Seguridad móvil ¿Un compromiso de seguridad tan sigiloso que ni siquiera requiere su interacción? Sí, los ataques sin clic no requieren ninguna acción por tu parte, pero esto no significa que quedes vulnerable. 11 dic 2023 • , 3 min. leer En un mundo de comunicación instantánea y acelerado por la noción cada vez más extendida de que si no estás conectado o disponible, puedes ser el extraño, la mensajería se ha convertido, en muchos sentidos, en una forma crucial de comunicación y conexión personal, especialmente para las generaciones más jóvenes. En este contexto, los ciberdelincuentes pueden tener más facilidad para tener éxito con sus planes, ya que enviar mensajes a alguien es sencillo y el error humano puede facilitar el resto. Sin embargo, a veces ni siquiera es necesario un error humano. Estamos profundizando en el ámbito de los ataques sin clic, que, como su nombre lo indica, podrían señalar el fin de la era de los mensajes de phishing descaradamente obvios con sus divertidos errores gramaticales. ¿Pero es realmente así? Espera, no hice nada. ¿Qué son los ataques sin clic? A diferencia de las oportunidades de explotación tradicionales de engañar a los usuarios para que proporcionen acceso abriendo un archivo adjunto infectado o haciendo clic en un enlace fraudulento, este ataque no requiere ese tipo de interacción. La mayoría de los ataques sin clic se basan en vulnerabilidades en las aplicaciones, especialmente aquellas destinadas a mensajería, SMS o incluso aplicaciones de correo electrónico. En consecuencia, si una aplicación en particular tiene una vulnerabilidad sin parchear, el atacante puede alterar su flujo de datos. Puede ser una imagen o un texto que estás a punto de enviar. Dentro de este medio, pueden ocultar datos manipulados que aprovechan una vulnerabilidad para ejecutar código malicioso sin su conocimiento. Esta falta de interacción significa que es más difícil rastrear la actividad maliciosa, lo que facilita que los actores de amenazas evadan la detección; permitir la instalación de spyware, stalkerware u otras formas de malware; y permitir a los delincuentes rastrear, monitorear y recopilar datos de un dispositivo infectado. Por ejemplo, en 2019, se descubrió que WhatsApp, una popular aplicación de mensajería, era vulnerable a un ataque particular sin clic, en el que una llamada perdida podría explotar una vulnerabilidad dentro del código de la aplicación. De esta manera, los atacantes pudieron comprometer el dispositivo en el que se encontraba la aplicación para infectarlo con software espía. Afortunadamente, los desarrolladores lograron parchear este, pero el caso muestra que incluso una llamada perdida pudo desencadenar una infección. ¿Existe alguna protección contra ataques de clic cero? Cada vez más empresas se centran en abordar el problema de los cero clics. Por ejemplo, los teléfonos móviles Samsung ofrecen ahora una solución que protege preventivamente a los usuarios limitando la exposición a amenazas invisibles disfrazadas de archivos adjuntos de imágenes, llamada Samsung Message Guard, que forma parte de su plataforma de seguridad Knox. SMG comprueba los archivos poco a poco y los procesa en un entorno controlado, un espacio aislado esencialmente para poner en cuarentena las imágenes del resto del sistema operativo, similar a una función que tienen muchas soluciones antivirus modernas. Se une a las filas de soluciones de seguridad como BlastDoor de Apple, que verifica los datos dentro de iMessage de manera similar, evitando la interacción entre mensajes y sistema operativo al aislar la aplicación iMessage para que las amenazas tengan más dificultades para llegar fuera del servicio. Esta solución surgió después de que los expertos descubrieran una debilidad en iMessage que se utilizaba para instalar software espía mercenario contra personas, en su mayoría políticos y activistas, para leer sus mensajes de texto, escuchar llamadas, recopilar contraseñas, rastrear sus ubicaciones y acceder a sus micrófonos, cámaras y más. – una pieza de malware bastante insidiosa, todo ello sin ninguna apariencia de interacción del usuario. Sin embargo, se debe tener precaución incluso con las soluciones anti-clic cero, ya que aún puede haber vulnerabilidades que los actores de amenazas pueden aprovechar para obtener acceso a su dispositivo. Esto es especialmente cierto en el caso de teléfonos con software desactualizado, ya que es menos probable que tengan vulnerabilidades parcheadas. Comenzando desde la zona cero Si bien los ataques sin clic casi no requieren interacción y tienden a apuntar a personas de alto perfil o cualquier persona con cierta visibilidad pública, todavía existen algunos consejos básicos de ciberseguridad que pueden ser útiles para evitar este tipo de ataques: Mantenga sus dispositivos y aplicaciones actualizadas, especialmente tan pronto como haya actualizaciones de seguridad disponibles. Compre teléfonos de marcas que tengan un excelente historial en proporcionar actualizaciones (al menos incluyan actualizaciones de seguridad periódicas y durante al menos tres años). Intente ceñirse a las tiendas de aplicaciones oficiales, como Google Play o App Store de Apple, ya que auditan cualquier lanzamiento nuevo y, por lo tanto, es más probable que sean seguras. Si no está utilizando una aplicación, elimínela y tenga cuidado con los imitadores de aplicaciones maliciosas. Haga una copia de seguridad de su dispositivo con regularidad para recuperar sus datos en caso de que necesite restablecerlo. Aumente su seguridad con una solución antivirus móvil. En general, practique la higiene en materia de ciberseguridad. Lectura adicional: una entrevista reveladora sobre vulnerabilidades. Más información sobre exploits sin clic.