Tu iPhone deja de ser una fortaleza: ahora hasta un hacker novato puede vulnerarlo con una IA
Cómo los nuevos programas espía eluden la seguridad del iPhone
iPhone durante mucho tiempo se consideró uno de los smartphones más protegidos del mercado, pero la nueva ola de ataques muestra que los tiempos tranquilos han terminado. Los especialistas descubrieron que las herramientas para intrusiones silenciosas, que antes usaban principalmente los servicios de inteligencia y las fuerzas de seguridad, ahora también están en manos de ciberdelincuentes. Para los propietarios de iPhone la noticia es preocupante: el software malicioso puede extraer sin ser detectado mensajes personales, fotografías, notas y datos del calendario.
En el último mes varios equipos, incluidos Google, iVerify y Lookout, encontraron dos campañas que explotaban vulnerabilidades del iPhone. A principios de mes Google informó del hallazgo de un complejo conjunto de herramientas para hackear iPhone llamado Coruna. Coruna se creó inicialmente para un contratista estatal no identificado, y más tarde la herramienta llegó a un grupo chino de ciberdelincuentes. Más adelante se supo que un contratista de defensa, L3Harris, desarrolló un programa espía para las autoridades de Estados Unidos.
Los atacantes distribuían Coruna a través de sitios chinos falsos relacionados con criptomonedas y finanzas. Bastaba con visitar un sitio infectado desde un iPhone vulnerable para que el dispositivo quedara comprometido sin clics ni descargas.
En el mismo servidor los especialistas hallaron otro conjunto para hackear iPhone llamado DarkSword. Según Google, la herramienta infectaba los teléfonos justo después de visitar determinados sitios, entre ellos medios de noticias y sitios gubernamentales ucranianos. Ese enfoque se conoce como ataque mediante sitios comprometidos, cuando los atacantes esperan a la víctima en una página de confianza.
Tras la infección, el programa recopila casi todo el contenido del teléfono: conversaciones de iMessage, WhatsApp y Telegram, datos de ubicación, lista de contactos, historial de llamadas, ajustes de Wi‑Fi, historial del navegador y cookies. Así lo informó iVerify.
Aunque DarkSword se usó contra visitantes de sitios ucranianos, el problema resultó ser más amplio. Lookout contó que los desarrolladores dejaron el código JavaScript principal en el servidor en texto claro. Por ese descuido, incluso ciberdelincuentes con menos experiencia pueden copiar la herramienta y adaptarla a otros fines.
Apple declaró que ya parcheó las vulnerabilidades en las que se basaban los ataques en nuevas versiones de iOS publicadas en los últimos años. La semana pasada la compañía también lanzó una actualización fuera de calendario para dispositivos antiguos que no admiten las versiones más recientes del sistema. Además, Safari ahora bloquea las direcciones maliciosas encontradas durante la investigación de Google.
Antes, estas herramientas, basadas en vulnerabilidades raras y muy valiosas del iPhone, estaban disponibles sobre todo para clientes estatales con recursos. Se empleaban para vigilar a activistas, periodistas y políticos extranjeros. Ahora la barrera de entrada se ha reducido: grupos de ciberdelincuentes también tienen acceso a estas soluciones y el número de posibles víctimas crece rápidamente.
El cofundador de iVerify, Rocky Cole, declaró que el mercado del software espía se ha expandido tanto que las herramientas para hackear dispositivos móviles se han vuelto mucho más accesibles. Según él, ahora cada propietario de iPhone debe contemplar esta amenaza.
En medio de estos hallazgos resulta especialmente notable el cambio en la imagen del iPhone como un dispositivo casi infranqueable. Apple sigue hablando de protección multinivel y del trabajo de sus equipos de seguridad en todo el mundo, pero los descubrimientos recientes muestran que incluso ese ecosistema ya no parece absolutamente seguro.
Un punto de interés fue la versión de Lookout de que los creadores de DarkSword podrían haber usado un gran modelo de lenguaje al desarrollar partes del kit de explotación. Los especialistas repararon en los nombres de algunos archivos. Uno de los archivos, encargado de recibir los datos robados, se llamaba literalmente "DarkSword file receiver". Según Lookout, una persona con amplia experiencia en seguridad ofensiva dificilmente dejaría un nombre tan literal.
No existe aún protección total contra estos ataques. En iVerify consideran que el modo Lockdown Mode, en el caso de DarkSword, solo bloquearía una parte de la cadena de infección, aunque contra Coruna la protección funciona por completo: el programa deja de operar si el modo está activado. Los especialistas recomiendan instalar las actualizaciones de iOS lo antes posible, activar Lockdown Mode y usar soluciones de protección móvil de terceros. El problema es que, aun con esas precauciones, el usuario normal puede no notar una infección.