Una situación muy alarmante fue la que una empresa de seguridad móvil de San Francisco llamada ZecOps dejó de manifiesto. Se trata de una vulnerabilidad en el servicio de correo electrónico de Apple para millones de iPhone e iPad, que podría haber permitido que esos dispositivos hayan sido hackeados por años.
Zuk Avraham, director ejecutivo de ZecOps, fue quien encontró evidencia de que la vulnerabilidad fue explotada en al menos seis robos de ciberseguridad.
Según información compartida por Reuters, «un portavoz de Apple reconoció que existe una vulnerabilidad en el software de Apple para el correo electrónico en iPhones y iPads, conocida como la aplicación Mail, y que la compañía había desarrollado una solución, que se implementará en una próxima actualización en millones de dispositivos que ha vendido en todo el mundo».
Apple desmiente todo
Este viernes 24 de abril, Apple desestimó las supuestas vulnerabilidades en la aplicación Mail y comentó que no hay evidencia suficiente para afirmar que pudiera haber hackeos masivos por esa plataforma.
«Apple se toma muy en serio todos los informes de amenazas a la seguridad. Hemos investigado a fondo el informe del investigador y, basándonos en la información proporcionada, hemos concluido que estos errores no suponen un riesgo inmediato para nuestros usuarios. El investigador identificó tres problemas en Mail, pero por sí solos son insuficientes para eludir las protecciones de seguridad del iPhone y el iPad, y no hemos encontrado ninguna prueba de que hayan sido utilizados contra los clientes.
Estos posibles problemas se abordarán en una actualización de software que se liberará próximamente. Valoramos nuestra colaboración con los investigadores de seguridad para ayudar a mantener a nuestros usuarios a salvo y recompensaremos al investigador por su ayuda», sostuvieron los de Cupertino en un comunicado.
¿De qué se trata la vulnerabilidad?
Zuk Avraham detalló que la evidencia fue descubierta en enero de 2018 y que la vulnerabilidad se estaba aprovechando de un programa malicioso en iOS para equipos móviles.
Para ejecutar el hackeo, el jefe de ZecOps comentó que a las víctimas se les enviaba un mensaje de correo electrónico aparentemente en blanco a través de la aplicación Mail forzando un bloqueo y reinicio. El accidente abrió la puerta para que los piratas informáticos robaran otros datos en el dispositivo, como fotos y detalles de contacto.
La empresa de seguridad móvil además descubrió que la técnica de hackeo de la aplicación Mail se usó contra un cliente en 2019. Avraham describió al cliente objetivo como una «compañía norteamericana de tecnología (que integra la lista) Fortune 500», pero se negó a nombrarlo.
Patrick Wardle, un experto en seguridad de Apple y exinvestigador de la Agencia de Seguridad Nacional de EEUU, sostuvo que el descubrimiento «confirma lo que siempre ha sido un secreto bastante mal guardado: que los adversarios con recursos suficientes pueden infectar de forma remota y silenciosa dispositivos iOS completamente parcheados».
Mientras Bill Marczak, investigador de seguridad de Citizen Lab, un grupo de seguridad académica con sede en Canadá, calificó el descubrimiento de vulnerabilidad como «aterrador». «Con este error, no importa si tienes un doctorado en ciberseguridad, esto comerá tu almuerzo», agregó.
