WhatsApp denunció que unos piratas informáticos consiguieron instalar un software con un sistema de vigilancia remota en teléfonos celulares y otros dispositivos valiéndose de una vulnerabilidad en el programa de mensajería instantánea.
La empresa, que es propiedad de Facebook, reveló el lunes que el ataque, descubierto este mes, tenía como objetivo «un selecto número» de sus usuarios y fue orquestado por un actor cibernético avanzado.
El viernes pasado se lanzó un parche para corregir la falla de seguridad. Y el lunes por la noche WhatsApp les pidió a sus 1500 millones de usuarios que actualicen la aplicación como precaución adicional.
El diario británico Financial Times reportó que el software empleado en el ataque fue desarrollado por la empresa israelí de seguridad Grupo NSO. Esta empresa ha negado estar detrás del programa.
WhatsApp se promociona a sí mismo como una aplicación de comunicaciones «segura» porque ofrece cifrado de extremo a extremo, lo que significa que los mensajes solo deben mostrarse de forma legible en el dispositivo del remitente o del destinatario.
Sin embargo, el software de vigilancia habría permitido a un atacante leer los mensajes en el dispositivo del objetivo. «Lo más probables es que el blanco hayan sido periodistas, abogados, activistas y defensores de los derechos humanos», dijo Ahmed Zidan, del Comité para la Protección de los Periodistas.
¿Cómo usaron la falla de seguridad?
Los hackers usaron la función de llamada de voz de WhatsApp para llamar a los sujetos objetivo del ataque. Aunque el receptor no atendiera la llamada, el software se instalaba. Y, según el FT, la llamada solía desaparecer del historial del teléfono.
WhatsApp le dijo a la BBC que su equipo de seguridad fue el primero en identificar el problema y compartió la información con grupos de defensa de los derechos humanos, determinados proveedores de ciberseguridad y el Departamento de Justicia de EE.UU.
«El ataque tiene toda la pinta de ser de una empresa privada que proveía a algún gobierno un programa espía que toma las funciones del sistema operativo del teléfono», dijo WhatsApp en una breve nota a periodistas publicada este lunes.
La empresa también publicó un aviso para especialistas en seguridad en el que describe la falla como «una vulnerabilidad por el desbordamiento del buffer en la función de llamada que permitió la ejecución de un código a través del envío de una serie de paquetes SRTCP al teléfono del objetivo».
El profesor de la Universidad de Surrey Alan Woodward describió el método de ataque como «bastante anticuado». «En un desbordamiento de buffer a una aplicación se le asigna más memoria de la que realmente necesita, por lo que le queda espacio en la memoria. Y si uno puede hacer pasar un código a través de la aplicación, entonces puede ejecutar su propio código en esa área», explicó el especialista.
«En VOIP hay un proceso inicial que marca y establece la llamada, y la falla estaba en ese bit. En consecuencia, no era necesario responder a la llamada para que el ataque funcionara».
¿Quién está detrás del programa?
El Grupo NSO es una empresa israelí que ha sido señalada en el pasado de ser un traficante de armas cibernéticas. Mientras que algunas compañías de seguridad cibernética informan sobre las fallas que encuentran para que puedan solucionarse, otras se guardan los problemas para que puedan ser explotados o vendidos a las agencias de seguridad.
Y el programa estrella de NSO, Pegasus, puede recopilar datos privados de un dispositivo, incluido lo que captan el micrófono y la cámara del aparato, así como la localización.
En un comunicado, NSO señaló que es «una empresa tecnológica registrada y autorizada por agencias gubernamentales para el solo propósito de luchar contra el crimen y el terrorismo». «La empresa no opera los sistemas que provee y, tras tras un riguroso proceso de selección, son las agencias de inteligencia y de policía las que determinan cómo usan la tecnología para apoyar sus misiones de seguridad pública», explicó ahí.