Vamos a decirte qué es el tipo de ataque clic cero, utilizados por aplicaciones espía como Pegasus. Todos recordaremos que en 2021 los teléfonos de Pedro Sánchez y la ministra de defensa fueron infectados por este malware de espionaje o Spyware, y para hacerlo se utilizó esta técnica.
La técnica de zero-click en Pegasus fue documentada por primera vez por Citizen Lab en un informe de 2016, y conviene conocerla por su sofisticación. Básicamente, se trata de un método para infectar dispositivos con el que no hace falta que la víctima haga nada ni toque en ningún enlace.
Qué es el ataque clic cero
El Click Cero es lo que llamamos un exploit, un truco con el que se explota un fallo de seguridad de sistemas operativos o páginas web para hacer algo que no deberías poder hacer. En este caso, lo que no deberíamos poder hacer es instalar un programa espía en el móvil sin que la víctima lo sepa.
Para espiar el móvil de otra persona hay que instalar un programa de espionaje, y el método más común para hacerlo es mediante ataques de phishing: se le envía a la víctima un correo o mensaje falso con un enlace en el que, al pulsarlo, se le descarga el spyware. Vamos, que hace falta una interacción por parte de la víctima.
Sin embargo, los exploits de cero clic están diseñados para funcionar sin la interacción del usuario. Esto significa que son métodos para que el móvil de una víctima puedan ejecutar código por sí mismo.
Este es un tipo de ataque muy sofisticado, sutil, y con una gran tasa de éxito, ya que no nos vamos a dar cuenta de que está sucediendo. Así pues, tu dispositivo se infecta de forma invisible o con sólo recibir una notificación de llamada perdida de un número desconocido.
Los ataques de clic cero no son un virus o malware, sino una técnica mediante la cuál se pueden instalar estos malwares. Por lo tanto, tu antivirus no detectará este ataque, aunque sí puede detectar el programa que instalen en el móvil mediante él.
Cómo funciona el exploit de clic cero
Este tipo de exploits utiliza vulnerabilidades dentro de aplicaciones de comunicación completamente normales y legales que llevamos en el móvil. Por ejemplo, las aplicaciones de mensajería, la de SMS o redes sociales.
Lo que hacen es aprovechar fallos en procesos automáticos de los móviles o aplicaciones. Por ejemplo, cuando recibes un SMS en el móvil, la aplicación lo procesa automáticamente para enviarte una previsualización en las notificaciones, o una notificación con el mensaje concreto.
Lo que hacen los atacantes es utilizar fallos que ellos han descubierto pero las empresas responsables de los móviles, sistemas operativos o aplicaciones no saben. Por seguir un ejemplo, si la app de mensajes tiene un fallo a la hora de procesar imágenes, PDFs o audios, el exploit podrá aprovecharlo para enviar un mensaje que tenga un código con el que explotar este fallo para instalar el malware en cuestión.
Por poner un ejemplo, Pegasus utilizaba exploits de clic cero en iMessage y WhatsApp. Los atacantes solo tenían que enviar un mensaje especialmente diseñado para explotar los fallos de esta app, y el teléfono quedaba infectado sin que te des cuenta, incluso borrando luego el mensaje para no dejar rastro.
Hay grupos de cibercriminales especializados en crear estos exploits, que por ser tan difíciles de diseñar pueden valer millones. Hoy en día, los tipos más comunes son los dirigidos a teléfonos inteligentes, aunque también se pueden crear para otros dispositivos.
Cómo protegerte de los exploits de cero clics
Como estos ataques funcionan sin necesidad de que haya una interacción por parte de la víctima, no vas a tener una oportunidad de identificar la amenaza y defenderte de ella. Esto hace que sean sumamente difíciles de evitar, aunque siempre podemos recurrir a unas medidas proactivas de seguridad.
En primer lugar, ten tus dispositivos y sus aplicaciones SIEMPRE actualizadas. Estos ataques funcionan por vulnerabilidades que no han sido descubiertas, pero si se descubren las empresas de las apps, dispositivos y sistemas operativos siempre enviará actualizaciones urgentes. Cuanto más aplicaciones o sistemas operativos sin actualizar tengas, más vulnerable serás.
Otra medida muy importante es evitar usar aplicaciones inseguras. Ten cuidado con las apps casi desconocidas, o con esas que descargues de tiendas de aplicaciones de terceros o directamente de páginas web. Sé que a todos nos gusta explorar apps nuevas, pero sólo las apps de confianza descargadas de tiendas de aplicaciones reputadas pueden minimizar los riesgos.
También puedes considerar instalar aplicaciones contra spyware y malware, los clásicos antivirus. Detrás de ellos hay empresas que se dedican a monitorizar riesgos y malware, y los exploits de cero clics suelen usarse para instalar este tipo de virus.
Extrema las precauciones si eres un personaje público. Evidentemente, un gobierno o una institución no va a gastar millones de euros en uno de estos exploits para infectar al panadero del pueblo. Pero si eres activista o miembro de una institución o gobierno, entonces sí que vas a tener que tomarte todas estas medidas más en serio.
En Xataka Basics | Ciberseguridad para tus vacaciones: consejos y recomendaciones para antes y durante tus días libres
-
La noticia Ataque zero-click o clic cero: qué es, cómo funciona y cómo protegerte de él fue publicada originalmente en Xataka por Yúbal Fernández .
☞ El artículo completo original de Yúbal Fernández lo puedes ver aquí