Si bien los » ataques de día cero » son suficientemente malos, se les llama así porque los desarrolladores no han tenido días para lidiar con la vulnerabilidad antes de que salga a la luz, los ataques de cero clic son preocupantes de una manera diferente.
Definición de ataques de cero clic
Muchos ciberataques comunes, como el phishing, requieren que el usuario realice algún tipo de acción. En estos esquemas, abrir un correo electrónico , descargar un archivo adjunto o hacer clic en un enlace permite que el software malintencionado acceda a su dispositivo. Pero los ataques de cero clic requieren, bueno, cero interacción del usuario para funcionar.
Estos ataques no necesitan usar “ ingeniería social ” , las tácticas psicológicas que usan los malos actores para que usted haga clic en su malware. En cambio, simplemente bailan el vals directamente en su máquina. Eso hace que los ciberataques sean mucho más difíciles de rastrear y, si fallan, pueden seguir intentándolo hasta que lo obtengan, porque no sabes que estás siendo atacado.
Las vulnerabilidades de cero clic son muy apreciadas hasta el nivel del estado-nación. Empresas como Zerodium que compran y venden vulnerabilidades en el mercado negro están ofreciendo millones a cualquiera que pueda encontrarlas.
Cualquier sistema que analice los datos que recibe para determinar si esos datos son confiables es vulnerable a un ataque de cero clic. Eso es lo que hace que las aplicaciones de mensajería y correo electrónico sean objetivos tan atractivos. Además, el cifrado de extremo a extremo presente en aplicaciones como iMessage de Apple dificulta saber si se está enviando un ataque de clic cero porque el contenido del paquete de datos no puede ser visto por nadie más que el remitente y el receptor.
Estos ataques tampoco suelen dejar mucho rastro. Un ataque de correo electrónico sin hacer clic, por ejemplo, podría copiar todo el contenido de la bandeja de entrada de su correo electrónico antes de borrarse. Y cuanto más compleja es la aplicación, más espacio existe para exploits sin hacer clic.
Ataques sin clic en la naturaleza
En septiembre, The Citizen Lab descubrió un exploit de cero clic que permitía a los atacantes instalar el malware Pegasus en el teléfono de un objetivo utilizando un PDF diseñado para ejecutar código automáticamente. El malware convierte efectivamente el teléfono inteligente de cualquier persona infectada con él en un dispositivo de escucha. Desde entonces, Apple ha desarrollado un parche para la vulnerabilidad .
En abril, la empresa de ciberseguridad ZecOps publicó un artículo sobre varios ataques sin hacer clic que encontraron en la aplicación Mail de Apple. Los atacantes cibernéticos enviaron correos electrónicos especialmente diseñados a los usuarios de Mail que les permitieron obtener acceso al dispositivo sin ninguna acción por parte del usuario. Y aunque el informe de ZecOps dice que no creen que estos riesgos de seguridad en particular representen una amenaza para los usuarios de Apple, exploits como este podrían usarse para crear una cadena de vulnerabilidades que, en última instancia, permitan que un ciberataque tome el control.
En 2019, los atacantes utilizaron un exploit en WhatsApp para instalar software espía en los teléfonos de las personas con solo llamarlos. Desde entonces, Facebook ha demandado al proveedor de software espía considerado responsable, alegando que estaba usando ese software espía para atacar a activistas y disidentes políticos.
Cómo protegerse
Desafortunadamente, dado que estos ataques son difíciles de detectar y no requieren la ejecución de ninguna acción por parte del usuario, es difícil protegerse contra ellos. Pero una buena higiene digital aún puede hacer que seas un objetivo menos.
Actualice sus dispositivos y aplicaciones con frecuencia, incluido el navegador que usa. Estas actualizaciones a menudo contienen parches para exploits que los malos actores pueden usar en su contra si no los instala. Muchas víctimas de los ataques de ransomware WannaCry, por ejemplo, podrían haberlos evitado con una simple actualización. Tenemos guías para actualizar las aplicaciones de iPhone y iPad , actualizar su Mac y las aplicaciones instaladas y mantener actualizado su dispositivo Android .
Obtenga un buen programa anti-spyware y anti-malware , y utilícelo con regularidad. Use una VPN en lugares públicos si puede, y no ingrese información confidencial como datos bancarios en una conexión pública que no sea de confianza .
Los desarrolladores de aplicaciones pueden ayudar por su parte probando rigurosamente sus productos en busca de exploits antes de lanzarlos al público. Traer expertos profesionales en ciberseguridad y ofrecer recompensas por la corrección de errores puede ser de gran ayuda para hacer las cosas más seguras.
Entonces, ¿deberías perder el sueño por esto? Probablemente no. Los ataques de cero clic se utilizan principalmente contra objetivos financieros y de espionaje de alto perfil. Siempre que tome todas las medidas posibles para protegerse , debe hacerlo bien.
