El pasado mayo Whatsapp publicó una actualización urgente, y Facebook alentó a todos los usuarios a que la instalasen. Este no era un simple "parche" para tapar un pequeño error: era la reacción al mayor problema de seguridad descubierto en la historia del servicio.
Facebook descubrió este error de software el mismo mes, pero eso no significa que fuese nuevo; en realidad, era un "bug" ya conocido entre algunos hackers, que no habían dudado en usarlo para sus propios fines.
El error otorgaba una "puerta trasera" al atacante, básicamente otorgándole el control completo de nuestro dispositivo. Para entrar, bastaba con realizar una llamada de vídeo con código inyectado; incluso aunque la víctima no respondiese, el bug de Whatsapp permitía ejecutar el código en el móvil. Una vez dentro, el atacante podía hacer lo que quisiera, como por ejemplo, instalar spyware.
Facebook demanda a los hackers de Whatsapp
Se desconoce cuánta gente conocía este bug, pero todo indica que un grupo de hackers lo descubrió y, en vez de avisar a Facebook, decidió usarlo para espiar a usuarios; se trata del NSO Group, una empresa israelí especializada en el desarrollo de software de espionaje.
En su momento se sospechaba que NSO Group había usado el bug de Whatsapp para rastrear a ciertos usuarios, y ahora Facebook ha confirmado estas sospechas. Whatsapp ha decidido llevar al NSO Group a juicio por el ataque contra al menos 100 usuarios del servicio.
Facebook acusa a NSO Group de desarrollar malware para acceder a mensajes y comunicaciones cifradas en los dispositivos de sus "objetivos". Esa parece una referencia a Pegasus, considerado el spyware más potente de la actualidad por su enorme versatilidad, que le permite funcionar en todo tipo de dispositivos para obtener toda la información necesaria.
Estos "objetivos" son ciudadanos de 20 países diferentes, entre los que se encuentran México, los Emiratos Árabes Unidos y Baréin. Facebook ha decidido no compartir la lista de usuarios afectados; pero sí que afirma que entre las víctimas hay periodistas, activistas de derechos humanos, disidentes políticos y diplomáticos.
El NSO Group se especializa en aprovechar vulnerabilidades de "día cero"; así es como se conocen a los "bugs" que aún no han sido descubiertos por los desarrolladores de los programas originales y que por lo tanto, aún no tienen solución.
NSO Group, los hackers que se aprovechan de Whatsapp
Los hackers de NSO Group optan por no publicar sus descubrimientos, aprovechándolos para instalar Pegasus y otros programas espía. Este acceso es muy valioso para algunos gobiernos, y el negocio de NSO consiste en ofrecer información y acceso a agencias de inteligencia.
Whatsapp ha calificado este esquema como un "indudable patrón de abuso", y ha presentado la demanda ante un tribunal en San Francisco con el objetivo de evitar que NSO pueda volver a usar su servicio.
Sin embargo, NSO ha negado estas acusaciones, prometiendo que luchará contra ellas en el juicio; afirma que el único propósito de su empresa es proveer tecnología a servicios del gobierno y a las fuerzas del orden para combatir el terrorismo y crímenes serios.