No es habitual que a escasos días de la puesta de largo de iOS 17, Apple se prodigue a lanzar otra actualización más del sistema operativo anterior (el todavía actual iOS 16) y si lo hace es por algo: si tienes un iPhone o un iPad y te dejas llevar por la pereza a la hora de actualizar, esta vez merece la pena que lo hagas más que nunca porque aunque no hay novedades, en iOS 16.6.1 hay dos parches que solucionan dos brechas de seguridad extremadamente peligrosas de su sistema operativo móvil.
Porque la actualización que Apple ha lanzado hace escasas horas es crítica, ya que soluciona dos vulnerabilidades de día cero: CVE-2023-41064 y CVE-2023-41061. ¿Qué son las vulnerabilidades día cero? Esencialmente fallos de seguridad que salen a la luz antes de que los equipos de investigación y desarrollo las encuentren, convirtiéndolas así en un riesgo de primer nivel.
Estas vulnerabilidades abren las puertas al software espía Pegasus
CVE-2023-41064 y CVE-2023-41061 se conocen como Blastpass y su objetivo es posibilitar que imágenes y archivos adjuntos instalen malware en el dispositivo. Así, por ejemplo cargar una imagen maliciosa procedente desde WhatsApp o Safari podría desencadenar la instalación de malware. Esta forma de proceder se conoce como esteganografía, es decir, ocultar un archivo dentro de otro archivo, algo que funciona insertando código malicioso en los datos ocultos que vienen un archivo a priori inocuo.
Esta brecha de seguridad fue localizada por el centro de investigación de seguridad Citizen Lab, que compartió el dato con Cupertino la semana pasada y que también ha ofrecido información sobre cómo funciona y qué equipos se ven afectados.
Apple detalla que este problema afecta a todos los iPhones y iPads más nuevos. Así, está disponible para iPhone 8 y posteriores, todos los modelos de iPad Pro, el iPad Air de tercera generación y posteriores, el iPad de quinta generación y posteriores y el iPad mini de quinta generación y posteriores.
Más concretamente, afecta a aquellos dispositivos Apple que ejecutan la última versión de iOS 16 (16.6) y peor aún, que pueden hacerlo sin necesidad de interacción con la víctima. Según Citizen Lab, Blastpass se está usando para transmitir 'el software espía mercenario Pegasus de NSO Group'.
Pegasus es un software espía desarrollado por un equipo privado para uso de agencias gubernamentales, de modo que infecta un teléfono y envía datos, incluidas fotos, mensajes y grabaciones de audio/vídeo. Así que incluso si no eres un objetivo "atractivo" para este tipo de espionaje, conviene que instales iOS 16.6.1 porque hay quien busca sacar el máximo partido a estos exploits fuera de su uso principal.
Así puedes protegerte de la amenaza
Para no ponérselo más fácil a potenciales atacantes y espías, Citizen Lab no ha proporcionado el desglose completo de la vulnerabilidad, pero afecta a PassKit (el framework detrás de aplicaciones tan críticas como Apple Pay y Wallet). Un dato importante: Citizen Lab explica que el modo aislamiento de iOS 16 es capaz de proteger a usuarios y usuarias ante esta brecha, por lo que si consideras que podrías ser objetivo de este tipo de ataque, es conveniente que ejecutes este modo hasta que puedas actualizar.
¿Cómo instalar iOS 16.6.1? Si cuentas con iOS 16 en tu dispositivo, ve a 'Ajustes' > 'General' y en 'Actualización de software', toca sobre descargar e instalar y espera a que termine la operación.
Teniendo en cuenta que la Keynote 'Wonderlust' está a la vuelta de la esquina (será el próximo martes 12 de octubre) donde esperamos ver los nuevos iPhone 15, lo normal es que esta sea la última actualización antes del anuncio de iOS 17.
Portada | Montaje con iOS 16 de Xataka Móvil y Devriesx, CC BY-SA 4.0, via Wikimedia Commons
En Xataka Móvil | No pude resistirme y probé iOS 17 en mi iPhone: éstos son todos los cambios que me he encontrado