Apple rara vez anuncia que se avecinan actualizaciones de seguridad, algo bastante inusual en el mundo de la ciberseguridad actual.
No hay equivalente al Martes de Parches de Microsoft, que es un evento regular y predecible en el calendario de ciberseguridad de cualquier persona, no hay una “nueva versión cada cuatro martes” como ocurre con Firefox, no hay un calendario trimestral predeterminado para los parches que se obtienen con los productos de Oracle.
El enfoque de Apple es mantener todo en secreto hasta que esté lista una actualización que funcione, y luego anunciar sus parches al mismo tiempo que están disponibles para descargar:
Apple no revela, discute ni confirma problemas de seguridad hasta que se haya realizado una investigación y los parches o versiones estén disponibles de forma generalizada.
Curiosamente, Apple dice que la razón oficial para hacerlo de esta manera, en lugar de tener un proceso más regular en el que se puede planificar, es: “Para la protección de nuestros clientes”.
No muestres tus cartas
Entendemos la teoría.
La idea detrás de los parches de seguridad que “simplemente aparecen” es que tan pronto como se anuncia o publica una actualización, tanto los delincuentes como los investigadores comienzan a intentar trabajar hacia atrás desde la solución para descubrir los detalles de la vulnerabilidad subyacente y cómo podría ser explotada.
En términos generales, encontrar vulnerabilidades en un paquete de software complejo es mucho más fácil si sabe aproximadamente por dónde empezar a buscar, de la misma manera que es mucho más fácil resolver una palabra de un crucigrama si conoce la primera letra de la respuesta.
(Ten en cuenta que, aunque todas las vulnerabilidades de seguridad son explotables en teoría, muchos o la mayoría de los errores que se reparan son casi imposibles de explotar de manera efectiva en la vida real, es posible que puedas averiguar cómo bloquear un programa, por ejemplo, pero no para tomar el control e implantar malware o robar datos).
Entonces, ¿por qué avisar a alguien, especialmente a los delincuentes, de lo que se avecina? ¿Por qué no esconder tus cartas para no darles una ventaja?
El problema de la falta de programación
La otra cara de este enfoque, por supuesto, es que todas las actualizaciones de seguridad de Apple, incluso las relativamente poco importantes que solucionan vulnerabilidades menores descubiertas de forma interna por la compañía, parecen actualizaciones de emergencia, porque siempre llegan de manera repentina e inesperada.
Por lo tanto, debes leer atentamente las notificaciones de actualización de Apple si estás interesado en saber si se trata de parches “como de costumbre” o “realmente importantes”.
Curiosamente, una regla general es que cuanto más corto es el correo electrónico de notificación de actualización, más urgente es.
Los correos electrónicos cortos de la lista de correo de seguridad de productos de Apple implican que los parches que estás viendo eran tan importantes por sí mismos que estaban ansiosos por incluirlos en una actualización, junto con los otros parches en los que Apple ya estaba trabajando.
(Por supuesto, gracias al secreto de las actualizaciones de Apple, nunca se puede estar seguro de en qué parches está trabajando la empresa en ningún momento, y esa incertidumbre inevitable es otra debilidad en el enfoque de Apple).
En cuanto a la longitud del correo electrónico, las últimas actualizaciones de iOS y iPadOS, que nos llevan a la versión 14.4, son extremadamente críticas, porque solo hay dos elementos en la lista, que cubren tres vulnerabilidades numeradas CVE-2021-1870, -1871 y -1872:
Kernel ------ Disponible para: iPhone 6s y posterior, iPad Air 2 y posterior, iPad mini 4 y posteriores, e iPod touch (7ª generación) Impacto: una aplicación malintencionada podría elevar los privilegios. Apple tiene conocimiento de un informe de que este problema puede haber sido explotado activamente. Descripción: se solucionó una condición de carrera mejorando el bloqueo. CVE-2021-1782: investigador anónimo WebKit ------ Disponible para: iPhone 6s y posterior, iPad Air 2 y posterior, iPad mini 4 y posteriores, e iPod touch (7ª generación) Impacto: un atacante remoto podría provocar la ejecución de código arbitrario. Apple tiene conocimiento de un informe de que este problema puede haber sido explotado activamente. Descripción: se solucionó un problema de lógica mejorando las restricciones. CVE-2021-1871: un investigador anónimo CVE-2021-1870: un investigador anónimo
Lo verdaderamente importante en el mensaje anterior, por supuesto, es el par de declaraciones que dicen que “este problema puede haber sido explotado activamente”, lo que se puede traducir como “este es un error de día cero que los atacantes ya saben cómo explotar”.
Los días cero son ataques en los que ciberdelincuentes encontraron primero la vulnerbailidad, de modo que incluso los administradores de sistemas mejor informados del mundo tienen cero días durante los cuales podrían haberse parcheado antes de poder haber sufrido un ataque.
En otras palabras, ¡parchea ya!
(Curiosamente, no hay ninguna actualización para la serie iOS 12.x que todavía sea compatible oficialmente con algunos modelos más antiguos, como el iPhone 6 y el iPhone 5; esos dispositivos todavía están en 12.5.1. Los Apple TV reciben una actualización, también a 14.4, y Apple Watches van a 7.3.)
El otro indicio de urgencia en la notificación de Apple es la presencia de las palabras reveladoras debajo de la información que citamos anteriormente, a saber: “Detalles adicionales disponibles pronto”, que puede traducir como “esto nos cogió por sorpresa”.
Como probablemente sepas, las vulnerabilidades explotadas activamente, como las enumeradas anteriormente, a menudo aparecen en el mundo real a pares porque son más peligrosas cuando se combinan.
Un error de elevación de privilegios (EoP) del kernel es peligroso por sí solo, porque podría dar acceso a un atacante a absolutamente todo en un dispositivo, no solo a los datos que pertenecen a una aplicación individual.
Pero un error local de EoP no sirve de nada a un atacante que quiere implantar malware en un teléfono de forma remota, por ejemplo, a través de una página web maliciosa, porque el atacante ya necesita tener un punto de apoyo en el dispositivo.
Del mismo modo, un error de ejecución de código remoto (RCE) en una sola aplicación es peligroso, porque podría permitir que un atacante indague en todo lo se hace o se ha hecho con esa aplicación.
Pero una aplicación de fotos comprometida, por ejemplo, no sirve de nada a un atacante que busca correos electrónicos o el historial de navegación, porque las aplicaciones de teléfonos móviles suelen estar aisladas unas de otras, lo que significa que una aplicación no puede mirar los archivos de otra aplicación.
Sin embargo, si los delincuentes pueden combinar un error de RCE y EoP en un ataque híbrido, pueden usar el RCE para establecer su punto de apoyo inicial, seguido inmediatamente por el EoP para hacerse cargo de su dispositivo por completo.
En otras palabras, ¡parchea ya!
¿Qué hacer?
Incluso si tienes las actualizaciones automáticas activadas, comprueba si ya has recibido la actualización.
Si es la 14.4, por ahora has terminado; si no tienes la 14.4, tu teléfono te dirá de descargarla de inmediato (¡hazlo!).
La pantalla a la que debes ir es: Ajustes> General> Actualización de software.