Apple se ha apresurado a lanzar una actualización de su sistema operativo iOS después de que un malware, supuestamente desarrollado por una empresa israelí que comercializa software de espionaje a gobiernos, fuera capaz de vigilar en remoto un iPhone 6 actualizado.

El ataque intenta animar a los usuarios a abrir una URL mediante un mensaje de texto. Cuando se pulsa el enlace, el ataque emplea tres fallos individuales de día-cero para aprovecharse de una debilidad del motor de búsquedas de Safari, que habilita el acceso al núcleo del sistema operativo y permite instalar el malware para eliminar las barreras de protección de un iPhone. Desde ese momento, el malware puede ser utilizado para espiar casi cualquier aspecto del uso del teléfono, desde llamadas y mensajes hasta datos del calendario y transmisiones de vídeo.

Este parece ser el primer ejemplo conocido de hackers que tengan la capacidad de liberar en remoto un iPhone de todas sus protecciones, y Motherboard afirma que es el primer ataque de este tipo. La vulnerabilidad fue identificada por investigadores del Laboratorio del Ciudadano de la Universidad de Toronto (Canadá) después de que el activista de derechos humanos y disidente de los Emiratos Árabes Unidos Ahmed Mansoor fuera la víctima del ataque. 

Crédito: Carolyn Kaster (AP).

El equipo del Laboratorio del Ciudadano afirma que el malware fue desarrollado por la empresa israelí NSO Group, que crea software de espionaje para gobiernos. No es ningún secreto que NSO Group ofrece software capaz de vigilar smartphones. En 2014, el Wall Street Journal informó de que una diapositiva de NSO Group afirmaba que la empresa proporciona tecnologías que "permiten la monitorización remota y encubierta y la extracción completa de datos de dispositivos remotos mediante comandos imposibles de rastrear". Actualmente no está claro exactamente quién lanzó el malware contra Mansoor.

Reuters sugiere que tal software, capaz de espiar a un actualizado iPhone 6, podría venderse por hasta un millón de dólares (unos 900.000 euros).

Los investigadores del Laboratorio delo Ciudadano informaron a Apple de esta vulnerabilidad hace más de una semana, y el fabricante de iPhones ha lanzado un parche de software para los dispositivos que ejecutan iOS 9. Apple afirma que los dispositivos que ejecutan versiones actualizadas de iOS 10 no están afectados.

La compañía anunció recientemente un programa de recompensa por caza de errores, mediante el cual pagará hasta 180.000 euros a los hackers (invitados) que logren identificar el tipo de errores del que se aprovecha el malware. Tal vez hubiera debido hacerlo antes.

(Para saber más: Citizen Lab,  Reuters, Motherboard, El gran negocio de hackear para gobiernos)