Ataque de Clic Cero qué es y cómo funciona
Ataque de Clic Cero qué es y cómo funciona
Hacking
·4 Minutos de lectura

Ataque de Clic Cero: Ataque Silencioso pero Mortal

Son ataques que no requieren acciones por parte de los usuarios y apuntan directamente a las vulnerabilidades de las aplicaciones. Un ataque de clic cero (o exploit Zero-click) puede hacer millonario a quien lo descubre primero. Aquí está el porqué.

Como sugiere el nombre, a diferencia de los exploits convencionales, los exploits de clic cero no necesitan interacciones por parte de los usuarios. El código malicioso se ejecuta de forma autónoma sin que, materialmente, se extraiga un archivo malicioso o que, al hacer clic en un enlace, se redirija a contenido perjudicial.

Su funcionamiento es insidioso y afecta tanto a empresas y organizaciones como a los actores de la ciberseguridad. Los primeros lo temen, los segundos están dispuestos a pagar hasta 2.5 millones de dólares por campañas de recompensas por errores (puedes comprobarlo en: Bug Bounty: Cómo Ganar Dinero con el Hacking).

Los exploits Zero-click son amenazas que afectan tanto a Android como a iOS y mitigar sus efectos no es prohibitivo. Basta con entender cómo funcionan, a qué objetivos se dirigen y qué medidas adoptar.

Tabla de Contenido

Los Exploits Zero-click o Clic Cero

Malware de cero clic
Malware de cero clic

El terreno fértil que hace fructificar los exploits Zero-click son las vulnerabilidades de las aplicaciones que manejan datos provenientes de fuentes potencialmente no confiables como, por ejemplo, plataformas de mensajes SMS, aplicaciones de correo electrónico y de mensajería instantánea.

Tipos de ataques que complican las actividades de detección porque dejan pocas huellas y pueden engañar incluso a los usuarios más experimentados, razón por la cual son objeto de interés tanto del cibercrimen como de las empresas dedicadas a la defensa.

No son nuevos, los exploits Zero-click llevan años siendo tema de debate. En 2016, un exploit Zero-click se utilizó como vector para propagar el spyware Karma, con el que se violaron los teléfonos inteligentes (iPhones) de activistas, líderes políticos y diplomáticos considerados de interés. Durante el verano de 2023, también en iPhones, se identificó el spyware Pegasus, también difundido aprovechando un exploit Zero-click.

Los atacantes a menudo recurren a imágenes o mensajes de texto que se convierten en un medio para la inoculación de código capaz de comprometer los dispositivos.

Cómo Funciona el Ataque Clic Cero

El funcionamiento de un ataque Zero-click es, en general, bastante simple, a pesar de que hay un trabajo muy detallado detrás:

  1. Los cibercriminales encuentran una vulnerabilidad en una aplicación de mensajería instantánea, correo electrónico o comunicación.
  2. Envían a la víctima un mensaje especialmente creado que contiene código malicioso. (Si este código de procesamiento de datos contiene una vulnerabilidad sin parchear, entonces un mensaje cuidadosamente elaborado podría explotar esta vulnerabilidad, permitiendo que el mensaje malicioso o la llamada telefónica ejecute código malicioso en el dispositivo.)
  3. El correo electrónico, el SMS, el mensaje o la llamada enviados a la víctima pueden eliminarse de los registros respectivos.
  4. Una vez instalado el malware, los atacantes tienen control total del dispositivo.

Esto significa que pueden acceder a correos electrónicos, mensajes SMS, chats, fotos, videos, datos de GPS, agenda y contactos, además de poder grabar llamadas, activar la cámara y el micrófono a distancia.

Cómo Protegerse de los Exploits Cero Clic

Protegerse contra ataques de Cero Clic
Protegerse contra ataques de Cero Clic

Dado que el código malicioso inoculado en los teléfonos inteligentes actúa sin que el usuario note nada en particular, los exploits Cero Clic pueden pasar desapercibidos incluso para los usuarios más experimentados. Sin embargo, protegerse no es complicado y no requiere grandes esfuerzos. Una buena estrategia de cuidado incluye:

  • Mantener actualizados los sistemas operativos y las aplicaciones.
  • Descargar aplicaciones solo de las tiendas oficiales.
  • Eliminar las aplicaciones que no se utilizan.
  • Evitar el jailbreak y el rooting.
  • Realizar copias de seguridad periódicas de los datos.
  • Apagar y encender diariamente los dispositivos iOS (a menos que se hayan utilizado técnicas de persistencia, el reinicio debería ser suficiente para desarmar un exploit Zero-click).

Es evidente que los sistemas de defensa, como los antivirus, siempre son recomendados, ya que considerar seguros los dispositivos móviles puede ser engañoso.

Las personas que están expuestas a riesgos debido a los roles que desempeñan deberían usar dos dispositivos diferentes, uno de los cuales se destine exclusivamente a las comunicaciones sensibles.

Intereses Asimétricos

Las organizaciones temen los exploits Zero-click precisamente porque son difíciles de interceptar y muy peligrosos. Los atacantes los aprecian porque tienen un alto grado de éxito y permiten inocular malware que resulta atractivo incluso para estados y organizaciones gubernamentales.

Pagos por recompensa para móviles de ZERODIUM en 2019
Pagos por recompensa para móviles de ZERODIUM en 2019

En el frente de la defensa, hay empresas que ofrecen recompensas a cualquier persona que identifique vulnerabilidades de diversos tipos. Zerodium ofrece hasta 1 millón de dólares por exploits de WhatsApp y hasta 2,5 millones de dólares por exploits Zero-click, tanto para Android como para iOS.

Cifras que, por sí solas, explican cuán atractivas son las vulnerabilidades explotables para los hackers y qué intereses están en juego.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda