El control de Apple sobre su ecosistema de dispositivos y aplicaciones ha sido históricamente estricto. Además, hay varias funciones de seguridad integradas, como el cifrado fuerte y la contenerización, que ayudan a evitar la fuga de datos y limitan la propagación de malware. A pesar de todo esto, ESET, compañía líder en detección proactiva de amenazas, advierte que no se eliminan los riesgos por completo, ya que las estafas cotidianas y otras amenazas bombardean también a usuarios de iOS, y aunque algunas son más comunes que otras, todas exigen atención.
“El hecho de que las aplicaciones de iOS suelan proceder de la App Store oficial de Apple y deban superar estrictas pruebas para ser aprobadas ha evitado dolores de cabeza relacionados con la seguridad y la privacidad a lo largo de los años. Pero, la reciente ley antimonopolio de la UE, conocida como Ley de Mercados Digitales (DMA), busca que los usuarios de iOS tengan la opción de utilizar mercados de aplicaciones de terceros. Esto traerá nuevos retos a Apple a la hora de proteger a los usuarios de iOS de posibles daños y a los que utilicen sus productos, ya que tendrán que ser más conscientes de las amenazas. Este cambio de las reglas de juego, sin dudas, será aprovechado por el cibercrimen”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Seguridad informática de ESET Latinoamérica.
Además de los riesgos que podrían derivar del cumplimiento de la DMA, ESET analiza los diferentes tipos de amenazas, posiblemente más inmediatas, que apuntan a los usuarios de iOS en todo el mundo:
Dispositivos con jailbreak: Si se desbloquea deliberadamente un dispositivo para permitir lo que Apple denomina «modificaciones no autorizadas», se podría violar el Contrato de Licencia de Software y desactivar algunas funciones de seguridad integradas, como el Arranque Seguro y la Prevención de Ejecución de Datos. También significará que el dispositivo dejará de recibir actualizaciones automáticas. Al poder descargar aplicaciones de fuera de la App Store, se está expuesto a software malicioso y/o con errores.
Aplicaciones maliciosas: Aunque Apple hace un buen trabajo a la hora de examinar las aplicaciones, no acierta el 100% de las veces. Entre las aplicaciones maliciosas detectadas recientemente en la App Store se incluyen: Una versión falsa del gestor de contraseñas LastPass diseñada para recopilar credenciales, un programa malicioso de lectura de capturas de pantalla apodado «SparkCat», camuflado en aplicaciones de inteligencia artificial y reparto de comida y una falsa aplicación de monedero criptográfico llamada «Rabby Wallet & Crypto Solution».
Descargas de aplicaciones desde sitios web: Como se detalló en el último ESET Threat Report, las aplicaciones web progresivas (PWA) permiten la instalación directa sin necesidad de que los usuarios concedan permisos explícitos, lo que significa que las descargas podrían pasar desapercibidas. ESET descubrió esta técnica utilizada para disfrazar malware bancario como aplicaciones legítimas de banca móvil.
Phishing/ingeniería social: Los ataques de phishing por correo electrónico, texto (o iMessage) e incluso voz son habituales. Se hacen pasar por marcas legítimas y engañan al usuario para que facilite sus credenciales, haga clic en enlaces maliciosos o abra archivos adjuntos para desencadenar descargas de malware. Los ID de Apple se encuentran entre los inicios de sesión más preciados, ya que pueden proporcionar acceso a todos los datos almacenados en una cuenta de iCloud y/o permitir a los atacantes realizar compras en iTunes/App Store. Desde ESET aconsejan tener cuidado con:
• Ventanas emergentes falsas que afirman que el dispositivo tiene un problema de seguridad
• Llamadas telefónicas fraudulentas y llamadas FaceTime haciéndose pasar por el Soporte de Apple u organizaciones asociadas
• Promociones falsas que ofrecen regalos y sorteos
• Spam de invitaciones al calendario con enlaces de phishing
En una campaña muy sofisticada, los autores de la amenaza utilizaron técnicas de ingeniería social para engañar a los usuarios y conseguir que descargaran un perfil de gestión de dispositivos móviles (MDM) que les permitiera controlar los dispositivos de las víctimas. Con esto, desplegaron el malware GoldPickaxe, diseñado para recopilar datos biométricos faciales y utilizarlos para eludir los inicios de sesión bancarios.
