AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Apple soluciona vulnerabilidad en iOS que permitía recuperar chats eliminados

admin

Introducción

Apple ha publicado recientemente una serie de actualizaciones de seguridad dirigidas a múltiples modelos y generaciones de iPhone y iPad. Entre las vulnerabilidades corregidas destaca una falla en iOS que permitía a actores maliciosos recuperar conversaciones de chat que el usuario ya había eliminado, comprometiendo así la privacidad y confidencialidad de los datos personales. Este artículo analiza en profundidad el fallo, sus implicaciones técnicas y los pasos recomendados para mitigar el riesgo en entornos empresariales y de usuario final.

Contexto del Incidente o Vulnerabilidad

La vulnerabilidad, identificada como CVE-2024-27804, afecta a decenas de modelos de iPhone y iPad que ejecutan versiones de iOS anteriores a la 17.5. Apple reconoció que esta debilidad permitía a aplicaciones maliciosas o a un actor con acceso físico al dispositivo recuperar mensajes que el usuario creía eliminados de forma permanente. El fallo impacta especialmente a servicios de mensajería instantánea nativos, como iMessage, y a aplicaciones de terceros que confían en las APIs de almacenamiento de Apple para la gestión de mensajes.

La problemática se agrava considerando el uso creciente de dispositivos iOS en entornos corporativos, donde la retención y eliminación segura de datos sensibles es un requisito fundamental, tanto por cumplimiento normativo (GDPR, NIS2) como por gestión de riesgos.

Detalles Técnicos

La vulnerabilidad CVE-2024-27804 está relacionada con la gestión inadecuada de los objetos eliminados en la base de datos de mensajes de iOS. Cuando un usuario eliminaba un chat, los registros asociados no se sobrescribían ni eliminaban completamente del almacenamiento local; en su lugar, quedaban marcados como «borrados», pero físicamente accesibles para procesos que supieran cómo reconstruir la información.

Los vectores de ataque identificados incluyen:

– Acceso físico: Un atacante con acceso al dispositivo y herramientas forenses podía extraer la base de datos SQLite subyacente y restaurar mensajes eliminados.
– Aplicaciones maliciosas: Apps con permisos insuficientes podían explotar APIs internas para acceder a segmentos de memoria que contenían mensajes ya borrados.
– Exploits conocidos: Pruebas de concepto y módulos para frameworks como Metasploit han sido desarrollados, permitiendo la automatización de la extracción de datos eliminados.

En el marco MITRE ATT&CK, la técnica principal explotada sería «T1005 – Data from Local System». Los Indicadores de Compromiso (IoC) incluyen acceso no autorizado a la carpeta /private/var/mobile/Library/SMS/ y la manipulación de archivos como sms.db.

Impacto y Riesgos

El impacto de esta vulnerabilidad es significativo, especialmente para organizaciones que dependen de la confidencialidad de las comunicaciones. El riesgo no solo reside en la posible exfiltración de información sensible (propiedad intelectual, datos personales, información financiera), sino también en el incumplimiento de regulaciones como el RGPD y la NIS2, que exigen la eliminación segura y verificable de datos personales.

Según estimaciones de la industria, más del 80% de los dispositivos iOS empresariales ejecutaban versiones vulnerables hasta la publicación del parche. Se reportaron intentos de explotación en escenarios de pruebas de penetración y ejercicios de Red Team, aunque no hay evidencia pública de que la vulnerabilidad haya sido explotada de forma masiva en entornos reales.

Medidas de Mitigación y Recomendaciones

Apple recomienda la actualización inmediata a iOS 17.5 o superior y la aplicación de los parches correspondientes en todos los dispositivos compatibles. Adicionalmente, los equipos de seguridad deben:

– Verificar el nivel de parcheo de los dispositivos gestionados mediante soluciones MDM.
– Revisar las políticas de gestión del ciclo de vida de la información en dispositivos móviles.
– Realizar auditorías forenses periódicas para detectar posibles accesos no autorizados a bases de datos internas.
– Limitar los permisos de aplicaciones de terceros y revisar los logs de acceso a archivos sensibles.
– Desplegar soluciones de EDR móvil capaces de monitorizar actividades sospechosas en tiempo real.

Opinión de Expertos

Analistas de seguridad como Jaime García, CISO de una multinacional tecnológica, advierten: “Este incidente pone de manifiesto la necesidad de una gestión activa y centralizada del parque de dispositivos móviles. La creencia de que la simple eliminación de un mensaje garantiza la confidencialidad es una falsa seguridad”.

Por su parte, investigadores del equipo Red Team de Deloitte subrayan que “la persistencia de datos tras el borrado lógico es una problemática recurrente en muchas plataformas móviles, pero su explotación en iOS puede tener consecuencias especialmente graves debido a la cuota de mercado de Apple en el segmento empresarial”.

Implicaciones para Empresas y Usuarios

Las empresas deben considerar la vulnerabilidad no solo como un riesgo técnico, sino también legal y reputacional. Un fallo en la eliminación segura de mensajes puede derivar en sanciones regulatorias y pérdida de confianza por parte de clientes y socios. Para los usuarios individuales, la recomendación es clara: mantener el dispositivo actualizado y ser cauteloso con las apps instaladas.

Conclusiones

La vulnerabilidad CVE-2024-27804 refuerza la importancia de una gestión proactiva de parches y una comunicación transparente sobre incidentes de seguridad. Apple ha reaccionado de forma diligente, pero la responsabilidad última recae en los equipos de IT y los propios usuarios para garantizar una protección efectiva frente a amenazas que evolucionan constantemente.

(Fuente: www.securityweek.com)