Apple ha revelado que una falla de seguridad ahora parecida presente en su aplicaci贸n de mensajes fue explotada activamente en la naturaleza para atacar a los miembros de la sociedad civil en ataques cibern茅ticos sofisticados.
La vulnerabilidad, rastreada como CVE-2025-43200, se abord贸 el 10 de febrero de 2025, como parte de iOS 18.3.1, iPados 18.3.1, iPados 17.7.5, MacOS Sequoia 15.3.1, Macos Sonoma 14.7.4, macos Ventura 13.7.4, Watchos 11.3.1, y Visisers 2.3.1.
芦Exist铆a un problema l贸gico al procesar una foto o video maliciosamente elaborada compartida a trav茅s de un enlace de iCloud禄, dijo la compa帽铆a en un aviso, y agreg贸 que la vulnerabilidad se abord贸 con los cheques mejorados.
El fabricante de iPhone tambi茅n reconoci贸 que es consciente de que la vulnerabilidad 芦puede haber sido explotada en un ataque extremadamente sofisticado contra individuos espec铆ficamente dirigidos禄.
Vale la pena se帽alar que las actualizaciones iOS 18.3.1, iPados 18.3.1 y iPados 17.7.5 tambi茅n resolvieron otro d铆a cero explotado activamente rastreado como CVE-2025-24200. Actualmente no se sabe por qu茅 Apple decidi贸 no revelar la existencia de este defecto hasta ahora.
Si bien Apple no comparti贸 m谩s detalles sobre la naturaleza de los ataques con el arma de CVE-2025-43200, el Laboratorio Citizen dijo que desenterr贸 la evidencia forense de que la deficiencia fue aprovechada para atacar al periodista italiano Ciro Pellegrino y a un periodista europeo no identificado e infectarlos con el spywware de Paragon Mercenario.
El centro de investigaci贸n interdisciplinario describi贸 el ataque como un clic cero, lo que significa que la vulnerabilidad podr铆a activarse en dispositivos espec铆ficos sin requerir ninguna interacci贸n del usuario.
芦Uno de los dispositivos del periodista se vio comprometido con el sofito de grafito de Paragon en enero y principios de febrero de 2025 mientras ejecutaba iOS 18.2.1禄, dijeron los investigadores Bill Marczak y John Scott-Railton. 芦Creemos que esta infecci贸n no habr铆a sido visible para el objetivo禄.
Ambos individuos fueron notificados el 29 de abril de 2025 por Apple de que fueron atacados con un spyware avanzado. Apple comenz贸 a enviar notificaciones de amenazas para alertar a los usuarios que sospecha que los atacantes patrocinados por el estado a partir de noviembre de 2021.
El grafito es una herramienta de vigilancia desarrollada por el actor ofensivo del sector privado israel铆 (PSOA) Paragon. Puede acceder a mensajes, correos electr贸nicos, c谩maras, micr贸fonos y datos de ubicaci贸n sin ninguna acci贸n del usuario, lo que dificulta especialmente la detecci贸n y la prevenci贸n. El spyware suele ser desplegado por clientes gubernamentales bajo la apariencia de investigaciones de seguridad nacional.
El Laboratorio Citizen dijo que los dos periodistas fueron enviados a iMessages de la misma cuenta de Apple (con nombre en c贸digo 芦Attacleer1禄) para implementar la herramienta de grafito, lo que indica que la cuenta puede haber sido utilizada por un solo cliente de Paragon para atacarlos.
El desarrollo es el 煤ltimo giro en un esc谩ndalo que estall贸 en enero, cuando Whatsapp de propiedad meta divulg贸 que el spyware se hab铆a desplegado contra docenas de usuarios en todo el mundo, incluido el colega de Pellegrino, Francesco Cancellato. En total, un total de siete individuos han sido identificados p煤blicamente como v铆ctimas de la focalizaci贸n y infecci贸n de Paragon hasta la fecha.
A principios de esta semana, el fabricante de spyware israel铆 dijo que ha rescindido sus contratos con Italia, citando la negativa del gobierno a permitir que la compa帽铆a verifique independientemente que las autoridades italianas no entran en el tel茅fono del periodista investigador.
