iPhone busca novedades para sus usuarios.
Los usuarios de Apple deben actualizar su iPhone | Foto: Europa Press.

Tecnología

Apple corrige importante vulnerabilidad en iOS que pone en peligro su iPhone; así puede proteger el teléfono

Quienes tengan iOS 16.6 tienen que actualizar su iPhone.

Redacción Semana
11 de septiembre de 2023

Apple ha liberado un parche de seguridad para iOS que corrige una vulnerabilidad que estaba siendo activamente explotada y que permitía la entrada en el dispositivo afectado del ‘malware’ espía Pegasus sin que la víctima tuviera que hacer nada.

La vulnerabilidad identificada en iOS 16.6 (recogida como CVE-2023-41064) estaba siendo activamente explotada con una cadena de explotación que desde The Citizen Lab han denominado ‘BlastPass’.

Su identificación ocurrió durante la revisión de un dispositivo móvil de un empleado de una organización de la sociedad civil con sede en Washington DC (Estados Unidos), como explican desde Citizen Lab en su blog.

Apple corrige una vulnerabilidad en iOS activamente explotada para introducir el 'malware' espía Pegasus
Apple corrige una vulnerabilidad en iOS activamente explotada para introducir el 'malware' espía Pegasus | Foto: APPLE

En concreto, descubrieron una vulnerabilidad en ImageOS que estaba siendo explotada con un ‘malware’ de tipo cero clic, es decir, que no requiere que la víctima pinche en ningún enlace para infectar el dispositivo móvil.

El objetivo era introducir en el iPhone el programa espía Pegasus, de la firma israelí NSO Group, y para ello solo bastaba con el envío de una imagen maliciosa a la cuenta de la víctima en iMessage.

Apple, por su parte, ya ha distribuido un parche que corrige la vulnerabilidad con la versión iOS 16.6.1, que ha extendido a iPadOS 16.6.1.

¿Cuál es la polémica en torno al malware Pegasus?

Recientemente, la Asamblea Parlamentaria del Consejo de Europa (APCE) manifestó estar dispuesta a debatir para su aprobación en el pleno del próximo octubre una resolución en la que se conmina a Marruecos a informar sobre si ha usado Pegasus para espiar fuera del país y también se pide a Israel su plena colaboración en las investigaciones abiertas en países europeos como España en torno al uso de este programa de spyware.

El Comité de Asuntos Legales y Derechos Humanos ha dado luz verde este viernes al borrador de resolución que será llevado a la sesión plenaria de la Asamblea que tendrá lugar del 9 al 13 de octubre en Estrasburgo (Francia).

El documento, al que ha tenido acceso Europa Press, se sustenta en el informe elaborado por el diputado holandés Pieter Omtzigt, del PPE y deberá recibir el voto de la mayoría simple de la Asamblea para su aprobación.

El texto de resolución, que ahora estará sujeto a las enmiendas que quieran presentar los grupos parlamentarios en la APCE para su debate y posterior aprobación en el pleno, constata que varios de los 46 países que integran el Consejo de Europa “han adquirido y usado Pegasus para vigilancia selectiva de sus propios ciudadanos” y en concreto incluye a España entre los 14 países de la UE que se sabe que compraron este programa de espionaje.

En él, la Asamblea Parlamentaria defiende que “el uso de spyware del tipo Pegasus debería limitarse a situaciones excepcionales como medida de último recurso, para evitar o investigar un acto específico que equivalga a una amenaza real y genuina a la seguridad nacional o un delito grave específico, y solo contra la persona sospechosa de cometer o planear cometer esos actos”.

iPhone, nueva actualización iOS17
iPhone, nueva actualización iOS17 | Foto: Ilustración creada con la IA de Bing Image Creator

Asimismo, expresa su profunda preocupación por “las crecientes pruebas de que Pegasus y similares han sido usados ilegalmente o para fines ilegítimos por varios estados miembro, incluido contra periodistas, opositores políticos, defensores de los Derechos Humanos y abogados”.

