mundo perfecto, todo el mundo tendría un teléfono móvil con inmunidad innata, impidiendo por defecto las acciones no deseadas. Pero, por desgracia, este teléfono no existe… todavía.