En años recientes, los ataques sin clics ocasionalmente aparecen como protagonistas. Como sugiere el nombre, los ataques sin clics no requieren acción por parte de la víctima: esto implica que incluso los usuarios más avanzados pueden ser presa de hackeos cibernéticos graves y herramientas de spyware.
Los ataques sin clics suelen tener objetivos específicos y utilizan tácticas sofisticadas. Pueden tener consecuencias devastadoras sin que la víctima sepa que algo va mal en segundo plano. Los términos "ataques sin clics" y "exploits sin clics" suelen utilizarse indistintamente. A veces, también los llaman ataques sin interacción o ataques totalmente remotos.
¿Qué es el malware sin clics?
Tradicionalmente, el software espía requiere convencer al usuario objetivo de que haga clic en un enlace o archivo comprometido para instalarse en su teléfono, tablet o computadora. Sin embargo, en un ataque sin clics, el software puede instalarse en un dispositivo sin que la víctima haga clic en ningún enlace. Como resultado, el malware sin clics o con cero clics es mucho más peligroso.
La interacción reducida que implican los ataques sin clics significa que hay menos rastros de actividad maliciosa. Si a esto le sumamos el hecho de que las vulnerabilidades que los cibercriminales explotan para los ataques sin clics suelen ser poco frecuentes, esto hace que los atacantes los valoren de manera especial.
Incluso los ataques sin clics más básicos dejan pocos rastros, por lo que detectarlos es extremadamente difícil. Adicionalmente, las mismas funciones que hacen que un software sea más seguro a menudo pueden hacer que los ataques sin clics sean más difíciles de detectar. Los hackeos sin clics han existido por años y el problema se propagó más debido al uso cada vez mayor de teléfonos inteligentes, los cuales almacenan una abundancia de datos personales. A medida que las personas y las organizaciones dependen cada vez más de los dispositivos móviles, la necesidad de estar informados de las vulnerabilidades sin clics es más grande que nunca.
¿Cómo funciona un ataque sin clics?
Por lo general, una infección remota de un dispositivo móvil objetivo requiere un cierto grado de ingeniería social, mediante el cual el usuario hace clic en un enlace malicioso o instala una aplicación maliciosa para darle un punto de entrada al atacante. Este no es el caso en los ataques sin clics, los cuales omiten completamente la necesidad de aplicar ingeniería social.
Un hackeo sin clics explota fallas en tu dispositivo y utiliza un vacío en la verificación de datos para ingresar a tu sistema. Gran parte del software usa procesos de verificación de datos para mantener a raya los incidentes de ciberseguridad. Sin embargo, existen vulnerabilidades persistentes del día cero que aún no se han parchado, las cuales brindan objetivos potencialmente lucrativos para los cibercriminales. Los hackers sofisticados pueden aprovechar estas vulnerabilidades del día cero para ejecutar ciberataques, los cuales pueden implementarse sin que realices ninguna acción.
A menudo, los ataques sin clics se centran en aplicaciones que brindan mensajes o llamadas de voz, ya que estos servicios están diseñados para recibir e interpretar datos desde fuentes poco confiables. Por lo general, los atacantes utilizan datos especialmente creados, como un mensaje de texto oculto o una imagen de archivo, para inyectar un código que compromete al dispositivo.
Un ataque sin clics hipotético suele funcionar de la siguiente manera:
- Los cibercriminales identifican una vulnerabilidad en una aplicación de correo o mensajería.
- Aprovechan la vulnerabilidad enviando un mensaje cuidadosamente elaborado al objetivo.
- La vulnerabilidad permite que las entidades maliciosas infecten el dispositivo de forma remota mediante correos electrónicos que consumen mucha memoria.
- El correo electrónico, el mensaje o la llamada del hacker no permanecen necesariamente en el dispositivo.
- Como resultado del ataque, los cibercriminales pueden leer, editar, filtrar o eliminar mensajes.
El hackeo puede ser una serie de paquetes de red, solicitudes de autenticación, mensajes de texto, MMS, correo de voz, sesiones de videoconferencia, llamadas telefónicas o mensajes enviados por Skype, Telegram, WhatsApp, etc. Todos estos elementos pueden aprovechar una vulnerabilidad en el código de una aplicación cuyo trabajo es procesar los datos.
El hecho de que las aplicaciones de mensajería permiten identificar a las personas mediante sus números de teléfono, los cuales pueden localizarse fácilmente, implica que pueden ser un blanco obvio para entidades políticas y operaciones de hackeo comercial.
Las especificaciones de cada ataque sin clics variará según el tipo de vulnerabilidad que se está aprovechando. Un rasgo clave de los hackeos sin clics es su capacidad de no dejar rastros, lo cual hace que sean difíciles de detectar. Esto significa que no es sencillo identificar quién los está usando ni por qué motivo. Sin embargo, se informó que las agencias de inteligencia en todo el mundo los usan para interceptar mensajes de criminales y terroristas bajo sospecha, y monitorear su ubicación.
