Históricamente, la seguridad ha sido, junto al diseño, la calidad del hardware y la potencia de algunas aplicaciones de su ecosistema -tratamiento de audio, edición de vídeo...-, uno de los puntos fuertes de Apple. En los tiempos en que los virus se propagaban a través de disquetes, los defensores de la marca de la manzana argüían -con razón- que un sistema más centrado en usuarios profesionales y con menos cuota de mercado que los PC que empleaban Windows era menos jugoso para los creadores de software malicioso. Con la popularización de los dispositivos Apple a finales de la década de 2000 y la llegada de plataformas como iCloud e iMessage, el nombre de Apple empezó a aparecer en noticias sobre brechas de seguridad, malware y ciberataques.
La corporación de Cupertino ha estado trabajando desde entonces en implementar medidas para mejorar la seguridad y privacidad de sus dispositivos y aplicaciones. La última actualización ha llegado hace unos días, con las nuevas funciones de iCloud e iMessage que dan mayor control a los usuarios sobre su propia privacidad y seguridad. Esta capa adicional mejora la seguridad del ecosistema Apple, pero ¿cubre todos los riesgos de sus gadgets y apps? ¿Qué otras amenazas podemos encontrar? ¿Y qué debe hacer el usuario para aprovechar esas nuevas funciones y así mantener sus datos a salvo?
Las amenazas en el ecosistema Apple
Hace década y media, la tradicional seguridad de los ordenadores Mac empezó a verse amenazada por nuevos virus y amenazas de malware. A principios de 2012 se detectaba la botnet Flashfake, integrada por 700.000 ordenadores con sistema operativo Mac OS X. Kaspersky advertía ese año de que “el número de amenazas, virus y malware dirigido a ordenadores Mac aumenta a una velocidad vertiginosa”, multiplicándose por seis respecto a 2010. Desde entonces, las detecciones de elementos de malware han seguido creciendo. El número de vulnerabilidades en macOS pasó de 132 en 2014 a 386 en 2016, para estabilizarse en torno a esa cifra: en 2021 se registraron 381.
También ha aumentado la variedad de elementos maliciosos, a medida que se han ido popularizando nuevos dispositivos, fundamentalmente el iPhone y el iPad, y nuevas plataformas. La detección de vulnerabilidades para iOS pasaron así de las 155 en 2012 a las 381 en 2021.
Además de la relación entre el éxito comercial de los productos de la manzana y este crecimiento de las amenazas, hay otro factor que incide en dicho aumento. Los productos Apple, más allá de su carácter de símbolo de estatus, son muy populares entre ejecutivos, dirigentes políticos y personalidades famosas, lo que los convierte en un objetivo interesante para cibercriminales especializados en el espionaje político o empresarial, así como en la filtración de imágenes comprometedoras de actores, cantantes...
A lo largo de 2022, Apple ha reparado ocho vulnerabilidades de día cero a través de distintas actualizaciones. Estas vulnerabilidades estaban siendo aprovechadas por actores maliciosos antes de que fueran reportadas.
Los productos Apple son muy populares entre ejecutivos, dirigentes políticos y personalidades, lo que los convierte en un objetivo preferente para cibercriminales.
Entre las últimas apariciones de software malicioso dirigido al sistema operativo para ordenadores de Apple, ESET destaca DazzleSpy, un malware empleado para acceder al dispositivo con fines de espionaje. Otro spyware dirigido a macOS es Cloudmensis, que efectúa capturas de pantalla y exfiltra información.
En cuanto a su sistema operativo móvil, recordemos que un 17,6% de todo el malware que se detecta anualmente corresponde a iOS, según los datos de Statcounter. El año 2022 ha sido el del salto a los titulares de prensa de Pegasus, un software espía que infectó los dispositivos de más de 60 políticos y jueces españoles, incluyendo al presidente del Gobierno, Pedro Sánchez. Este spyware desarrollado por la empresa israelí NSO Group permite acceder remotamente a los smartphones para extraer la información privada almacenada en los mismos. Pegasus se introduce en el iPhone objetivo aprovechando vulnerabilidades de apps como WhatsApp o mediante el envío de SMS y correos electrónicos de phishing.
Los usuarios de iOS tampoco se libran de los troyanos. Este año se lanzó una campaña de distribución de apps troyanizadas de billeteras de criptomonedas, con el fin de robar cuentas de usuarios de este sistema operativo.
Por ello, aunque se desarrollen más amenazas para dispositivos Windows o Android, los usuarios de Apple también son un objetivo para los ciberdelincuentes, por lo que no están exentos de sufrir incidentes de seguridad, en muchos casos, graves.
