[13/05/2022] Los ataques de zero-clic o clic cero, a diferencia de la mayoría de los ciberataques, no requieren ninguna interacción por parte de los usuarios a los que van dirigidos, como hacer clic en un enlace, activar macros o lanzar un ejecutable. Son sofisticados, a menudo utilizados en campañas de ciberespionaje, y suelen dejar muy pocos rastros, lo que los hace peligrosos.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Una vez que el dispositivo está comprometido, el atacante puede optar por instalar un software de vigilancia, o puede elegir una estrategia mucho más destructiva cifrando los archivos y pidiendo un rescate por ellos. Por lo general, una víctima no puede saber cuándo y cómo ha sido infectada por un ataque de clic cero, lo que significa que los usuarios pueden hacer poco para protegerse.
Cómo funcionan los ataques de clic cero
Los ataques de clic cero se han hecho cada vez más populares en los últimos años, impulsados por el rápido crecimiento de la industria de la vigilancia. Uno de los programas espía más populares es Pegasus, de NSO Group, que se ha utilizado para vigilar a periodistas, activistas, líderes mundiales y ejecutivos de empresas. Aunque no está claro cómo se ha atacado a cada una de las víctimas, se cree que al menos algunas de ellas han recibido una llamada de WhatsApp que ni siquiera tenían que contestar.
Las aplicaciones de mensajería suelen ser el objetivo de los ataques de clic cero porque reciben grandes cantidades de datos de fuentes desconocidas, sin requerir ninguna acción por parte del propietario del dispositivo. La mayoría de las veces, los atacantes se aprovechan de una falla en la forma de validar o procesar los datos.
Otros tipos de ataques clic cero menos conocidos han pasado desapercibidos, señala Aamir Lakhani, investigador de ciberseguridad de FortiGuard Labs de Fortinet. Pone dos ejemplos: los exploits de aplicaciones de parser ("mientras un usuario ve una imagen en un PDF o una aplicación de correo, el atacante está explotando silenciosamente un sistema sin que el usuario tenga que hacer clic o interactuar"), y "los ataques de proximidad Wi-Fi que buscan encontrar exploits en una pila Wi-Fi y cargar código de exploits en el espacio [del] usuario [en el] kernel para tomar el control de los sistemas de forma remota".
Los ataques de clic cero a menudo se basan en los ataques de día cero, vulnerabilidades que son desconocidas para el fabricante de software. Al no saber que existen, el fabricante no puede publicar parches para solucionarlas, lo que puede poner en peligro a los usuarios. "Incluso los usuarios más atentos y concienciados no pueden evitar estos ataques de día cero y de clic cero", afirma Lakhani.
Estos ataques se utilizan a menudo contra objetivos de alto valor porque son caros. "Zerodium, que compra vulnerabilidades en el mercado abierto, paga hasta 2,5 millones de dólares por vulnerabilidades de clic cero contra Android", comenta Ryan Olson, vicepresidente de inteligencia de amenazas, Unidad 42 de Palo Alto Networks.
Ejemplos de ataques de clic cero
El objetivo de un ataque clic cero puede ser cualquier cosa, desde un smartphone hasta una computadora de escritorio, e incluso un dispositivo IoT. Uno de los primeros momentos definitorios de su historia tuvo lugar en el 2010, cuando el investigador de seguridad Chris Paget, demostró en DEFCON18 cómo interceptar llamadas telefónicas y mensajes de texto utilizando una vulnerabilidad del Sistema Global de Comunicaciones Móviles (GSM), explicando que el protocolo GSM está roto por diseño. Durante su demostración, mostró lo fácil que era para su capturador de identidad de suscriptor móvil internacional (IMSI) interceptar el tráfico de teléfonos móviles del público.