Ejemplos de malware sin clics
Una vulnerabilidad sin clics puede afectar a varios dispositivos, ya sean Apple o Android. Los siguientes son solo algunos ejemplos de alto perfil de exploits sin clic:
Entrada forzada sin clics de Apple, 2021:
En el 2021, un spyware poderoso que venden a naciones-estado hackeó el iPhone de un activista de derechos humanos de Baréin. El hackeo, descubierto por investigadores de Citizen Lab, acabó con las protecciones de seguridad que implementó Apple para resistir ataques encubiertos.
Citizen Lab es un grupo de vigilancia en Internet con sede en la Universidad de Toronto. Analizaron el iPhone 12 Pro del activista y descubrieron que fue hackeado mediante un ataque sin clics. El ataque sin clics se aprovechó de una vulnerabilidad de seguridad previamente desconocida en el programa iMessage de Apple, la cual se aprovechó para insertar en el teléfono del activista el spyware Pegasus, el cual fue desarrollado por la empresa de Israel NGO Group.
El hackeo atrajo mucha atención de la prensa, principalmente porque se aprovechó del softwate de iPhone más reciente a la fecha (iOS 14.4) y, posteriormente, iOS 14.6, el cual Apple lanzó en mayo del 2021. El hackeo sobrepasó una función de software de seguridad integrada en todas las versiones de iOS 14, llamada BlastDoor, cuya función estaba pensada para evitar este tipo de hackeos de dispositivos mediante el filtrado de datos maliciosos enviados mediante iMessage. Debido a su capacidad para superar a BlastDoor, este exploit fue bautizado como ForcedEntry. Como respuesta, Apple actualizó sus defensas de seguridad con el iOS 15.
Vulneración de WhatsApp, 2019:
Esta infame intrusión fue activada por una llamada perdida, la cual aprovechó una falla en el marco del código fuente de WhatsApp. Un exploit de día cero (es decir, una cibervulnerabilidad no parchada y anteriormente desconocida) permitió que el atacante cargara spyware en los datos intercambiados entre dos dispositivos debido a la llamada perdida. Una vez cargado, el spyware se activaba como un recurso en segundo plano, integrándose en las profundidades del marco de software del dispositivo.
Jeff Bezos, 2018:
En el 2018, el príncipe coronado Mohammed bin Salman de Arabia Saudita aparentemente envió a Jeff Bezos, gerente general de Amazon, un mensaje de WhatsApp con un video en el cual se promocionaba el mercado de telecomunicaciones de Arabia Saudita. Se reportó que había un código dentro del archivo de video, el cual permitió al emisor extraer información del iPhone de Bezos por varios meses. Esto dio como resultado la captura de mensajes de texto, mensajes instantáneos y correos electrónicos; incluso es posible que haya espiado grabaciones capturadas con los micrófonos del teléfono.
Project Raven, 2016:
Project Raven se refiere a la unidad de ciberoperaciones ofensivas de los Emiratos Árabes Unidos, en la cual oficiales de seguridad de los Emiratos y ex operadores de inteligencia de los Estados Unidos trabajan como contratistas. Supuestamente, utilizaron una herramienta llamada Karma para aprovecharse de una falla en iMessage. Karma utilizaba mensajes de texto especialmente diseñados para hackear los iPhones de activistas, diplomáticos y líderes extranjeros rivales para obtener fotos, correos electrónicos, mensajes de texto e información de ubicación.
Cómo protegerse de exploits sin clics
Debido a que los ataques sin clic no se basan en interacciones de la víctima, es evidente que no hay mucho que puedas hacer para protegerte de estos. Aunque esto sea una idea desalentadora, es importante recordar que generalmente estos ataques suelen enfocarse en víctimas específicas para fines de espionaje o, quizá, ganancias financieras.
Sin embargo, practicar hábitos básicos de protección cibernética ayudará a maximizar tu seguridad en línea. Las medidas sensatas que puedes realizar incluyen lo siguiente:
- Mantén actualizado el sistema operativo, el firmware y las aplicaciones en todos tus dispositivos cuando lo soliciten.
- Descarga aplicaciones solamente de tiendas oficiales.
- Borra las aplicaciones que ya no utilices.
- Evita realizar "jailbreaking" o "rooting" en tu teléfono, ya que esto elimina la protección que proporcionan Apple y Google.
- Utiliza la protección por contraseña de tu dispositivo.
- Utiliza una autenticación sólida para acceder a las cuentas, especialmente en redes críticas.
- Usa contraseñas sólidas; es decir, contraseñas largas y únicas.
- Haz un respaldo frecuente de los sistemas. Los sistemas se pueden restaurar en caso de ransomware y contar con un respaldo actual de todos los datos acelera el proceso de recuperación.
- Activa bloqueadores de ventanas emergentes o previene su aparición ajustando los ajustes de tu navegador. Los estafadores suelen usar ventanas emergentes para propagar malware.
Usar un antivirus completo también ayudará a mantenerte a salvo en línea. Kaspersky Premium brinda protección permanente contra hackers, virus y malware, además de protección para pagos y herramientas de privacidad que te protegerán desde cualquier ángulo. Kaspersky Internet Security for Android también protegerá tu dispositivos Android.
Artículos relacionados: