WhatsApp ha confirmado que «un agente cibernético avanzado» infectó los teléfonos de un número desconocido de usuarios con un ‘spyware’ (programa informático espía) sofisticado solo con una llamada perdida a través de la aplicación. La vulnerabilidad fue descubierta a principios de mayo y reportada por primera vez por Financial Times.
Un atacante necesitaría llamar a un objetivo y enviar paquetes de protocolo seguro de transporte en tiempo real (SRTP) al teléfono, permitiéndoles usar la falla de memoria en la función VOIP de WhatsApp para inyectar el software espía y controlar el dispositivo.
El objetivo ni siquiera tendría que responder a la llamada para inyectar el software espía, y las llamadas a menudo desaparecen de los registros de llamadas.
Si bien WhatsApp admite el cifrado de extremo a extremo, que debería proteger el contenido de las comunicaciones entre los usuarios, esta medida de seguridad puede verse afectada si un dispositivo está comprometido por el malware.
El Financial Times, que rompió la historia, informa que el software espía es de la compañía israelí NSO Group, que ha sido acusado de vender su software espía a gobiernos con dudosos registros de derechos humanos.
El producto estrella de NSO Group es Pegasus, una herramienta llamada «intercepción legal», que los investigadores del Laboratorio de Ciudadanos de la Universidad de Toronto descubrieron recientemente que está desplegado en 45 países.
El despliegue generalizado sugiere que no solo se utiliza para combatir la delincuencia local y el terrorismo, sino también para la vigilancia transfronteriza, por ejemplo, por parte de los gobiernos que buscan información de disidentes políticos que viven en otros países.
El malware puede grabar conversaciones, robar mensajes privados, filtrar fotos, encender el micrófono y la cámara de un teléfono y recopilar datos de ubicación.
El año pasado, una investigación de Citizen Lab encontró que los colegas de un periodista mexicano asesinado también fueron atacados por Pegasus.
Según los informes, los ingenieros de WhatsApp se dirigieron el domingo para abordar la vulnerabilidad, ya que se usó ese día en un intento de instalar Pegasus en el teléfono de un abogado de derechos humanos con sede en el Reino Unido.
WhatsApp implementó una solución del lado del servidor el viernes la semana pasada y emitió un parche para los usuarios finales el lunes junto con el aviso de Facebook.
La falla WhatsApp VOIP afecta a WhatsApp para Android anterior a v2.19.134, WhatsApp Business para Android anterior a v2.19.44, WhatsApp para iOS anterior a v2.19.51, WhatsApp Business para iOS anterior a v2.19.51, WhatsApp para Windows Phone anterior a v2 .18.348 y WhatsApp para Tizen antes de v2.18.15.
Según el Financial Times, el anónimo abogado del Reino Unido que fue atacado con Pegasus está demandando a NSO Group en Israel en nombre de un grupo de periodistas mexicanos y críticos del gobierno y un disidente saudí que vive en Canadá. La demanda alega que NSO Group comparte la responsabilidad por el mal uso de sus productos por parte de los clientes.
Facebook dijo a la publicación: «Este ataque tiene todas las características de una empresa privada que se sabe que trabaja con los gobiernos para entregar software espía que supuestamente asume las funciones de los sistemas operativos de teléfonos móviles. Hemos informado a varias organizaciones de derechos humanos para que compartan la información. Podemos, y trabajar con ellos para notificar a la sociedad civil «.
Fuentes: Financial Times, Facebook