Riesgos de las redes wifi públicas: Un punto de acceso de wifi público, puede ser un punto de acceso falso creado por agentes de amenazas para vigilar el tráfico web y robar información confidencial, como contraseñas bancarias. Incluso si el punto de acceso es legítimo, muchos no cifran los datos en tránsito, lo que significa que los hackers con las herramientas adecuadas podrían ver los sitios web que visita y las credenciales que introduce. Es por lo que desde ESET recomiendan la utilización de VPN, que crea un túnel cifrado entre el dispositivo e Internet.
Vulnerabilidades: Si bien desde Apple se le dedica mucho tiempo y esfuerzo a garantizar que su código esté libre de vulnerabilidades, a veces hay fallos en la producción. En estos casos, los piratas informáticos pueden aprovecharse si los usuarios no han actualizado el dispositivo, por ejemplo, enviando enlaces maliciosos en mensajes que activan un exploit si se hace clic sobre ellos.
• El año pasado, Apple se vio obligada a parchear una vulnerabilidad que podía permitir a los agresores robar información de un dispositivo bloqueado mediante comandos de voz de Siri
• En ocasiones, los propios actores de amenazas y empresas comerciales investigan nuevas vulnerabilidades (de día cero) para explotarlas. Aunque son poco frecuentes y muy selectivos, los ataques que aprovechan estas vulnerabilidades se utilizan a menudo para instalar de forma encubierta programas espía con el fin de espiar los dispositivos de las víctimas
Si bien hay malware que acecha los dispositivos de iOS, también es posible minimizar la exposición a las amenazas. ESET comparte las principales tácticas:
• Mantener el iOS y todas las aplicaciones actualizadas. Esto reducirá la ventana de oportunidad para que los actores de amenazas exploten cualquier vulnerabilidad en versiones antiguas para lograr sus objetivos.
• Utilizar siempre contraseñas seguras y únicas para todas las cuentas, quizás utilizando el gestor de contraseñas de ESET para iOS, y activar la autenticación multifactor si se ofrece. Esto es fácil en los iPhones, ya que requerirá un simple escaneo de Face ID. Esto asegurará que, incluso si obtienen las contraseñas, no podrán acceder a las aplicaciones sin el escaneo de cara.
• Activar Face ID o Touch ID para acceder al dispositivo, respaldado con una contraseña segura. Esto mantendrá el iPhone seguro en caso de pérdida o robo.
• No hacer jailbreak al dispositivo, por las razones mencionadas anteriormente. Lo más probable es que tu iPhone sea menos seguro.
• Tener cuidado con el phishing. Eso significa tratar con extrema precaución las llamadas, mensajes de texto, correos electrónicos y mensajes de redes sociales no solicitados. No hacer clic en enlaces ni abrir archivos adjuntos. Si realmente se necesita hacerlo, comprobar por separado con el remitente que el mensaje es legítimo (es decir, no respondiendo a los datos que figuran en el mensaje). Buscar signos de ingeniería social, como errores gramaticales y ortográficos, una urgencia para actuar, regalos y ofertas demasiado buenas para ser ciertas o cominios del remitente que no coinciden con el supuesto remitente.
• Evitar las redes wifi públicas. Si es necesario utilizarlas, intentar hacerlo con una VPN. Como mínimo, no iniciar sesión en ninguna cuenta valiosa ni introducir información confidencial en una red wifi pública.
• Intentar limitarse a la App Store para cualquier descarga, con el fin de minimizar el riesgo de descargar algo malicioso o arriesgado.
• Si se cree que se puede ser objetivo de programas espía (utilizados a menudo contra periodistas, activistas y disidentes), activar el modo de bloqueo.
• Prestar atención a los signos reveladores de una infección por malware, que podrían incluir un rendimiento lento, ventanas emergentes de publicidad no deseada, un sobrecalentamiento del dispositivo, aparición de nuevas aplicaciones en la pantalla de inicio o aumento del consumo de datos.
“Si bien el iPhone de Apple sigue siendo uno de los dispositivos más seguros que existen. Esto no quiere decir que estén libres de amenazas. Mantenerse alerta, conocer los posibles riesgos y tomar las medidas de protección necesarias ayudan a mantener la información y los dispositivos seguros”, concluye Gutiérrez Amaya, Jefe del Laboratorio de Seguridad informática de ESET Latinoamérica.
Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/seguridad-moviles/que-tan-seguro-iphone/
