En julio de 2022, Apple anunció una nueva función de protección para sus dispositivos llamada “Lockdown Mode“. Esta se encarga de restringir las funcionalidades de tu smartphone, tablet o portátil de Apple. Su objetivo es reducir el porcentaje de éxito de los ataques dirigidos cuyo target son políticos, activistas y periodistas, entre otros. Se prevé que este Lockdown Mode aparezca en las próximas versiones de iOS 16 (para smartphones), iPadOS 16 (para tablets) y macOS 13 Ventura (para computadoras de escritorio y laptops).
Este modo puede causar más problemas que beneficios para los usuarios “comunes”. Por esta razón, Apple lo recomienda únicamente para usuarios que estén expuestos a ataques dirigidos por sus actividades. En este post, analizamos las entrañas del Lockdown Mode, comparamos las nuevas restricciones con las capacidades de famosos exploits para smartphones de Apple y explicamos por qué este modo, a pesar de ser útil, no es nuestra salvación.
Lockdown Mode a detalle
Antes de este fin de año, con el lanzamiento de las nuevas versiones de iOS, tu smartphone o tablet de Apple, si es posterior a 2018, tendrá el nuevo Lockdown Mode en sus ajustes.
Tras la activación de esta función, el teléfono se reiniciará y pequeñas funciones (pero vitales para algunas personas) dejarán de funcionar. Por ejemplo, los archivos adjuntos de iMessage serán bloqueados y el navegador de internet puede experimentar algunos errores. Además, será más complicado que personas con las que no has interactuado antes te contacten. Todas estas restricciones son un esfuerzo por cerrar los puntos de entrada más explotados por los atacantes.
En concreto, el Lockdown Mode restringe estas funciones en tu dispositivo Apple:
- En los chats de iMessage, sólo podrás ver el texto y las imágenes que te envíen. Todos los demás archivos adjuntos son bloqueados.
- Algunas funciones de los navegadores serán deshabilitadas, como la compilación just-in-time.
- Todas las invitaciones entrantes para comunicarse a través de los servicios de Apple serán bloqueadas. Por ejemplo, no podrás realizar una llamada por FaceTime si no has hablado antes con el otro usuario.
- Si está bloqueado, el smartphone no interactuará de ninguna manera con tu computadora (u otros dispositivos externos conectados mediante cable).
- Tampoco será posible instalar perfiles de configuración o inscribir el teléfono en la Gestión de Dispositivos Móviles (MDM).
Las primera tres primeras pretenden limitar las entradas de ataques remotos más comunes en los dispositivos de Apple: un iMessage infectado, un enlace a un sitio web malicioso y una videollamada entrante.
El cuarto está pensado para proteger la conexión del iPhone, si se deja sin vigilancia, a una computadora ante un posible robo de información mediante una vulnerabilidad en el protocolo de comunicación.
Y la quinta restricción vuelve imposible conectar un smartphone en Lockdown Mode a un sistema MDM. Las empresas, usualmente, suelen utilizar el MDM con fines de seguridad, como, por ejemplo, borrar la información de un teléfono perdido. Pero esta función también puede utilizarse para robar datos, ya que otorga un amplio control sobre el dispositivo al administrador del MDM.
En definitiva, el Lockdown Mode parece una buena solución. Pero, ¿valen la pena estos inconvenientes para estar seguros?
Ventajas vs errores
Antes de entrar en este tema, hay que revisar hasta qué punto es eficiente la solución de Apple. Si nos detenemos a pensar, lo que pasa aquí es lo opuesto a todas las normas establecidas en la industria. normalmente sucede así: primero, un desarrollador propone una nueva función, la lanza y luego comienza esa lucha por pulir los errores. En cambio, con el Lockdown Mode, Apple propone renunciar a un montón de funciones existentes para una mejor protección.
Un ejemplo sencillo (y meramente teórico): supongamos que el fabricante de una aplicación de mensajería añade la posibilidad de intercambiar emojis animados, e incluso crear los tuyos. Pero resulta que es posible crear un emoji que hace que los dispositivos de todos los destinatarios se reinicien constantemente. No parece un buen plan, ¿cierto?
Para evitarlo, tendrían que haber descartado esa función, o haber dedicado más tiempo al análisis de la vulnerabilidad. Pero, claro, era más importante lanzar y monetizar el producto lo antes posible. En esta lucha entre comodidad y seguridad, siempre perderá esta última. Al menos hasta ahora, ya que el nuevo modo de Apple pone la seguridad por encima de todo lo demás. Y la palabra para describirlo es la siguiente: genial.
¿Significa esto que los iPhones sin Lockdown Mode son inseguros?
Los dispositivos móviles de Apple son bastante seguros, y es algo que necesitamos poner de manifiesto en este artículo: Robar datos de un iPhone no es sencillo, y Apple continúa esforzándose por mantenerlo así.
Por ejemplo, la información biométrica para desbloquear el teléfono se almacena sólo en el dispositivo y no es enviada a un servidor. Los datos del almacenamiento del teléfono están encriptados y el PIN para desbloquear el teléfono no puede ser forzado ya que, tras varios intentos erróneos, el dispositivo se bloquea. Las aplicaciones del smartphone se ejecutan de manera aislada y, generalmente, no pueden acceder a los datos que otras apps almacenan. Hackear un iPhone es cada vez más difícil. Para la mayoría de los usuarios, este nivel de seguridad es más que suficiente.
Entonces, ¿para qué más?
La clave es que está función va dirigida a un número de usuarios muy reducido, cuyos datos son tan valiosos que quienes los quieren están dispuestos a recorrer grandes distancias para conseguirlos. En este contexto, grandes distancias significa invertir mucho tiempo y dinero en el desarrollo de complejos exploits capaces de eludir los sistemas de protección más conocidos. Estos sofisticados ciberataques solo amenazan a unas pocas decenas de miles de personas alrededor del mundo.
