Tenía esta entrada escrita hace tiempo pero quería darle un mejor acabado. Al final uno no tiene tanto tiempo para publicar y sin quererlo ahora se ha puesto de actualidad con los casos de espionaje de Pegasus en España.
Uno puede comprar un frigorífico y aunque la garantía sea de 2 años puede esperar que le dure 10 o más. Igual con un coche, un televisor,... pero ¿por qué no un teléfono móvil?
A diferencia de los otros aparatos un smartphone es como un ordenador pequeño que siempre está conectado y no hablo de la línea telefónica, hablo de internet. ¿Y qué quiere decir esto?
Por ejemplo veamos esta noticia:
Pegasus, el software de NSO, es capaz de capturar mensajes cifrados, fotos y otra información confidencial de teléfonos infectados, además de convertirlos en grabadoras para monitorear los alrededores.
Y como dice más abajo lo hace simplemente enviando un mensaje invisible donde “las víctimas no vean necesario interactuar de ninguna forma para que la infección tenga éxito.”
Es decir que un móvil vulnerable permite acceso al contenido privado del usuario, a sus contactos, incluso permite escuchar o ver lo que está haciendo. Es más, dado que un móvil se usa como segundo factor de identificación, también permite la suplantación del usuario.
Es cierto que hay vulnerabilidades que no son conocidas y que desde que se conocen hasta que el móvil es actualizado pasa algún tiempo, pero una vez que un móvil llega a los 3 años desde su salida al mercado (ojo, no desde su compra por el usuario) ya no recibe actualizaciones de seguridad. Un móvil que puede estar funcionando perfectamente y en perfecto estado se convierte en un dispositivo de “baja confianza” donde cada día que pasa está más expuesto a los riesgos que he señalado. Desechar un dispositivo en buen estado y que funciona correctamente es un auténtico atentado medioambiental.
Veamos esto en detalle:
Esta gráfica es aplicable a cualquier software y también a la salida de un nuevo móvil. Cuando se publica, es el momento 0. Usualmente hay vulnerabilidades que nadie conoce hasta que en t1 alguien las descubre. A partir de ahí se habla de un 0-day y en ese momento nuestro disposivo puede ser atacado (antes también pero hemos asumido que nadie lo sabía). Los ataques en esta fase suelen ser muy limitados solo podrían verse ataques en esta fase de agencias gubernamentales o en casos de ataques dirigidos. En el momento t2 es cuando alguien pone en conocimiento del fabricante la vulnerabilidad, el riesgo aquí es ligeramente más alto porque aunque no es de conocimiento común, sí que empieza a estar más extendido el conocimiento de la vulnerabilidad. En t3 es cuando el fabricante publica el parche (y hace pública la vulnerabilidad). Es el momento más crítico, porque ya es de conocimiento general y en poco tiempo se publican formas de atacar e incluso se crean programas para que cualquiera pueda explotar la vulnerabilidad de forma semiautomática. Por eso, actuar aquí es fundamental aplicando el parche en nuestro móvil (o nuestro software) cuanto antes. Una vez aplicado (t4) ya no es vulnerable y volvería a estar en la misma situación que al principio.
Si, como hemos comentado, no se publican parches para vulnerabilidades conocidas nuestro móvil puede ser atacado casi por cualquiera incluso aunque el atacante no nos conozca, simplemente rastreando la red en busca de teléfonos sin parchear. Y puede hacer todas o algunas de las cosas comentadas antes o usar nuestro móvil para hacer minado de criptomonedas, como elemento intermedio para hacer otros ataques, como un atacante más de una red de DoS, etc.
Por tanto no puedo estar más de acuerdo con el gobierno alemán que propone que los fabricantes deban publicar actualizaciones durante 7 años yendo más allá de la propuesta de la comisión europea que proponía 5.
Si, como hemos comentado, no se publican parches para vulnerabilidades conocidas nuestro móvil puede ser atacado casi por cualquiera incluso aunque el atacante no nos conozca, simplemente rastreando la red en busca de teléfonos sin parchear. Y puede hacer todas o algunas de las cosas comentadas antes o usar nuestro móvil para hacer minado de criptomonedas, como elemento intermedio para hacer otros ataques, como un atacante más de una red de DoS, etc.
Por tanto no puedo estar más de acuerdo con el gobierno alemán que propone que los fabricantes deban publicar actualizaciones durante 7 años yendo más allá de la propuesta de la comisión europea que proponía 5.
Actualiza tu móvil y tu ordenador y todos estaremos más seguros.
Foto superior: Triskal, CC BY-SA 4.0 <https://creativecommons.org/licenses/by-sa/4.0>, via Wikimedia Commons
