El pasado 2019 WhatsApp, la app de mensajería más popular en España, confirmó la existencia de una vulnerabilidad que permitía tomar el control del móvil sólo con recibir un mensaje.

'Pegasus' era el nombre del programa malicioso usado para este fin, y al año siguiente se descubrió que había sido usado en España para espiar a políticos catalanes. Sin embargo, ese no era el único as en la manga que tenían Pegasus y sus creadores, NSO Group.

Según una investigación de Citizen Lab, de la Universidad de Toronto, publicada por el diario británico The Guardian, NSO Group también consiguió saltarse la seguridad del iPhone, para realizar un ataque capaz de espiar a usuarios sin que se den cuenta, o incluso sin necesidad de que hiciesen nada.

Fallo crítico en iPhone

El 'malware' desarrollado por NSO Group, una empresa de ciberseguridad israelí, habría sido usado para espiar a al menos 36 periodistas de la cadena catarí Al Jazeera, además de a un periodista de Al Araby TV con residencia en Londres.

La vulnerabilidad aprovechada por los atacantes estaba en la app iMessage (llamada simplemente "Mensajes" en español), y permitía obtener todo tipo de datos almacenados en el iPhone, además de acceso a funciones de micrófono e incluso a la cámara integrada. De esta manera, sería posible realizar fotos y grabaciones de la víctima sin que hubiese ningún indicador de que estaba siendo espiada.

El método de ataque del 'software' de NSO Group suele implicar el envío de mensajes

Peor aún, este ataque no deja ningún tipo de rastro, al realizarse a un nivel tan bajo del sistema operativo que no existen registros del uso de estas funciones.

Este es lo que se conoce como un 'bug de día cero', porque se ha descubierto antes que el creador del software original; se cree que ha estado durante al menos un año en el código de iOS, aparentemente sin que Apple o cualquier investigador se diese cuenta.

iOS 14 tapa el agujero

Eso parece haber cambiado recientemente. Desde el lanzamiento de iOS 14, la vulnerabilidad ya no se puede aprovechar y el malware desarrollado por NSO Group ya no funciona; pero se sabe que funcionaba al menos desde el iPhone 11 con iOS 13.5.1.

No está claro el verdadero alcance de esta campaña de ataques cibernéticos, y si la herramienta fue usada contra otros usuarios de iPhone como políticos o legisladores. Por el momento, NSO Group ha negado toda implicación en el ataque, llamando "especulación" a la investigación; sin embargo, al mismo tiempo ha querido evitar posibles consecuencias legales, afirmando que no almacena datos de los usuarios y no es capaz de saber qué hacen los clientes con su software.