芦La compa帽铆a ofreci贸 al gobierno italiano y al parlamento una forma de determinar si su sistema se hab铆a utilizado contra el periodista en violaci贸n de la ley italiana y los t茅rminos contractuales禄, dijo en un comunicado a Haaretz.
Sin embargo, el gobierno italiano dijo que la decisi贸n fue mutua y que rechaz贸 la oferta debido a preocupaciones de seguridad nacional.
El Comit茅 Parlamentario para la Seguridad de la Rep煤blica (Copasir), en un informe publicado la semana pasada, confirm贸 que los servicios de inteligencia extranjeros y nacionales italianos usaron grafito para dirigirse a los tel茅fonos de un n煤mero limitado de personas despu茅s de la aprobaci贸n legal necesaria.
Copasir agreg贸 que el spyware se us贸 para buscar fugitivos, contraer inmigraci贸n ilegal, presunto terrorismo, delitos organizados, contrabando de combustible y contrapi贸n y actividades de seguridad interna. Sin embargo, el tel茅fono perteneciente a Cancellato no estaba entre las v铆ctimas, dijo, dejando una pregunta clave sobre qui茅n pudo haber atacado al periodista sin respuesta.
Sin embargo, el informe arroja luz sobre c贸mo funciona la infraestructura de spyware de Paragon en segundo plano. Dijo que un operador tiene que iniciar sesi贸n con un nombre de usuario y contrase帽a para usar grafito. Cada implementaci贸n del spyware genera registros detallados que se encuentran en un servidor controlado por el cliente y no accesible por Paragon.
芦La falta de responsabilidad disponible para estos objetivos de spyware resalta la medida en que los periodistas en Europa contin煤an sometidos a esta amenaza digital altamente invasiva y subraya los peligros de la proliferaci贸n y el abuso de los esp铆a禄, dijo el Laboratorio Citizen.
La Uni贸n Europea (UE) ha planteado previamente preocupaciones sobre el uso sin control del spyware comercial, que pide controles de exportaci贸n m谩s fuertes y salvaguardas legales. Casos recientes como este podr铆an intensificar la presi贸n para las reformas regulatorias a nivel nacional y de la UE.
El sistema de notificaci贸n de amenazas de Apple se basa en la inteligencia de amenazas interna y puede no detectar todas las instancias de orientaci贸n. La compa帽铆a se帽ala que recibir dicha advertencia no confirma una infecci贸n activa, pero indica que se observ贸 una actividad inusual consistente con un ataque dirigido.
El regreso del depredador
Las 煤ltimas revelaciones se producen cuando el grupo Insikt registrado de Future dijo que observ贸 un 芦resurgimiento禄 de la actividad relacionada con los depredadores, meses despu茅s de que el gobierno de los Estados Unidos sancion贸 a varias personas vinculadas al proveedor de spyware israel铆 Intellexa/Cytrox.
Esto incluye la identificaci贸n de los nuevos servidores de nivel 1 orientados a las v铆ctimas, un cliente previamente desconocido en Mozambique y conexiones entre la infraestructura de depredadores y Foxitech SRO, una entidad checa previamente asociada con el consorcio Intellexa.
En los 煤ltimos dos a帽os, los operadores de depredadores han sido marcados en m谩s de una docena de condados, como Angola, Armenia, Botswana, la Rep煤blica Democr谩tica del Congo, Egipto, Indonesia, Kazajst谩n, Mongolia, Mozambique, Om谩n, Filipinas, Saudi Arabia y Trinidad y Tobago.
芦Esto se alinea con la observaci贸n m谩s amplia de que Predator es muy activo en 脕frica, con m谩s de la mitad de sus clientes identificados ubicados en el continente禄, dijo la compa帽铆a.
芦Esto probablemente refleja la creciente demanda de herramientas de spyware, especialmente en pa铆ses que enfrentan restricciones de exportaci贸n, innovaci贸n t茅cnica continua en respuesta a los informes p煤blicos y mejoras de seguridad, y estructuras corporativas cada vez m谩s complejas dise帽adas para impedir sanciones y atribuciones禄.
