Whatsapp denunció que unos piratas informáticos consiguieron instalar un software con un sistema de vigilancia remota en teléfonos celulares y otros dispositivos valiéndose de una vulnerabilidad en el programa de mensajería instantánea.
La empresa, que es propiedad de Facebook, reveló que el ataque, descubierto este mes, tenía como objetivo "un selecto número" de sus usuarios y fue orquestado por un actor cibernético avanzado.
El viernes pasado se lanzó un parche para corregir la falla de seguridad.
El diario británico Financial Times reportó que el software empleado en el ataque fue desarrollado por la empresa israelí de seguridad Grupo NSO. Esta empresa ha negado estar detrás del programa.
El lunes, Whatsapp pidió a sus 1.500 millones de usuarios que actualicen la aplicación como precaución adicional.
¿Cómo usaron la falla de seguridad?
Los hackers usaron la función de llamada de voz de Whatsapp para llamar a los sujetos objetivo del ataque.
Y aunque el receptor no descolgara, el software se instalaba y, según el FT, la llamada solía desaparecer del historial del teléfono.
Whatsapp le dijo a la BBC que su equipo de seguridad fue el primero en identificar el problema y compartió la información con grupos de defensa de los derechos humanos, determinados proveedores de ciberseguridad y el Departamento de Justicia de EE.UU.
"El ataque tiene toda la pinta de ser de una empresa privada que proveía a algún gobierno un programa espía que toma las funciones del sistema operativo del teléfono", dijo Whatsapp en una breve nota a periodistas publicada este lunes.
La empresa también publicó un aviso para especialistas en seguridad en el que describe la falla como "una vulnerabilidad por el desbordamiento del búfer en la función de llamada que permitió la ejecución de un código a través del envío de una serie de paquetes SRTCP al teléfono del objetivo".
¿Quién está detrás del programa?
El Grupo NSO es una empresa israelí que ha sido señalada en el pasado de ser un traficante de armas cibernéticas.
Su programa estrella, Pegasus, puede recopilar datos privados de un dispositivo, incluido lo que captan el micrófono y la cámara del aparato, así como la localización.
En un comunicado, NSO señaló que es "una empresa tecnológica registrada y autorizada por agencias gubernamentales para el solo propósito de luchar contra el crimen y el terrorismo".
"La empresa no opera los sistemas que provee y, tras tras un riguroso proceso de selección, son las agencias de inteligencia y de policía las que determinan cómo usan la tecnología para apoyar sus misiones de seguridad pública.
"Investigamos los señalamientos creíbles de mal uso y, de ser necesario, actuamos, incluida la posibilidad de cancelar el sistema", agregó.
"Bajo ninguna circunstancia NSO estaría implicada en operar o identificar objetivos de su tecnología, que es operada exclusivamente por agencias de inteligencia y seguridad. NSO no usaría ni podría usar su tecnología de manera unilateral contra ninguna persona u organización".
¿Quién fue el objetivo?
Según Whatsapp, es demasiado pronto para saber cuántos usuarios han sido afectados por esta vulnerabilidad, aunque señaló que se trata de un grupo muy selecto.
Según las últimas cifras de Facebook, Whatsapp tiene unos 1.500 millones de usuarios.
La organización defensora de los derechos humanos Amnistía Internacional (AI), que ha denunciado haber sido objetivo de programas creados por el Grupo NSO en el pasado, dijo que este ataque es uno de los que llevaban tiempo temiéndose como posible.
"Son capaces de infectar tu teléfono sin necesidad de que hagas nada", dijo Danna Ingleton, vicedirectora del programa de tecnología de AI.
Ingleton cree que hay evidencias de que estas tecnologías están siendo usadas por varios regímenes para mantener a prominentes activistas y periodistas bajo vigilancia.
"Es necesario que se exijan responsabilidades por esto, no puede seguir siendo el salvaje oeste", dijo.
Este martes, se celebra una audiencia en Tel Aviv sobre la demanda de AI para que el gobierno de Israel le retire a NSO su licencia para exportar productos.