Apple instó este martes a sus usuarios a actualizar los dispositivos tras anunciar una solución para una importante falla de software que permite que el programa espía Pegasus se instale en los teléfonos sin siquiera hacer clic.
Expertos en ciberseguridad del Citizen Lab, un centro de investigación de la Universidad de Toronto, descubrieron la falla mientras analizaban el teléfono de un activista saudita.
El saudita se halla entre las decenas de miles de personas que se sospecha que fueron atacadas con el software Pegasus, de fabricación israelí, que según informes de medios se ha utilizado en todo el mundo para interceptar las comunicaciones de defensores de derechos humanos, periodistas e incluso jefes de estado.
Apple dijo el lunes que había desarrollado «rápidamente» una actualización de software después de que Citizen Lab lo alertó sobre la vulnerabilidad en su software iMessage el 7 de septiembre.
«Ataques como los descritos son altamente sofisticados, cuestan millones de dólares desarrollarlos, a menudo tienen una vida útil corta y se utilizan para atacar a individuos específicos», dijo la compañía.
Citizen Lab dijo que estaba instando a la gente a «actualizar inmediatamente todos los dispositivos de Apple».
Vigilancia estrecha
Desde julio han circulado escandalosas revelaciones de que los gobiernos han espiado a las personas utilizando ese software altamente invasivo, que fue desarrollado por NSO Group, una firma de inteligencia israelí.
Una vez que Pegasus se instala en un teléfono, puede usarse para leer los mensajes del dispositivo, mirar sus fotos, rastrear sus movimientos e incluso encender su cámara.
La falla corregida por Apple el lunes se conoce como «zero-click exploit», lo que significa que se puede instalar en un dispositivo sin que su dueño haga nada, ni siquiera apretar un botón.
Programas espía menos sofisticados generalmente requieren que la eventual víctima haga clic en un enlace o archivo para comenzar a escuchar las comunicaciones.
Citizen Lab dijo que creía que la falla, que bautizó FORCEDENTRY, se había utilizado para instalar Pegasus en dispositivos desde febrero de 2021 o tal vez incluso antes.
Se trataría de una variante de una vulnerabilidad en el software de mensajería de Apple que Citizen Lab detectó previamente en los iPhones de nueve activistas de Baréin, que fueron víctimas de piratería con Pegasus entre junio de 2020 y febrero de este año.
«Las aplicaciones de chat populares son la parte más vulnerable de la seguridad de los dispositivos. Están en todos los dispositivos», tuiteó John Scott-Railton, investigador de Citizen Lab que ayudó a descubrir la falla.
El servicio de mensajería WhatsApp también se ha utilizado para infiltrarse en teléfonos usando Pegasus, y su propietario, Facebook, está demandando a NSO Group.
La seguridad de las aplicaciones de mensajería «debe ser una prioridad absoluta», agregó Scott-Railton, que a continuación exhortó a sus seguidores: «ACTUALIZA TUS DISPOSITIVOS APPLE AHORA».
«Contra terrorismo y delincuencia»
NSO, la firma que protagoniza el escándalo, ha negado cualquier irregularidad e insiste en que su programa sirve a autoridades solo para combatir el terrorismo y otros delitos.
Pero la compañía, que dice tener clientes en 45 países, no negó que Pegasus hubiera conducido a la actualización urgente del sistema operativo de Apple.
Dijo en un comunicado que «continuará brindando a agencias de inteligencia y de fuerzas de seguridad en todo el mundo tecnologías que salvan vidas para luchar contra el terrorismo y la delincuencia».
Citizen Lab, que descubrió Pegasus junto con la firma Lookout hace cinco años, acusa a NSO de vender el software a gobiernos autoritarios que lo utilizan con fines represivos.
India, México y Azerbaiyán están entre los que encabezaron la lista de países donde una gran cantidad de números de teléfono fueron presuntamente identificados como posibles objetivos de clientes de NSO.
Desde julio, cuando estalló el escándalo, han surgido sucesivos llamados de grupos de derechos humanos a que se establezca una moratoria internacional sobre la venta de tecnología de vigilancia hasta tanto se cree un marco regulatorio para prevenir abusos.
Expertos en derechos humanos de Naciones Unidas respaldaron ese pedido el mes pasado.
«Es sumamente peligroso e irresponsable permitir que la tecnología de vigilancia y el sector comercial operen como una zona libre de derechos humanos», expresaron.
Las autoridades de defensa israelíes crearon un comité para revisar el negocio de NSO, incluido el proceso mediante el cual se otorgan las licencias de exportación.
