Tras la reciente presentación del nuevo iPhone 13, numerosos usuarios se estarán planteando actualizar su smartphone y cambiarlo por un modelo Apple, seducidos muchos de ellos, por la supuesta superioridad del ecosistema iOS frente a los dispositivos Android en materia de ciberseguridad. Para los expertos de ESET, compañía pionera en antivirus y experta en ciberseguridad, esta supuesta superioridad sin embargo se encuentra en entredicho, dado que los últimos meses no han sido especialmente buenos para los sistemas Apple en lo que a este tema se refiere.

Parches para solucionar numerosas vulnerabilidades

Hace unos meses, ESET se hacía eco de una noticia en la que miembros de Amnistía Internacional habían descubierto cómo se habían podido comprometer los teléfonos de miles de periodistas, activistas de ONGs, empresarios y políticos de todo el mundo. El malware utilizado era un viejo conocido, Pegasus, usado por algunos gobiernos para espiar a ciertos objetivos considerados de interés.

La investigación puso de relieve que incluso los últimos modelos iPhone, con todas las actualizaciones al día, eran vulnerables a los exploits preparados por los responsables del desarrollo de Pegasus. Esto supuso un shock para muchos de los que aún pensaban que los dispositivos de Apple eran invulnerables, más incluso cuando se demostró que los atacantes no necesitaban de la interacción del usuario y bastaba sólo con el envío de un mensaje para comprometer el dispositivo iOS.

Este caso ha vuelto a poner en entredicho la supuesta seguridad de los dispositivos desarrollados por Apple y no solo por la investigación relacionada con el spyware Pegasus, sino por muchas otras vulnerabilidades descubiertas en lo que llevamos de año. La realidad, tal y como afirman desde ESET, es que ciertos atacantes disponen de recursos suficientes para comprometer la seguridad de un dispositivo como el iPhone sin necesidad de que la víctima intervenga para nada, lo que resulta preocupante.

"De hecho, no deja de ser curioso que desde hace años se pague más por una vulnerabilidad de ese tipo en dispositivos Android que en dispositivos iOS. No es que sean vulnerabilidades fáciles de desarrollar y el precio que se paga por ellas lo demuestra, pero es algo que deberíamos tener en cuenta antes de afirmar categóricamente que tal o cual sistema es más o menos seguro", firma Josep Albors, Director de Investigación y Concienciación en ESET España.

En la imagen sobre estas líneas observamos cómo la empresa Zerodium (una de las más reconocidas en el mercado de compra de vulnerabilidades) paga hasta US$2,5 millones por una vulnerabilidad en Android que comprometa y consiga persistencia en el dispositivo, sin que el usuario tenga que intervenir, mientras que por el mismo tipo de vulnerabilidad en iOS se pagan hasta US$2 millones.

Situación real de la seguridad en dispositivos móviles iOS y Android

Viendo el importante número de vulnerabilidades detectadas en iOS durante los últimos meses, podríamos pensar que el sistema de Apple es de todo menos seguro. Tal y como aseguran desde ESET, sin embargo, antes de realizar esta afirmación, hay que tener en cuenta otros varios factores. El primer punto importante, según los expertos de la compañía, es que prácticamente todas las vulnerabilidades en dispositivos iOS, que han sido aprovechadas por los atacantes, han sido contra objetivos de cierta relevancia y recientemente, a través de sus dispositivos, no se han detectado campañas de propagación masiva de malware que estén dirigidas a usuarios corrientes.

Esto es un indicativo de que este tipo de vulnerabilidades son usadas en ocasiones muy concretas, cuando los atacantes quieren obtener un tipo de información específica de sus víctimas y no quieren malgastar algo que les ha costado mucho obtener con objetivos poco importantes, corriendo el riesgo de que los exploits usados se descubran antes de tiempo.

Según los expertos de ESET, también hay que tener en cuenta que en el mundo de la ciberdelincuencia común el principal objetivo sigue siendo el dinero. Es por ese motivo (y por otros que se detallan a continuación) que los ataques de propagación masiva de malware se suelen dirigir a usuarios del sistema Android, que en la actualidad suponen casi tres cuartas partes del total de usuarios a nivel mundial, siendo este porcentaje en algunas regiones como España incluso mayor.

Los expertos de ESET recuerdan también que los miles de millones de dispositivos Android, usados en todo el mundo, tienen un serio problema de actualizaciones, pues muchos de ellos cuentan con versiones muy antiguas del sistema operativo y sin posibilidad alguna de actualizarse. Este es uno de los mayores problemas a los que se enfrenta el sistema operativo de Google, explican desde la compañía de ciberseguridad, ya que mientras los dispositivos de Apple suelen actualizarse durante varios años, solo un limitado número de fabricantes de dispositivos Android garantizan dichas actualizaciones durante un cierto periodo de tiempo.

Además, el sistema de tienda de aplicaciones cerradas de Apple (aun sin ser invulnerable) pone muchas limitaciones a la propagación masiva de apps maliciosas. Google, por su parte, ha mejorado mucho la seguridad de su tienda de aplicaciones oficial, pero sigue permitiendo la instalación de apps desde orígenes desconocidos, lo que permite que los delincuentes se aprovechen y engañen a los usuarios para que instalen malware, tal y como se ha podido observar durante estos últimos meses, con las numerosas campañas de propagación de troyanos bancarios dirigidas a usuarios de Android.

"Aunque Apple tenga que mejorar ciertos aspectos de la seguridad y privacidad de sus dispositivos, hoy podemos seguir afirmando que sus usuarios suelen sufrir menos incidentes de seguridad que los de Android. Esto no significa que los dispositivos iOS sean invulnerables y sus usuarios pueden seguir cayendo en trampas que no dependan del sistema usado (como los casos de phishing), por lo que la adopción de medidas de seguridad sigue siendo muy recomendable", concluye Josep Albors de ESET.