Uso de Pegasus por España

En el caso concreto de España, uno de los países que se menciona expresamente en el documento con base en los hallazgos realizados por la comisión sobre Pegasus en la Eurocámara, se recuerda que los teléfonos del presidente del Gobierno, Pedro Sánchez, y de varios ministros “fueron presuntamente infectados con Pegasus por un país tercero (Marruecos)”.

Asimismo, y con base en lo apuntado desde el Parlamento Europeo, señala también que “65 personas relacionadas con el movimiento pro independencia catalán fueron presuntamente atacadas con Pegasus y/o Candiru, 18 de los cuales han sido confirmados como objetivos legales por las autoridades españolas”.

Solicitud de Marruecos e Israel

Así las cosas, la Asamblea Parlamentaria quiere que Marruecos, país que goza de “socio para el estatus de democracia”, les informe en el plazo de tres meses --a partir del momento en que el texto se ha aprobado-- “de si ha usado Pegasus o ‘spyware’ similar en su territorio o fuera de él”. Aquí sería donde entraría el presunto espionaje a Sánchez y otros miembros del Gobierno, pero también al presidente francés, Emmanuel Macron.

Además, se pide a Marruecos que ponga en marcha en un plazo de tres meses “una investigación plenamente independiente sobre el presunto uso de Pegasus por las autoridades estatales contra objetivos en Marruecos y objetivos dentro de la jurisdicción de los estados miembro del Consejo de Europa”.

También hay peticiones concretas a Israel, país en el que se fabrica Pegasus y que goza de estatus de observador en la Asamblea. Así, el borrador de resolución solicita a las autoridades israelíes que “cooperen plenamente con las investigaciones realizadas por estados miembro del Consejo de Europa respecto al uso de Pegasus y otro ‘spyware’ exportado por Israel o vendido por empresas con sede en Israel”.

Estafador, estafa, hacker
Hackers usan malware para espiar a funcionarios gubernamentales destacados. | Foto: Getty Images/iStockphoto

Cabe recordar que el pasado 10 de diciembre el juez de la Audiencia Nacional José Luis Calama procedió a archivar la causa que investigaba el supuesto espionaje a Sánchez y varios ministros con Pegasus por la “absoluta” falta de cooperación jurídica de Israel, que no había contestado a la comisión rogatoria enviada por el tribunal.

Igualmente se pide a Israel que “fortalezca sus mecanismos de control de exportaciones para garantizar que las licencias relativas a tecnologías ‘spyware’ son denegadas o revocadas cuando hay un riesgo sustancial de que esas tecnologías puedan ser usadas para la represión interna o transnacional y/o la comisión de violaciones de los Derechos Humanos”. Además, quiere que haga público su marco de control de exportaciones en un plazo de seis meses y se lo haga llegar.

Reclamos a España

Por otra parte, el texto también formula peticiones a los miembros del Consejo de Europa. Así, sostiene que los tribunales y autoridades judiciales de los estados “acusados de abusos con ‘spyware’ deben investigar plenamente y determinar si el uso de Pegasus o similares fue legal en virtud de la legislación nacional y conforme a la Convención (Europea de Derechos Humanos) y otros estándares internacionales”.

A España se le pide expresamente que informe a la Asamblea y a la Comisión de Venecia, un órgano consultivo integrado por expertos constitucionales, “sobre el uso de Pegasus, Candiru y similares, en un plazo de tres meses”.

También solicita que se lleven a cabo “investigaciones efectivas, independientes y rápidas sobre todos los casos confirmados y presuntos de abuso de ‘spyware’” y se brinde “suficiente reparación a las víctimas en los casos de vigilancia ilegal”. Por último, “se pide al Estado español que aplique las sanciones adecuadas, ya sean penales o administrativas, en casos de abusos”.

Con información de Europa Press.