Apple ha lanzado una actualización crítica de seguridad para iOS 16, la cual tiene como objetivo parchar una vulnerabilidad especialmente maliciosa que permitiría a los hackers tomar el control de tu dispositivo sin ninguna acción de parte del usuario. Esta vulnerabilidad, conocida como "Blastpass", ha sido utilizada para instalar el spyware Pegasus, desarrollado por el grupo NSO, lo que permitiría a los atacantes leer mensajes de texto, escuchar llamadas, robar y transmitir imágenes, rastrear la ubicación del dispositivo y mucho más.

Dicha vulnerabilidad fue descubierta por Citizen Lab, un grupo de investigación de la Universidad de Toronto, el cual inmediatamente informó a Apple sobre su hallazgo. Según Citizen Lab, esta vulnerabilidad fue utilizada para instalar Pegasus en el iPhone de un empleado de una organización con sede en Washington DC. Lo más preocupante es que esta vulnerabilidad puede comprometer dispositivos que ejecutan la última versión de iOS 16.6, sin que el usuario realice ninguna interacción.

Apple ha respondido rápidamente a esta vulnerabilidad lanzando la actualización iOS 16.6.1. Según la descripción proporcionada por la compañía, esta actualización aborda la vulnerabilidad y establece que "un archivo adjunto maliciosamente diseñado puede resultar en la ejecución de código arbitrario". Además, Citizen Lab ha recomendado a todos los usuarios en riesgo considerar la activación del modo de bloqueo, ya que se cree que bloquea el ataque. El modo de bloqueo es una característica reciente de iOS que restringe severamente las funciones de los dispositivos Apple.

Según Apple, está diseñado para un "número muy reducido de usuarios que enfrentan amenazas graves y dirigidas a su seguridad digital". Esto demuestra que Apple está tomando en serio la protección de sus usuarios y está implementando medidas adicionales para garantizar su seguridad en línea.

Se cree que el ataque Blastpass involucra a PassKit, una herramienta de desarrollo que permite a los desarrolladores integrar Apple Pay en sus aplicaciones. Los atacantes utilizan imágenes maliciosas enviadas a través de iMessage para aprovechar esta vulnerabilidad. Sin embargo, Citizen Lab no ha proporcionado más detalles sobre la forma exacta en que se lleva a cabo el ataque.

La actualización de seguridad iOS 16.6.1 es crucial para proteger los dispositivos Apple de la vulnerabilidad Blastpass y el malware Pegasus. Para ello es necesario seguir estos pasos:

1. Actualizar a iOS 16.6.1: ir a la configuración del dispositivo y asegúrase de que esté actualizado a la última versión de iOS 16.6.1. Esto parcheará la vulnerabilidad y mejorará la seguridad del dispositivo.

2. Habilitar el modo de bloqueo: si hay una situación en la que el usuario enfrenta amenazas graves y dirigidas a su seguridad digital, se debe considerar habilitar el modo de bloqueo. Esto limitará severamente las funciones del dispositivo y proporcionará una capa adicional de protección.

3. Ser cauteloso con los mensajes desconocidos: evitar abrir o interactuar con mensajes de remitentes desconocidos o sospechosos. No se debe descargar ni abrir archivos adjuntos de origen dudoso, ya que podrían contener malware.

4. Mantenerse informado: seguir las actualizaciones de seguridad de Apple y mantener informado sobre las últimas amenazas cibernéticas. Esto ayudará a tomar medidas proactivas para proteger el dispositivo y los datos personales.

El malware Pegasus ha vuelto a ser noticia después de que la administración Biden prohibiera su uso por parte de agencias federales. Desarrollado por el grupo NSO con sede en Israel, Pegasus ha sido utilizado por múltiples naciones para espiar a periodistas, activistas y otras personas. En un caso notorio, se informó que Arabia Saudita utilizó Pegasus para espiar al periodista Jamal Kashoggi, quien más tarde fue asesinado en Turquía.

La existencia de vulnerabilidades como Blastpass y el uso de malware como Pegasus resaltan la importancia de mantener los dispositivos y datos personales protegidos. Además de las medidas mencionadas anteriormente, es fundamental utilizar contraseñas seguras, activar la autenticación de dos factores y evitar descargar aplicaciones o archivos de fuentes no confiables.