Otra de las primeras amenazas de clic cero se descubrió en el 2015, cuando la familia de malware para Android Shedun aprovechó las funciones legítimas del Servicio de Accesibilidad de Android para instalar adware sin que el usuario hiciera nada. "Al obtener el permiso para utilizar el servicio de accesibilidad, Shedun es capaz de leer el texto que aparece en pantalla, determinar si se muestra un aviso de instalación de la aplicación, desplazarse por la lista de permisos y, finalmente, pulsar el botón de instalación sin ninguna interacción física del usuario", según Lookout.
Un año después, en el 2016, las cosas se complicaron aún más. Se implementó un ataque de clic cero en la herramienta de vigilancia de los Emiratos Árabes Unidos Karma, que se aprovechó de un ataque de día cero encontrado en iMessage. Karma solo necesitaba el número de teléfono o la dirección de correo electrónico de un usuario. Entonces, se enviaba un mensaje de texto a la víctima, que ni siquiera tenía que hacer clic en un enlace para ser infectada.
Una vez que ese texto llegaba a un iPhone, los atacantes podían ver fotos, correos electrónicos y datos de localización, entre otros elementos. La unidad de hacking que utilizó esta herramienta, apodada Proyecto Raven, incluía a hackers de la inteligencia estadounidense que ayudaban a los Emiratos Árabes Unidos a vigilar a gobiernos y activistas de derechos humanos.
A finales de esa década, los ataques de clic cero se percibían con más frecuencia, ya que las empresas de vigilancia y los agentes de los estados-nación empezaron a desarrollar herramientas que no requerían ninguna acción por parte del usuario. "Los ataques que antes veíamos a través de enlaces en los SMS, pasaron a ser ataques de clic cero mediante inyecciones en la red", comenta Etienne Maynier, tecnólogo de Amnistía Internacional.
Amnistía y el Citizen Lab trabajaron en varios casos relacionados con el programa espía Pegasus de NSO Group, vinculado a varios asesinatos, entre ellos el del periodista del Washington Post, Jamal Khashoggi. Una vez instalado en un teléfono, Pegasus puede leer los mensajes de texto, rastrear las llamadas, vigilar la ubicación de la víctima, acceder al micrófono y a la cámara del dispositivo, recopilar contraseñas y reunir información de las aplicaciones.
Khashoggi y sus allegados no fueron las únicas víctimas. En el 2019, una falla en WhatsApp fue explotada para atacar a la sociedad civil y a figuras políticas en Cataluña. El ataque comenzó con una videollamada realizada en WhatsApp a la víctima. Responder a la llamada no era necesario, ya que los datos enviados a la app de chat no estaban bien saneados. Esto permitió que el código de Pegasus se ejecutara en el dispositivo objetivo, instalando efectivamente el software espía. Desde entonces, WhatsApp ha parcheado esta vulnerabilidad y ha notificado a 1.400 usuarios que han sido objeto de este ataque.
Otro sofisticado ataque de clic cero asociado a Pegasus de NSO Group se basaba en una vulnerabilidad de iMessage de Apple. En el 2021, Citizen Lab encontró rastros de este exploit utilizado para atacar a un activista saudí. Este ataque se basa en un error en la forma en que se analizan los GIF en iMessage y disfraza un documento PDF que contiene código malicioso como un GIF. En su análisis del exploit, Google Project Zero declaró: "Lo más llamativo es la profundidad de la superficie de ataque alcanzable desde lo que se espera que sea un sandbox bastante restringido". La vulnerabilidad de iMessage fue corregida el 13 de septiembre del 2021 en iOS 14.8.
Los ataques de clic cero no solo se dirigen a los teléfonos. En el 2021, una vulnerabilidad de clic cero dio a los atacantes no autentificados el control total de las cámaras de seguridad Hikvision. Más tarde, ese mismo año, se demostró que una falla en Microsoft Teams era explotable mediante un ataque de clic cero que daba a los hackers acceso al dispositivo objetivo en los principales sistemas operativos (Windows, MacOS, Linux).