Tres cambios para hacer iCloud e iMessage más seguros
Con el objetivo de frenar las amenazas contra su entorno, Apple actualiza periódicamente sus productos para perfeccionar la seguridad de sus usuarios. Los últimos cambios fueron anunciados el pasado 8 de diciembre y consisten en la adición de funciones opcionales a sus populares plataformas iCloud e iMessage, compatibles con los dispositivos Mac, iPhone e iPad. Con ellas, los usuarios tendrían un mayor control de su propia privacidad y seguridad.
Las medidas adoptadas son tres: verificación con clave de seguridad de los contactos de iMessage, establecimiento de claves de seguridad para Apple ID y Protección de Datos Avanzada para iCloud. Todas se aplicarán en 2023.
La primera opción que pueden activar los usuarios es el empleo de una clave de seguridad para verificar los contactos de iMessage. Esta función permite cerciorarnos de que estamos hablando con la persona con la que realmente nos queremos comunicar, evitando las suplantaciones. La activación del Código de Verificación de Contacto puede realizarse en persona, a través de la app de llamadas FaceTime o mediante otra llamada segura.
Al activar esta función, el usuario recibirá una alerta si alguien intenta penetrar en los servidores cloud de iMessage para conectar dispositivos o software de espionaje y captar las comunicaciones encriptadas. De esta forma, podemos estar seguros de que la conversación está totalmente protegida, aunque los atacantes hayan eludido el sistema de cifrado.
Las claves de seguridad para Apple ID están pensadas, según la compañía, para proteger las cuentas de ID de Apple y la información guardada en iCloud de los usuarios con un perfil público relevante, como organismos públicos, políticos, famosos o periodistas, que se enfrentan a posibles ataques cibernéticos a sus cuentas.
Las Security Keys se basan en la autenticación de doble factor, que mejora su protección al requerir que uno de esos dos factores sea una clave de seguridad de hardware de terceros. La ventaja de este tipo de claves es que pueden ser temporales, minimizando las posibilidades de robo de identidad a través de phishing. Esta nueva configuración de seguridad se suma a FaceTime como segunda verificación de dos pasos, que es usada por el 95% de las cuentas de ID de Apple.
En cuanto a la tercera función, la Protección de Datos Avanzada para iCloud, tiene por objeto aumentar la seguridad de la información almacenada en la nube de Apple, ampliando el cifrado de extremo a extremo a más tipos de datos. Según Apple, la Advanced Data Protection ofrece el nivel de seguridad más alto para los datos en la nube. Con ella, los usuarios podrán aplicar la encriptación end-to-end a la mayor parte de su información confidencial y sensible, de modo que solo pueda ser desencriptada en sus dispositivos de confianza.
Hasta ahora, el cifrado de extremo a extremo se aplicaba de forma predeterminada a 14 categorías de datos en iCloud, como las contraseñas en el llavero o la información sanitaria. Ahora pasarán a 23 los tipos de datos protegidos con este cifrado, incluyendo las copias de seguridad de iCloud, Notas o Fotos.
Los riesgos que persisten
Al anunciar las nuevas funciones de seguridad, Craig Federighi, vicepresidente senior de Ingeniería de Software de Apple, aseguraba que “en Apple, somos inquebrantables en nuestro compromiso de brindar a nuestros usuarios la mejor seguridad de datos del mundo. Constantemente identificamos y mitigamos las amenazas emergentes a sus datos personales en el dispositivo y en la nube”.
En términos parecidos se expresaba Ivan Krstic, director de Ingeniería y Arquitectura de Seguridad de la compañía: “Con la verificación con clave de contactos de iMessage, las claves de seguridad y la protección de datos avanzada para iCloud, los usuarios tendrán tres nuevas y poderosas herramientas para proteger aún más sus datos y comunicaciones más confidenciales”.
Sin embargo, hay plataformas y servicios de Apple que quedan fuera de esta protección, como Mail, Contactos o Calendario. Por ejemplo, no disponen de cifrado de extremo a extremo debido a, según la explicación de la compañía, “la necesidad de interoperar con sistemas globales de correo electrónico, contactos y calendario”.
Además, desde el proveedor global de soluciones de ciberseguridad Check Point Software Technologies advierten de que “aunque Apple está tomando medidas para mejorar la privacidad con esta capa adicional de seguridad, las aplicaciones maliciosas, junto con el phishing de texto o iMessage y las amenazas de día cero, no se ven afectadas por estas medidas”.
Eusebio Nieva, director técnico de Check Point Software para España y Portugal, incide asimismo en otro punto. “Si bien las nuevas medidas de seguridad de Apple se centran en un mayor nivel de encriptado de los datos, nos encontramos con una nueva problemática. Y es que el control y acceso a los datos, así como el almacenamiento, la realización de copias de seguridad y la protección de las propias claves de cifrado, pasarán a ser ahora responsabilidad de los usuarios, en lugar de la compañía”, explica.
