Descripción
WhatsApp fue pirateada aprovechando una violación de la seguridad que permitía a las personas malintencionadas instalar spyware simplemente enviando una llamada telefónica, sin necesidad de que el destinatario respondiera.
El Financial Times fue el primero en denunciar el caso, especificando que el ataque afectó a todos los sistemas operativos en los que se puede instalar la aplicación de mensajería propiedad de Facebook. La confirmación vino entonces de la misma compañía de Zuckerberg:
El problema se refiere a WhatsApp para Android en versiones anteriores a la 2.19.134, WhatsApp Business para Android antes de la 2.19.44, WhatsApp para iOS antes de la 2.19.51, WhatsApp Business para iOS antes de la 2.19.51, WhatsApp para Windows Phone antes de la 2.18.348 y WhatsApp para Tizen antes de la 2.18.15.
La vulnerabilidad se refiere al desbordamiento del búfer y permite a los hackers introducir código malicioso en los paquetes de datos enviados durante el proceso de iniciar una llamada de voz. Una vez recibidos estos datos, el búfer de WhatsApp sobrescribe la memoria, de modo que el control cambia de la propia aplicación a spyware.
WhatsApp ya ha corregido el error e invita a todos los usuarios a actualizar la aplicación a la última versión disponible. Y señala con el dedo al grupo israelí de la NSO, sin citarlo:
El ataque tiene todas las características de una empresa privada conocida por trabajar con los gobiernos para proporcionar spyware que, según lo que se sabe, explota las funciones de los sistemas operativos de los dispositivos móviles.
El spyware en cuestión es por tanto Pegasus, desarrollado por el Grupo NSO y vendido a los gobiernos para instalar un «bug virtual» en el smartphone de los que pretenden controlar (Exodus puede ser considerado el análogo italiano, spyware que a principios de año ha espiado por error a miles de italianos). Precisamente por esta razón, WhatsApp cree que las víctimas del ataque son relativamente pocas (del orden de «unas pocas docenas»), ya que habría sido una operación para golpear a personas específicas. Una vez interrogado, el Grupo NSO, repetidamente acusado de vender la tecnología a países como Arabia Saudita y los Emiratos Árabes Unidos y de violar los derechos humanos, se defendió afirmando que el spyware no puede ser utilizado libremente, ya que necesariamente debe pasar por la aprobación de las agencias de inteligencia del gobierno y las agencias de aplicación de la ley.
En resumen, he aquí una fotografía de Pegasus tomada por Citizen Lab en 2018: desde aquí podemos ver la propagación del spyware y su uso hasta los límites de la legalidad:
Fuente: Citizen Lab, 2018
No se sabe quién fue el objetivo de este ataque, pero estamos seguros de que la cuestión pronto tendrá desarrollos geopolíticos. Una vez más, recomendamos actualizar la aplicación a la última versión disponible.
Si quieres obtener la última versión beta de WhatsApp para Android con todas las nuevas funciones aún no publicadas en la versión estable, te recomendamos visitar nuestro tutorial Cómo Actualizar WhatsApp para Android.