Cómo detectar y mitigar los ataques de clic cero
En realidad, saber si una víctima está infectada es bastante complicado, y protegerse contra un ataque de clic cero es casi imposible. Los ataques zero-clic son mucho más comunes de lo que pensamos", sostiene Maynier. Recomienda a los objetivos potenciales que cifren todos sus datos, actualicen sus dispositivos, tengan contraseñas seguras, y hagan todo lo que esté en su mano para proteger su vida digital. También les dice algo más: "Considerar que pueden estar comprometidos y adaptarse a ello".
Aun así, los usuarios pueden hacer algunas cosas para minimizar el riesgo de ser espiados. La más sencilla es reiniciar el teléfono periódicamente si tienen un iPhone. Los expertos de Amnistía han demostrado que esto podría detener el funcionamiento de Pegasus en iOS, al menos temporalmente. Esto tiene la ventaja de desactivar cualquier código que se esté ejecutando y que no haya alcanzado la persistencia. Sin embargo, la desventaja es que el reinicio del dispositivo puede borrar las señales de que se ha producido una infección, lo que hace mucho más difícil para los investigadores de seguridad determinar si un dispositivo ha sido atacado con Pegasus.
Los usuarios también deben evitar hacer jailbreak a sus dispositivos, porque elimina algunos de los controles de seguridad que están incorporados en el firmware. Además, dado que pueden instalar software no verificado en un dispositivo con jailbreak, esto los expone a instalar código vulnerable que podría ser un objetivo principal para un ataque de clic cero.
Como siempre, mantener una buena higiene de seguridad puede ayudar. "La segmentación de las redes, las aplicaciones y los usuarios, el uso de la autenticación multifactorial, el uso de una fuerte monitorización del tráfico, una buena higiene de la ciberseguridad, y los análisis de seguridad avanzados pueden resultar en frenar o mitigar los riesgos en situaciones específicas", anota Lakhani. "[Estos] también dificultarán las actividades posteriores a la explotación para los atacantes, incluso si comprometen [los] sistemas".
Maynier añade que los objetivos de alto perfil deberían segregar los datos y tener un dispositivo solo para las comunicaciones sensibles. Recomienda a los usuarios que mantengan "la menor cantidad de información posible en su teléfono (la desaparición de mensajes es una muy buena herramienta para ello)", y que lo dejen fuera de la habitación cuando tengan conversaciones importantes cara a cara.
Organizaciones como Amnistía y Citizen Lab han publicado guías en las que se indica a los usuarios que conecten su smartphone a una PC y comprueben si han sido infectados por Pegasus. El software utilizado para ello, Mobile Verification Toolkit, se basa en indicadores de compromiso conocidos, como los favicons almacenados en caché y las URL presentes en los mensajes SMS. Un usuario no tiene que hacer jailbreak a su dispositivo para ejecutar esta herramienta.
Además, tanto Apple como WhatsApp han enviado mensajes a las personas que podrían haber sido objeto de ataques de clic cero que pretendían instalar Pegasus. Después de eso, algunos de ellos se pusieron en contacto con organizaciones como Citizen Lab para seguir analizando sus dispositivos.
Sin embargo, la tecnología por sí sola no resolverá el problema, señala Maynier de Amnistía. "Esto es, en última instancia, una cuestión de política y regulación", añade. "Amnistía, EDRi y muchas otras organizaciones piden una moratoria mundial sobre el uso, la venta y la transferencia de tecnología de vigilancia hasta que haya un marco regulador adecuado de los derechos humanos que proteja a los defensores de los derechos humanos y a la sociedad civil del uso indebido de estas herramientas".
Las respuestas políticas tendrán que abarcar diferentes aspectos de este problema, anota, desde el control de las exportaciones hasta la diligencia debida en materia de derechos humanos obligatoria para las empresas. "Primero tenemos que poner fin a estos abusos generalizados", añade Maynier.
Basado en el artículo de Andrada Fiscutean (CSO) y editado por CIO Perú