NSO Group continúa buscando cómo vulnerar dispositivos iPhone, según un reporte de The Citizen Lab. El laboratorio ha encontrado tres exploits zero day, es decir, vulnerabilidades en iOS que han estado disponibles desde sus lanzamientos y, tras haberles identificado, notificó a Apple para que hiciera los parches necesarios.
Las vulnerabilidades han sido aprovechadas por Pegasus. Un portavoz de Apple dijo a The Washington Post que un puñado de usuarios de iPhone se ha visto afectados. Según el portavoz, la amenaza ha afectado a un número "muy pequeño" de los clientes de Apple.
El primer exploit fue LATENTIMAGE y pudo haber involucrado la función Find My. El segundo fue FINDMYPWN y se habría comenzado a implementar contra iOS el 15 de junio de 2022; finalmente, el tercer exploit fue PWNYOURHOME y fue implementado contra iOS 15 e iOS 16 a partir de octubre de 2022.
A decir del laboratorio, toda la evidencia fue recopilada y enviada a Apple, lo que llevó a la empresa a hacer mejoras de seguridad para HomeKit en iOS 16.3.1. Según Citizen Lab, los usuarios que activaron el modo bloqueo en iOS 16 llegaron a tener alertas en tiempo real cuando se les intentó tener como objetivos del PWNYOURHOME.
"No hemos visto que PWNYOURHOME" se use con éxito contra ningún dispositivo en el que esté habilitado el modo bloqueo", aseguran los investigadores.
Más casos en México
El laboratorio no hace mención de cuántas personas habrían sido vulneradas con cualquiera de los tres exploits. Lo que sí dice es que FINDMYPWN fue encontrado en México, como parte de una investigación con Red en Defensa de los Derechos Digitales. Los objetivos sobre los que Pegasus fue usado son Jorge Santiago Aguirre y María Luisa Aguilar, ambos activistas del Centro de Derechos Humanos Miguel Agustín Pro Juárez.
Santiago Aguirre antes ha sido identificado como un objetivo de Pegasus, en 2018. El propio laboratorio encontró en aquel entonces evidencia de una infección que habría ocurrido en 2016. En 2022 se le infectó también al menos dos veces con FINDMYPWN, vulnerabilidad que estuvo activa entre el 22 de junio de 2022 y el 13 de julio de 2022, según las conclusiones de Citizen Lab.
María Luisa Aguilar habría sido infectada vía la misma vulnerabilidad del 24 de septiembre de 2022 hasta el 29 de septiembre de 2022.
Los detalles de la investigación en la que Citizen Lab llama a México "un abusador de spyware en serie" pueden consultarse en el reporte publicado este 18 de abril. Ahí mismo el laboratorio concluye que las alertas de Apple que notifican sobre posible uso de spyware contra los usuarios ha estado funcionando correctamente y, que aunque es poco probable que el modo bloqueo sea suficiente para detener los ataques, todo parece indicar que es la mejor medida de defensa contra Pegasus.
