¿Qué es un ataque de clic cero?

Un «ataque de clic cero» suena ominoso, pero ¿usted y sus dispositivos están en riesgo? Repasemos qué es un ataque de clic cero, por qué son tan preocupantes y qué puede hacer para protegerse.

¿Qué son los ataques de clic cero?

Como su nombre lo indica, un ciberataque sin clic puede comprometer un dispositivo sin que su propietario realice ninguna acción. Teniendo en cuenta otros métodos de ataque (phishing o smishing, por ejemplo), se basan en la ingeniería social para engañar a las personas para que hagan clic en enlaces incorrectos o inicien una descarga aparentemente legítima, los ataques de clic cero utilizan las vulnerabilidades existentes en los sistemas operativos para evitarlo por completo.

Estos no deben confundirse con los ataques de día cero, que son vulnerabilidades que se explotan activamente y deben parchearse de inmediato, pero requieren la acción del usuario para ejecutarse. Cero-hacer clic Los ataques permiten el acceso a un dispositivo sin que el usuario realice ninguna acción, lo que podría atrapar incluso a las personas más expertas en tecnología.

El ataque de clic cero más notable de los últimos tiempos es el software Pegasus de la firma israelí NSO Software. Ha sido noticia durante años, con el Citizen Lab de la Universidad de Toronto destacando los ataques a dispositivos iOS y Android en 2018 y nuevamente en 2021. Aunque NSO niega haber actuado mal, Citizen Lab dice que los clientes utilizan Pegasus para espiar a activistas y otras personas de alto perfil. funcionarios En diciembre, el equipo Project Zero de Google publicó un análisis técnico del llamado exploit FORCEDENTRY que utilizó NSO Group para infectar los iPhone objetivo con su software espía Pegasus a través de iMessage.

Los ataques de clic cero son tan perniciosos porque son básicamente invisibles; todo lo que un atacante debe hacer es enviarlo a su teléfono o dispositivo, sin necesidad de hacer clic o tocar de su parte. Las víctimas generalmente no saben que está sucediendo algo, por lo que los atacantes pueden tomarse su tiempo para hurgar en su dispositivo.

Como dijo el investigador de seguridad David Balaban para IT Governance: “Desde la perspectiva de un malhechor, la belleza de un ataque de clic cero es que no tienen que reducir sus esfuerzos a ingeniería social o prácticas de ‘rociar y orar’ (como los ataques recientes). Phishing con temática de COVID-19) con una baja tasa de éxito”.

¿Cómo funciona un ataque de clic cero?

teclado negro en forma de granada frente a un fondo amarillo

(Imagen: Peter Dazeley / Getty Images)

Los ataques de clic cero aprovechan las lagunas existentes en la función de verificación de datos de las aplicaciones y los sistemas operativos. Cualquier sistema que analice los datos que recibe para ver si se puede confiar en ellos es vulnerable a un ataque de clic cero. Los atacantes envían código incorrecto por correo electrónico o aplicaciones de mensajería dentro de algo que parece inocuo para el sistema, como un PDF, una imagen oculta o un mensaje de texto.

Un ejemplo real de esto podría ser una vulnerabilidad en una aplicación de mensajería de correo electrónico en su teléfono. Si un pirata informático malicioso encuentra la vulnerabilidad, todo lo que tendría que hacer es enviarle un mensaje de correo electrónico que contenga su código incorrecto. Una vez que se recibe el correo electrónico, ese código se activa e infecta el teléfono objetivo, lo que le da al hacker acceso a todos los correos electrónicos en su dispositivo. Incluso si se elimina el correo electrónico original, la infección persiste. Y dado que todos eliminamos los correos electrónicos que hemos leído o que no reconocemos, es probable que no quede ningún rastro del ataque en su teléfono por mucho tiempo.

Las medidas de seguridad destinadas a proteger a los usuarios en realidad pueden ayudar a los ataques sin clic. Las aplicaciones de mensajería encriptada de extremo a extremo, como iMessage de Apple, dificultan determinar si se está produciendo un ataque, porque nadie puede ver el contenido del paquete de datos que se envía, excepto el remitente y el receptor.

