13 May 2022

Qué son los ataques de clic cero y por qué son tan peligrosos

seguridad_spyware_malware

Los ataques zero clic, o de clic cero, no requieren de ninguna interacción por parte de los usuarios a los que se dirigen; como entrar en un enlace, habilitar macros o iniciar un ejecutable. Son sofisticados y se utilizan a menudo en campañas de ciberespionaje. Además, tienden a dejar muy poco rastro, lo que los hace más peligrosos si cabe. Una vez que un dispositivo se ve comprometido, un atacante puede optar por instalar un software de vigilancia, o por implementar una estrategia mucho más destructiva cifrando los archivos y reteniéndolos para pedir un rescate. Por lo general, una víctima no puede saber cuándo y cómo se infectó a través de un ataque sin clic, lo que significa que puede hacer poco para protegerse.

 

Cómo funcionan estos ataques

Los ataques de clic cero se han vuelto muy populares en los últimos años, impulsados por el rápido crecimiento de la industria de la vigilancia. Uno de los spyware más de moda es Pegasus, de la empresa israelí NSO Group, que se ha utilizado para espiar a periodistas, activistas, directivos de empresas y líderes gubernamentales. Si bien no está claro cómo se comprometió a cada víctima, se cree que al menos algunas de ellas recibieron una llamada de WhatsApp que ni siquiera tuvieron que responder.

Las aplicaciones de mensajería suelen ser objeto de esta amenaza porque reciben grandes cantidades de datos de fuentes desconocidas sin requerir ninguna acción por parte del propietario del dispositivo. La mayoría de las veces, los atacantes explotan una brecha en la forma en la que se valida o procesa la información.

Otros tipos de ataques de clic cero menos conocidos han permanecido bajo el radar, asegura Aamir Lakhani, investigador de Fortinet. El experto aporta dos ejemplos: exploits de aplicaciones de analizador (mientras un usuario ve una imagen en PDF o una aplicación de correo, el atacante está explotando silenciosamente un sistema), y ataques de proximidad WiFi que buscan encontrar exploits en una pila WiFi y cargar el código de explotación para controlar los sistemas de forma remota.

Estas amenazas a menudo se sustentan en vulnerabilidades zero day que son desconocidas para el fabricante de software, que no puede emitir parches para corregirlos, lo que puede poner en riesgo a los usuarios. “Incluso los usuarios que están más alerta y conscientes no pueden evitar esos golpes”.

Como son costosos, estos ataques se dirigen contra objetivos de alto valor. “Zerodium, que compra vulnerabilidades en el mercado abierto, paga hasta 2,5 millones de dólares por brecha de clic cero contra Android”, asevera Ryan Olson, vicepresidente de inteligencia de amenazas de Palo Alto Networks.

 

Ejemplos de ataques de clic cero

El objetivo de un clic cero puede ser cualquier cosa; desde un smartphone hasta un ordenador de escritorio, pasando por un dispositivo IoT. Uno de los primeros momentos decisivos en su historia ocurrió en 2010 cuando el investigador de seguridad Chris Paget demostró cómo interceptar llamadas telefónicas y mensajes de texto usando una vulnerabilidad el Sistema Global para Comunicaciones Móviles (GSM, de sus siglas inglesas), explicando que el protocolo GSM está roto por diseño.

Otra de las primeras amenazas de este tipo se descubrió en 2015 cuando la familia de malware de Android, Sedun, aprovechó las funciones legítimas del servicio de accesibilidad del sistema operativo para instalar adware sin que el usuario hiciera nada. “Al obtener el permiso, Sedun puede leer el texto que aparece en la pantalla, determinar si se muestra un mensaje de instalación de la aplicación, desplazarse por la lista de permisos y, finalmente, presionar el botón de instalación sin ninguna interacción física del usuario”, según Lookout.

Un año después, en 2016, las cosas se complicaron aún más. Se implementó un ataque de clic cero en la herramienta de vigilancia de los Emiratos Árabes Unidos (EAU), que aprovechó un día cero encontrado en iMessage. Karma solo necesitaba el número de teléfono o la dirección de correo electrónico de un usuario. Después, se enviaba un mensaje de texto a la víctima, que ni siquiera tenía que hacer clic en un enlace para infectarse.

Una vez que este texto llegó a iPhone, los atacantes pudieron ver fotos, correos y datos de ubicación, entre otros elementos. La unidad de piratería que usó esta herramienta, denominada Proyecto Raven, incluía a ciberdelincuentes incluía a piratas de inteligencia de Estados Unidos que ayudaron a los EAU a monitorizar a los gobiernos y a activistas de derechos humanos.

A finales de esa década, los ataques de clic cero se notaron con más frecuencia, ya que las empresas de vigilancia y los actores de los estados naciones comenzaron a desarrollar herramientas que no requerían ninguna acción por parte del usuario. “Los ataques que antes veíamos a través de enlaces en SMS se convirtieron en ataques de clic cero mediante inyecciones en la red”, dice Etienne Maynier, tecnológo de Amnistía Internacional.

Amnistía y Citizen Lab trabajaron en varios casos relacionados con el software espía Pegasus, que estaba relacionado con varios asesinatos, incluido el del periodista del Washington Post, Jamal Khashoggi. Una vez instalado en un teléfono, Pegasus puede leer mensajes de texto, acceder al micrófono y cámara del dispositivo, recopilar contraseñas y recoger información de las aplicaciones.

Pero, los ataques de clic cero no solo tienen como objetivo los teléfonos. En 2021, una vulnerabilidad otorgó a los atacantes no autentificados el control total sobre las cámaras de seguridad Hikvision. Más tarde, ese mismo año, se demostró que un fallo en Microsoft Teams era explotable a través de un ataque de clic cero que les dio a los ciberdelincuentes acceso al dispositivo de destino en los principales sistemas operativos.

 

Cómo detectar y mitigar los ataques cero clic

Siendo realistas, saber si una víctima está infectada es bastante complicado, y protegerse contra una amenaza de este tipo es casi imposible. “Además, son mucho más comunes de lo que pensamos”, asevera Maynier. Este recomienda a los potenciales objetivos tener cifrados todos sus datos, actualizar sus dispositivos, contar con contraseñas seguras y hacer todo lo que esté a su alcance para proteger sus vidas digitales. “Consideren que pueden estar comprometidos y adáptense”.

Aun así, los usuarios pueden hacer algunas cosas para minimizar el riesgo de ser espiados. La más sencilla es reiniciar el teléfono periódicamente si tienen un iPhone. Los expertos de Amnistía han demostrado que esto podría impedir que Pegasus funcione en iOS, al menos temporalmente. Este tiene la ventaja de deshabilitar la ejecución de cualquier código que no haya alcanzado la persistencia. Sin embargo, la desventaja es que reiniciar el dispositivo puede borrar los signos de que se ha producido una infección, lo que dificulta mucho más que los investigadores de seguridad determinen si un dispositivo ha sido atacado.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.