Los iPhone pueden ser hackeados simplemente con visitar una página web, y los usuarios llevan al menos dos años sufriendo ese tipo de ataques. Es la conclusión a la que ha llegado Project Zero, el equipo de investigadores de seguridad de Google, en su última publicación.

El sistema operativo de los iPhone, iOS, es famoso por la cantidad de limitaciones que impone en nombre de la seguridad; sin embargo, eso no significa que no tenga un par de resquicios por los que se pueda pasar, al fin y al cabo, no existe el software perfecto. Google no solo ha descubierto uno de estos "resquicios", sino también que diariamente pasan miles de atacantes por ellos.

En concreto, los investigadores han descubierto cinco "exploits", métodos para entrar en el sistema de los iPhone, gracias a 12 fallos de seguridad diferentes. De estos, nada menos que siete afectan a Safari, el navegador preinstalado en iOS y en el que tienen que estar basados todos los navegadores lanzados en la App Store.

Páginas web podían tomar el control del iPhone

Estos ataques son de la máxima gravedad, porque permiten obtener acceso "root"; es decir, al nivel más bajo posible, en el que es posible obtener control completo del sistema y ejecutar código a placer.

Lo más grave es que, para llegar a ese nivel, no es necesario que el usuario instale nada; sólo visitar una página web con código malicioso es suficiente para que el atacante tome el control del dispositivo. El código se ejecuta en Safari y da acceso a todas las características del dispositivo; de hecho, el atacante tiene más control sobre el iPhone que el propio usuario, ya que el acceso "root" es más completo.

Por ejemplo, este acceso permitiría a un atacante la instalación de apps de manera silenciosa y sin conocimiento del usuario, algo que normalmente no es posible. Según Google, estas apps maliciosas rebuscan entre los archivos personales, como mensajes, fotos y contraseñas; además, activan la localización y la registran en tiempo real.

Project Zero es una de las apuestas más polémicas de Google. Se trata de un "equipo de élite" de investigadores de seguridad, que buscan bugs y vulnerabilidades de manera activa, no solo en productos de Google, sino de cualquier fabricante. Son famosos por ofrecer muy poco tiempo para solucionar el problema antes de hacerlo público, para forzar a los desarrolladores.

De hecho, normalmente Project Zero deja 90 días antes de la publicación de sus descubrimientos; pero este caso era tan grave, según Google, que sólo dejaron una semana para que Apple tapase el bug. Seis días después, Apple lanzó iOS 12.1.4, que originalmente se pensaba que sólo arreglaba una vulnerabilidad de FaceTime.

Sin embargo, desde Project Zero afirman que esto es sólo el principio, y que es posible que existan otras "campañas" que intenten aprovecharse de vulnerabilidades semejantes.