WhatsApp denunció que unos piratas informáticos consiguieron instalar un software con un sistema de vigilancia remota en teléfonos celulares y otros dispositivos valiéndose de una vulnerabilidad en el programa de mensajería instantánea.
La empresa, que es propiedad de Facebook, reveló el lunes que el ataque, descubierto este mes, tenía como objetivo "un selecto número" de sus usuarios y fue orquestado por un actor cibernético avanzado.
El viernes pasado se lanzó un parche para corregir la falla de seguridad. Y el lunes por la noche WhatsApp les pidió a sus 1500 millones de usuarios que actualicen la aplicación como precaución adicional.
El diario británico Financial Times reportó que el software empleado en el ataque fue desarrollado por la empresa israelí de seguridad Grupo NSO. Esta empresa ha negado estar detrás del programa.
WhatsApp se promociona a sí mismo como una aplicación de comunicaciones "segura" porque ofrece cifrado de extremo a extremo, lo que significa que los mensajes solo deben mostrarse de forma legible en el dispositivo del remitente o del destinatario.
Sin embargo, el software de vigilancia habría permitido a un atacante leer los mensajes en el dispositivo del objetivo. "Lo más probables es que el blanco hayan sido periodistas, abogados, activistas y defensores de los derechos humanos", dijo Ahmed Zidan, del Comité para la Protección de los Periodistas.
¿Cómo usaron la falla de seguridad?
Los hackers usaron la función de llamada de voz de WhatsApp para llamar a los sujetos objetivo del ataque. Aunque el receptor no atendiera la llamada, el software se instalaba. Y, según el FT, la llamada solía desaparecer del historial del teléfono.
WhatsApp le dijo a la BBC que su equipo de seguridad fue el primero en identificar el problema y compartió la información con grupos de defensa de los derechos humanos, determinados proveedores de ciberseguridad y el Departamento de Justicia de EE.UU.
"El ataque tiene toda la pinta de ser de una empresa privada que proveía a algún gobierno un programa espía que toma las funciones del sistema operativo del teléfono", dijo WhatsApp en una breve nota a periodistas publicada este lunes.
La empresa también publicó un aviso para especialistas en seguridad en el que describe la falla como "una vulnerabilidad por el desbordamiento del buffer en la función de llamada que permitió la ejecución de un código a través del envío de una serie de paquetes SRTCP al teléfono del objetivo".
El profesor de la Universidad de Surrey Alan Woodward describió el método de ataque como "bastante anticuado". "En un desbordamiento de buffer a una aplicación se le asigna más memoria de la que realmente necesita, por lo que le queda espacio en la memoria. Y si uno puede hacer pasar un código a través de la aplicación, entonces puede ejecutar su propio código en esa área", explicó el especialista.
"En VOIP hay un proceso inicial que marca y establece la llamada, y la falla estaba en ese bit. En consecuencia, no era necesario responder a la llamada para que el ataque funcionara".
¿Quién está detrás del programa?
El Grupo NSO es una empresa israelí que ha sido señalada en el pasado de ser un traficante de armas cibernéticas. Mientras que algunas compañías de seguridad cibernética informan sobre las fallas que encuentran para que puedan solucionarse, otras se guardan los problemas para que puedan ser explotados o vendidos a las agencias de seguridad.
Y el programa estrella de NSO, Pegasus, puede recopilar datos privados de un dispositivo, incluido lo que captan el micrófono y la cámara del aparato, así como la localización.
En un comunicado, NSO señaló que es "una empresa tecnológica registrada y autorizada por agencias gubernamentales para el solo propósito de luchar contra el crimen y el terrorismo". "La empresa no opera los sistemas que provee y, tras tras un riguroso proceso de selección, son las agencias de inteligencia y de policía las que determinan cómo usan la tecnología para apoyar sus misiones de seguridad pública", explicó ahí.
"Investigamos los señalamientos creíbles de mal uso y, de ser necesario, actuamos, incluida la posibilidad de cancelar el sistema", aseguró la empresa. "Bajo ninguna circunstancia NSO estaría implicada en operar o identificar objetivos de su tecnología, que es operada exclusivamente por agencias de inteligencia y seguridad. NSO no usaría ni podría usar su tecnología de manera unilateral contra ninguna persona u organización", continúa el comunicado.
¿Quién fue el objetivo?
Según WhatsApp, es demasiado pronto para saber cuántos usuarios han sido afectados por esta vulnerabilidad, aunque señaló que se trata de un grupo muy selecto. Según las últimas cifras de Facebook, WhatsApp tiene unos 1500 millones de usuarios.
La organización defensora de los derechos humanos Amnistía Internacional (AI), que ha denunciado haber sido objetivo de programas creados por el Grupo NSO en el pasado, dijo que este ataque es uno de los que llevaban tiempo temiéndose como posible.
"Son capaces de infectar tu teléfono sin necesidad de que hagas nada", dijo Danna Ingleton, vicedirectora del programa de tecnología de AI. Ingleton cree que hay evidencias de que estas tecnologías están siendo usadas por varios regímenes para mantener a prominentes activistas y periodistas bajo vigilancia. "Es necesario que se exijan responsabilidades por esto, no puede seguir siendo el Salvaje Oeste", dijo.
Este martes, se celebra una audiencia en Tel Aviv sobre la demanda de AI para que el gobierno de Israel le retire a NSO su licencia para exportar productos.
¿Cuáles son las preguntas sin respuesta?
- ¿Cuántas personas fueron atacadas? WhatsApp dice que es demasiado pronto para decir cuántas personas fueron atacadas, o por cuánto tiempo estuvo presente la falla en la aplicación
- ¿La actualización de WhatsApp elimina el spyware? Si bien la actualización corrige la falla que provocó este ataque, WhatsApp no ha dicho si la actualización elimina el software espía que ya haya infectado un dispositivo comprometido.
- ¿Qué puede hacer el spyware? WhatsApp no ha dicho si el ataque podría extenderse más allá de los confines de la aplicación y acceder a correos electrónicos, fotos y más
"El uso de una aplicación como ruta de ataque está limitado en iOS, ya que ejecutan aplicaciones en entornos limitados muy controlados", explicó el profesor Woodward. "Todos asumimos que el ataque fue solo una corrupción de WhatsApp pero el análisis aún está en curso." "El escenario de una pesadilla sería si pudieras conseguir algo con muchas más capacidades en el dispositivo sin que el usuario tenga que hacer nada", dijo.
La BBC ha pedido a WhatsApp una aclaración.
¿Cómo puedo actualizar WhatsApp?
Para Android
- Abre Google Play Store.
- Despliega el menú que encontrarás en la parte superior izquierda de la pantalla.
- Entra en "Mis aplicaciones y juegos".
- Si WhatsApp se actualizó recientemente, te aparecerá en la lista de aplicaciones con un botón que dice "Abrir".
- Si, en cambio, la aplicación no se actualizó automáticamente, en el botón pondrá "Actualizar". Pulsa ahí para instalar la nueva versión.
- La última versión de WhatsApp en Android es 2.19.134.
Para iOS
- Abre la App Store.
- En la parte inferior de la pantalla, pulsa "Actualizaciones".
- Si WhatsApp se actualizó recientemente, te aparecerá en la lista de aplicaciones con un botón que dice "Abrir".
- Si, en cambio, la aplicación no se actualizó automáticamente, en el botón pondrá "Actualizar". Pulsa ahí para instalar la nueva versión.
- La última versión de WhatsApp en iOS es 2.19.51.