Esto implica que los usuarios tengan que recuperar sus datos en caso de pérdida del acceso a su cuenta. La propia Apple advirtió de que estas nuevas medidas de seguridad requieren que los usuarios que opten por aplicarlas configuren al menos un método de recuperación alternativo, que puedan usar para recobrar sus datos almacenados en iCloud si pierden el acceso a su cuenta.
Qué debe hacer el usuario de Apple para asegurar sus datos
El hecho de que, en cierta medida, el usuario de Apple pase a ser ahora el principal responsable de su seguridad no cambia un aspecto primordial: la mayoría de los ciberataques se producen por errores humanos, por lo que es imprescindible que todos aquellos que utilizan dispositivos o servicios de la compañía californiana tengan conocimientos suficientes en materia de ciberseguridad. Esto les permitirá no solo sacar el máximo partido a las nuevas herramientas de Apple, sino también minimizar el impacto de posibles ciberataques y nuevas vulnerabilidades.
Nieva recuerda que “los usuarios deben seguir extremando las precauciones para evitar el impacto de este tipo de ataques, incluso antes de que se produzcan, dado que cada vez resultan más extendidos y dañinos”. “Para ello, es importante realizar copias de seguridad de los datos, mantener los sistemas actualizados y formarse en materia de ciberseguridad para conocer los métodos y amenazas a los que nos enfrentamos día a día, y cómo hacerles frente”, apunta.
Más allá de las nuevas herramientas de seguridad, para proteger el acceso al iPhone Apple recomienda varias acciones: definir un código de desbloqueo seguro, usar Face ID o Touch ID para autorizar compras y pagos e iniciar sesión en apps de terceros, o iniciar la sesión en las cuentas con llaves de acceso o con la ID de Apple. Asimismo, es importante reforzar la seguridad de la ID de Apple y controlar qué funciones están disponibles sin desbloquear el iPhone.
En el caso de los ordenadores Mac, hay una serie de configuraciones básicas para mantenerlos protegidos: controlar los permisos de las aplicaciones, hacer copias de seguridad, cifrar el contenido del equipo con la función FileVault, activar el cortafuegos, utilizar los llaveros para almacenar credenciales, aplicar contraseñas al firmware, restringir el seguimiento entre sitios web en el navegador y, aunque parezca una acción más propia del entorno Windows, también es recomendable instalar un antivirus. Asimismo, una función muy útil, tanto para iPhone como para Mac, es “Buscar mi dispositivo”, que se activa para ayudar a encontrar el móvil u ordenador en caso de que se pierdan.
Además de estas recomendaciones específicas para los smartphones, ordenadores y servicios de Apple, siguen siendo válidos los que podríamos llamar cuatro consejos básicos de ciberseguridad, que todo usuario debe conocer para evitar ser víctima de un ciberataque.
El primero de ellos es tener siempre actualizado el software. Las actualizaciones son el modo con el que las compañías desarrolladoras subsanan los errores de seguridad de las versiones anteriores de sus programas, por lo que se recomienda actualizarlos siempre con los últimos parches de seguridad que las firmas ponen a disposición de sus usuarios.
También es crucial proteger las contraseñas. Esto implica usar claves robustas, que combinen letras mayúsculas y minúsculas, números y símbolos. Y naturalmente, usar diferentes contraseñas para cada servicio, puesto que si se utiliza la misma para todos, si uno de ellos sufre una vulnerabilidad y la clave de acceso cae en manos de personas no autorizadas, se multiplica el riesgo de que estas puedan acceder al resto.
Otra medida que deben tomar los usuarios para asegurar sus datos es activar la autenticación de dos factores. Este tipo de autenticación combina una contraseña y otro método -una pregunta, datos biométricos, SMS…- que funciona como otra capa más de seguridad para entrar en las cuentas. Al activar esta opción, siempre habrá una segunda autorización que impedirá a un atacante acceder a una cuenta aunque se haya hecho fraudulentamente con la contraseña.
En Check Point Software también recomiendan tener en cuenta ciertas directrices para reconocer el phishing. “Los emails de phishing suelen tener ciertos rasgos comunes. Las faltas de ortografía o el hecho de que pidan la introducción de las credenciales son un indicativo bastante claro de que están intentando estafar a un usuario. Asimismo, si en algún correo electrónico una compañía solicita las credenciales de un cliente, es una señal de alerta, ya que es algo que ninguna empresa hará a través de este método. Para evitarlo, siempre es mejor dirigirse desde un buscador a la página o plataforma oficial de la compañía a la que se quiere acceder”. Observar todas estas medidas es, en definitiva, la mejor forma de complementar las soluciones que Apple vaya lanzando para mejorar la seguridad de sus productos.