¿Por qué alguien paga 1,2 millones de euros por hackear el iOS 10?

Una firma de seguridad publica un premio para aquellos que sean capaces de encontrar una puerta trasera para controlar, de forma remota, los dispositivos que utiliza el último sistema operativo de Apple.

La oferta se ha publicado unos días atrás y no tardará en ser reclamada por uno o más hackers. La firma Zerodium, creada por expertos en ciberseguridad, dará un premio de 1,5 millones de dólares para quienes identifiquen una vulnerabilidad desconocida hasta la fecha en el sistema operativo iOS 10 que les permita acceder al dispositivo de forma remota o le dé al hacker la posibilidad de aumentar sus privilegios, lo que se conoce como escalonamiento de privilegios y sirve para incrementar los permisos que tiene un usuario sobre un sistema o app.

La oferta no es extraña. Cada nuevo lanzamiento de software o sistema operativo viene acompañado de propuestas de empresas, como Exodus Intelligence o Vupen, que pagan por descubrir fallos en los códigos que permitan ingresar al dispositivo y controlarlo. Zerodium, por ejemplo, paga unos 65.000 euros por hallar vulnerabilidades en Adobe y hasta 100.000 por errores en Windows Phone. La diferencia de precio reside en que los sistemas operativos de Apple son mucho más complejos de desentrañar. En oposición, Android se cotiza en el sector de la ciberseguridad por 185.000 euros. Para quienes estén interesados, Zerodium asegura en su página web que se compromete a estudiar la propuesta en una semana y el dinero se envía por transferencia... a todos los que descubran un fallo desconocido hasta la fecha. Sin importar cuántas propuestas «acertadas» se envíen. De hecho, el fundador de la empresa, Chaouki Bekrar, aseguró en una entrevista a la web Motherboard que «queremos atraer la mayor cantidad posible de candidatos para asegurarnos una amplia variedad de vulnerabilidades. Estamos financiados por importantes compradores, por lo que nuestro presupuesto es casi ilimitado».

¿De dónde saca el dinero Zerodium? Tal y como aclaran en su página de internet, sus principales clientes son gobiernos y grandes empresas que compran los programas de control remoto (nunca mejor dicho) para vigilancia. Y esto es algo muy frecuente. Tanto que, a principio de año y a raíz de los tiroteos en California, que culminaron con la muerte de 14 personas, el FBI pidió ayuda a la propia Apple para hackear un iPhone, propiedad de uno de los tiradores. En principio, la empresa se negó. Al poco tiempo recibieron un mensaje de la agencia de inteligencia asegurando que no hacía falta su ayuda, que lo habían conseguido por su cuenta. Obviamente, los errores de programación o las ventanas no se envían a la firma responsable para que los resuelva.

Lo que muchos responsables de seguridad buscan es un jailbreak (básicamente, un modo de liberar las restricciones de un sistema operativo) para que se pueda operar un software no autorizado, en este caso, por Apple. Un jailbreak capacita al espía a activar la cámara o el micrófono del dispositivo (no tiene que ser un smartphone, puede ser también un iPad), encenderlo cuando quiera y leer todos los mensajes y ver fotos y contactos. En Estados Unidos su uso es legal.

¿Cómo llegar al dispositivo?

Descubrir la vulnerabilidad es la parte sumergida del iceberg del espionaje, lo más importante. Pero luego es necesario, para un smartphone, saber el número de teléfono con el objetivo de atacar directamente ese dispositivo. El medio para efectuar ese ataque será determinado por el tipo de vulnerabilidad. Zerodium está particularmente interesado en fallos relacionados con la conectividad (para lograr acceso mediante el envío de correos, descargas de apps encubiertas, virus, etc.) o aquellas vinculadas a lo que en informática se conoce como kernel, la médula, por decirlo de algún modo, de los dispositivos. Es lo que garantiza la comunicación efectiva y segura del software con el hardware.

¿Cómo saber si nuestro teléfono ha sido hackeado?

Una de las claves es que la batería, de un día al siguiente, se gasta mucho más rápidamente. Y eso es algo que se percibe rápidamente teniendo en cuenta el ritmo de carga habitual. Otro modo de reconocerlo es la lentitud para realizar ciertas operaciones, sobre todo teniendo en cuenta que hay un porcentaje de procesamiento de información que está siendo ocupado por el «invasor». Para evitar esto, se recomienda seguir las premisas de seguridad habitual: actualizar el sistema operativo siempre, no descargar apps de sitios no oficiales ni abrir correos de fuentes desconocidas. El comercio en este sector genera tanto dinero que un jailbreak, para iPhone, se paga por más de 400.000 euros, según Ryan Duff, experto en ciberseguridad. Lo que hace pensar muy seriamente por qué la aplicación System and Security Info, que alertaba al usuario si su teléfono había sido hackeado y que llegó a estar entre las tres apps de pago más vendidas (por encima de Grand Theft Auto y Minecraft), fue dada de baja en la AppStore.

El dilema ético

Mientras la investigación de fallos en sistemas utilizados por millones de personas puede aportar importantes beneficios, si éstos se venden al mejor postor (sea empresa o gobierno) que los usa con fines relacionados al espionaje, el beneficio comienza a diluirse. Hay quienes alegan que gracias a este tipo de acción se pueden prevenir atentados y desarticular grupos violentos, mientras que otros señalan que se trata de una violación a la privacidad. Por ahora, el margen de la legalidad en este tipo de prácticas es tan difuso que muchos países se contradicen en sus normas y, si a ello se le une que los «vendedores de errores» trabajan en un país, viven en otro y operan con servidores alojados en un tercero, el problema está servido.