Los grupos de piratería maliciosos a menudo desarrollan herramientas para aprovechar las vulnerabilidades de cero clics y venderlas por millones en el mercado negro. Debido a su naturaleza casi imposible de rastrear, las agencias gubernamentales a menudo emplean los clics cero a nivel de estado-nación en operaciones de espionaje.

A veces, los objetivos de esas operaciones incluyen a los reporteros. Según The Indian Express, el teléfono de la periodista londinense Rania Dridi se vio comprometido a pesar de que tomó las precauciones adecuadas. El hackeo la obligó a eliminar aplicaciones que eran importantes para su trabajo de informar sobre los derechos de las mujeres en el mundo árabe. En su documental El espía en tu teléfonoAl Jazeera detalla cómo uno de sus periodistas se vio comprometido por el malware Pegasus.

Cómo prevenir un ataque de clic cero

Protección contra ataques cibernéticos, ilustración conceptual - Ilustración de stock

(Ilustración: Andrzej Wojcicki / Science Photo Library / Getty Images)

La naturaleza sigilosa de los ataques sin clic los hace difíciles de evitar si usted es un objetivo. Pero hay medidas de seguridad cibernética que puede tomar para protegerse en general.

Primero, mantenga sus aplicaciones y sistemas actualizados regularmente. Los fabricantes de software parchearán las vulnerabilidades tan pronto como sea posible una vez que se den cuenta de que existen los errores. Las actualizaciones de rutina a menudo contienen estas correcciones y solo tardan un par de minutos en instalarse.

Recomendado por Nuestros Editores

Mientras tanto, presta mucha atención a los desarrolladores de las aplicaciones que instalas. Si no hay información sobre el fabricante en la lista, la aplicación no tiene reseñas o la tienda de aplicaciones no ha verificado al desarrollador, lo más probable es que sea sospechoso y debe mantenerse alejado.

También es una buena idea eliminar de forma rutinaria las aplicaciones que ya no usas de tu teléfono o, al menos, eliminar los permisos que les hayas otorgado para que no puedan acceder automáticamente a otras partes de tu teléfono, como la cámara o la biblioteca multimedia. .

Siempre que sea posible, use la autenticación multifactor para acceder a sitios importantes, correo electrónico y redes sociales. Y ya todos lo hemos escuchado, pero vale la pena repetirlo: no uses la misma contraseña que se te ocurrió en la escuela secundaria para cada cuenta. Los administradores de contraseñas pueden ayudarlo a seleccionar un código de acceso maestro seguro y almacenar el resto para que no tenga que recordar 50 contraseñas.

Utilice extensiones para bloquear las ventanas emergentes y el spam, o configure los ajustes de su navegador para mantenerlos alejados, ya que los atacantes suelen utilizarlos para propagar malware. Una buena protección anti-malware y antivirus tampoco puede hacer daño, así que obtenga lo mejor que pueda y ejecute escaneos regulares.

Si su trabajo implica el manejo de información confidencial, es posible que desee conservar dos teléfonos: uno para el trabajo y otro para uso personal. De esa manera, si uno se ve comprometido, no perderá todos sus datos. Independientemente de su profesión, es una buena idea realizar copias de seguridad periódicas de todos sus datos y archivos, y almacenarlos por separado de su disco duro principal. En caso de un ataque de ransomware, podrá recuperar sus datos, incluso si tiene que desechar su PC.

¿Debería estar preocupado?

Los ataques de clic cero son, sin duda, aterradores. Dicho esto, probablemente no necesites perder el sueño por ellos. La mayoría de las vulnerabilidades de clic cero son utilizadas por actores estatales para perseguir objetivos de alto perfil. Aún así, es una buena idea estar atento a actividades sospechosas en sus dispositivos. Para obtener más información, consulte Cómo averiguar si su teléfono tiene malware y 7 señales de que tiene malware y cómo deshacerse de él.

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática