Bien que “attaques du jour zéro” ils sont assez mauvais, se les llama así debido a que los desarrolladores no han tenido días para lidiar con la vulnerabilidad antes de que salga a la luz, los ataques de cero clic son preocupantes de una manera distinto.
Definición de ataques de cero clic
Muchos ciberataques comunes como usurpation d'identité requieren que el usuario realice algún tipo de acción. En estos esquemas, abrir un email, descargar un archivo adjunto o hacer un clic en un link posibilita que el software malintencionado acceda a su dispositivo. Pero los ataques de cero clic requieren, bon, cero interacción del usuario para funcionar.
Estos ataques no necesitan utilizar “ingeniería social”, las tácticas psicológicas que usan los malos actores para que usted haga clic en su malware. En échange, simplemente bailan el vals de forma directa en su máquina. Eso hace que los ciberataques sean mucho más difíciles de rastrear, y si fallan, pueden seguir intentándolo hasta que lo entiendan, debido a que no sabe que está siendo atacado.
Las vulnerabilidades de cero clic son muy apreciadas hasta el nivel del estado-nación. Compañías como Zerodium que compran y venden vulnerabilidades en el mercado negro están ofreciendo millones a cualquiera que pueda encontrarlos.
Cualquier sistema que analice los datos que recibe para establecer si se puede confiar en esos datos es vulnerable a un ataque sin hacer un clic. Eso es lo que hace que las aplicaciones de mensajería y email sean objetivos tan atractivos. En même temps, el cifrado de extremo a extremo presente en aplicaciones como iMessage de Apple hace que sea difícil saber si se está enviando un ataque de clic cero debido a que el contenido del paquete de datos no puede ser visto por nadie más que el remitente y el receptor.
Estos ataques tampoco suelen dejar mucho rastro. Un ataque de email sin hacer un clic, par exemple, podría copiar todo el contenido de la bandeja de entrada de su email antes de borrarse. Y cuanto más compleja es la aplicación, más espacio existe para exploits sin hacer un clic.
EN RELATION: ¿Qué debe hacer si recibe un email de phishing?
Ataques sin clic en la naturaleza
En septiembre, The Citizen Lab descubrió un exploit de cero clic que permitió a los atacantes instalar el malware Pegasus en el teléfono de un objetivo usando un PDF diseñado para ejecutar código automáticamente. El malware convierte efectivamente el teléfono inteligente de cualquier persona infectada con él en un dispositivo de escucha. Depuis, Apple ha desarrollado un parche para la vulnerabilidad.
En abril, la compañía de ciberseguridad ZecOps publicó un artículo en varios ataques de cero clic que encontraron en la aplicación Mail de Apple. Los atacantes cibernéticos enviaron correos electrónicos especialmente diseñados a los usuarios de Mail que les permitieron obtener acceso al dispositivo sin ninguna acción por parte del usuario. Y aún cuando el reporte de ZecOps dice que no creen que estos riesgos de seguridad en particular representen una amenaza para los usuarios de Apple, exploits como este podrían usarse para crear una cadena de vulnerabilidades que, en dernier recours, permitan que un ciberataque tome el control.
Au 2019, los atacantes utilizaron un exploit en WhatsApp para instalar software espía en los teléfonos de las personas con solo llamarlos. Facebook tiene desde entonces demandó al vendedor de software espía considerado responsable, alegando que estaba usando ese software espía para apuntar a activistas y disidentes políticos.
Cómo protegerse
Malheureusement, dado que estos ataques son difíciles de detectar y no requieren ninguna acción por parte del usuario, es difícil protegerse contra ellos. Pero una buena higiene digital aún puede hacer que seas un objetivo menos.
Actualice sus dispositivos y aplicaciones a menudo, incluido el navegador que utiliza. Estas actualizaciones a menudo contienen parches para exploits que los malos actores pueden utilizar en su contra si no los instala. Muchas víctimas de los ataques de ransomware WannaCry, par exemple, podrían haberlos evitado con una simple actualización. Tenemos guías para actualizar las aplicaciones de iPhone y iPad, actualizar su Mac y las aplicaciones instaladas y mantener actualizado su dispositivo Android.
Obtenga un buen programa anti-spyware y anti-malware, y utilícelo con regularidad. Use una VPN en lugares públicos si puede, y no ingrese información confidencial como datos bancarios en una conexión pública que no sea de confianza.
Los desarrolladores de aplicaciones pueden contribuir por su parte probando rigurosamente sus productos en busca de exploits antes de lanzarlos al público. Incorporación de expertos profesionales en ciberseguridad y ofreciendo recompensas por la corrección de errores puede contribuir en gran medida a que las cosas sean más seguras.
Ensuite, ¿deberías perder el sueño por esto? Probablement non. Los ataques de cero clic se usan principalmente contra objetivos financieros y de espionaje de alto perfil. Siempre que tome todas las medidas posibles para protegerse, debe hacerlo bien.
EN RELATION: Seguridad informática básica: cómo protegerse de virus, piratas informáticos y ladrones