Esta cifra aproximada la conocemos por el Proyecto Pegasus. En 2020 se filtró una lista con unos 50.000 nombres y números de teléfono de personas que supuestamente habían sido (o podrían haber sido) atacadas con un programa espía desarrollado por NSO Group. Esta empresa israelí ha sido criticada durante largo tiempo por su desarrollo “legal” de herramientas de hacking para clientes, entre los que se encuentran muchas agencias de inteligencia de todo el mundo.
La propia NSO Group negó cualquier relación entre sus soluciones y la lista de objetivos filtrada, pero más tarde aparecieron pruebas de que varios activistas, periodistas y políticos (hasta jefes de Estado y de Gobierno) habían sido atacados utilizando las tecnologías de dicha empresa. El desarrollo de exploits, incluso de forma legal, es un negocio que puede dar lugar a la filtración de métodos de ataque extremadamente peligrosos, y que pueden ser usados por cualquiera.
¿Qué complejos son los exploits para iOS?
El nivel de complejidad de estos exploits puede medirse al observar un ataque de “clic cero” que el equipo del Proyecto Cero de Google investigó a finales del año pasado. Usualmente, la víctima tiene que dar clic en un enlace para activar el malware del atacante, pero “clic cero” significa que no necesita ninguna acción del usuario para afectar el dispositivo.
En concreto, en el caso descrito por Project Zero, basta con enviar un mensaje malicioso a la víctima por iMessage, que en la mayoría de los iPhones está activado por defecto y sustituye los SMS normales. En otras palabras, basta con que un atacante conozca el número de teléfono de la víctima y le envíe un mensaje, y solo con esto obtendrá el control del dispositivo objetivo de forma remota.
Se trata de un exploit muy complejo. En iMessage, la víctima recibe un archivo con la extensión GIF, pero en realidad no es un GIF, sino un PDF comprimido con un algoritmo bastante popular a principios de la década de 2000. El teléfono de la víctima intenta mostrar una vista previa de este documento. En la mayoría de los casos, se utiliza el propio código de Apple, pero para esta compresión en particular se utiliza un programa de terceros. En él, se encontró una vulnerabilidad – un error de desbordamiento de búfer no precisamente muy notable. Intentando explicarlo de la manera más sencilla posible, fue construido alrededor de esta vulnerabilidad menor un sistema de cálculo separado e independiente, que en última instancia ejecuta código malicioso.
En pocas palabras, el ataque aprovecha una serie de fallos en el sistema, cada uno de los cuales parece insignificante por separado. No obstante, si se encadenan uno con otro, el resultado es la infección del iPhone mediante un mensaje único, sin que sea necesario un “clic” por parte del usuario.
Esto, sinceramente, no es algo con lo que un hacker adolescente podría tropezar accidentalmente. Y ni siquiera es lo que un equipo común de escritores de malware podría crear: usualmente buscan una ruta mucho más directa para la monetización. Un exploit tan sofisticado requiere de miles de horas y muchos millones de dólares para su creación.
Pero recordemos una característica clave del Lockdown Mode: casi todos los archivos adjuntos están bloqueados. Esto es justamente para que los ataques de clic cero sean mucho más difíciles de llevar a cabo, incluso si el código de iOS contiene el error correspondiente.
Las demás funciones del Lockdown Mode están ahí para cerrar otros “puntos de entrada” habituales para los ataques dirigidos: el navegador web, la conexión por cable a una computadora, las llamadas entrantes desde FaceTime… Para estas lanzas de ataque, ya existen bastantes exploits, aunque no necesariamente en los productos de Apple.
¿Qué posibilidades hay de que un ataque tan elaborado se despliegue contra ti si no te encuentras en el radar de los servicios de inteligencia? Prácticamente nulas, a menos que te ataquen accidentalmente. Por ende, para el usuario medio, utilizar el Lockdown Mode carece de sentido. No vale la pena hacer que tu teléfono o tu laptop sean menos funcionales a cambio de una leve disminución de las posibilidades de ser víctima de un ataque exitoso.
No solo por el bloqueo
Por otro lado, para aquellos que están en el radar de potenciales objetivos de Pegasus y otros programas espía similares, el nuevo Lockdown Mode de Apple es sin duda un avance positivo, pero no una bala de plata.
Además de (y en lugar de, hasta su lanzamiento) el Lockdown Mode, nuestros expertos tienen otras recomendaciones. Toma en cuenta que se trata de una situación en la que alguien muy poderoso está decidido a ir tras tus datos. Para eso algunos consejos:
- Reinicia tu smartphone diariamente. Crear un exploit para el iPhone ya es difícil en sí, pero hacerlo resistente a un reinicio es mucho más difícil. Apagar tu teléfono con regularidad te dará un poco más de protección.
- Desactivar iMessage por completo. Apple, probablemente, jamás recomiende esto, pero puedes hacerlo tú mismo. ¿Por qué reducir las posibilidades de un ataque de iMessage cuando puedes eliminar toda la amenaza de un solo golpe?
- No abrir los enlaces. En este caso, ni siquiera importa quién los haya enviado. Si realmente necesitas abrir un enlace, utiliza una computadora y, de preferencia, el navegador Tor, que oculta tus datos.
- Si es posible, utiliza una VPN para enmascarar tu tráfico. De nuevo, esto dificultará la determinación de tu ubicación y la recolección de datos sobre tu dispositivo para un ataque a futuro.
Para obtener más consejos, consulta el post de Costin Raiu ” Mantente a salvo de los malware móvil Pegasus, Chrysaor y otras APT“.