WhatsApp ha sido uno de los coladeros de seguridad más importantes a los que se ha tenido que enfrentar el personal de seguridad de los diferentes gobiernos y empresas. O si no que se lo pregunten a algunos cargos políticos catalanes como Roger Torrent, presidente del Parlamento de Cataluña desde 2018, que sufrió en 2019 un ataque en su teléfono móvil aprovechando una de las vulnerabilidades de la aplicación de mensajería.
A algo similar tuvo que plantarle cara el CEO de Amazon y dueño de la aeroespacial Blue Origin Jeff Bezos. También por WhatsApp, recibió un enlace en su smartphone particular de, presuntamente, el príncipe heredero saudí Mohammed bin Salman en 2018. El resultado fue catastrófico para el empresario norteamericano que vio comprometida su privacidad a tal extremo que todo el contenido almacenado en su teléfono podía ser accesible por los atacantes.
Es complicado de entender que tanto miembros del Gobierno de Cataluña como empresarios del primerísimo nivel queden expuestos de una forma tan sencilla debido a esta aplicación pues se presupone que ambas entidades cuentan con departamentos de ciberseguridad muy bien entrenados en estas lides. Lo cierto es que WhatsApp, desde hace unos años, se ha puesto las pilas para atajar cualquier vulnerabilidad relacionada con el spyware, pero el daño ya está hecho y es posible que existan más agujeros desconocidos por la compañía.
Spyware, enemigo de WhatsApp
A diferencia de otros tipos de ataques como el phising, el spyware suele realizarse dirigido a una persona en particular. Gente que, en un momento dado, pueda tener cierta relevancia por los contenidos almacenados en su smartphone o bien porque WhatsApp puede ser la puerta de entrada perfecta para acceder al micrófono o a la cámara.
En el caso de Roger Torrent y tal y como recoge The Guardian, se trataría del conocidísimo a la par que efectivo spyware Pegasus. Un software desarrollado por NSO Group, una compañía de ciberseguridad israelí, que campó a sus anchas por teléfonos de gente importante de todo el planeta hasta prácticamente hace un año. En mayo del 2019 WhastApp anunció y publicó que algunos usuarios estaban en peligro debido la vulnerabilidad explotada por Pegasus al tiempo que arregló el fallo que permitía la entrada.
Este spyware era capaz de penetrar en los smartphones independientemente si corrían Android o iOS. Una vez instalado, podía acceder a todo tipo de información; incluyendo alguna realmente sensible como las conversaciones mantenidas en el servicio de mensajería de Apple iMessage, correos de Gmail, chats de WhatsApp, Telegram, Facebook, Twitter e incluso Skype. También podía analizar el sistema recabando información sobre las contraseñas de las redes WiFi que usaba la víctima con el fin de poder entrar a su red e infectar a más víctimas.
Según NSO Group, Pegasus solo podía caer en manos de gobiernos con el fin de luchar contra el terrorismo, pero todo indica que no fue así. Arabia Saudita, el país que presuntamente infectó el smartphone de Jeff Bezos, está entre los clientes de NSO y todo apunta a que asesinatos como el del periodista Jamal Khashoggi podrían haberse perpetrado gracias en parte a este spyware.
¿Cómo no ser infectado por un spyware?
Aunque normalmente este tipo de ataques van dirigidos a personalidades con algún tipo de cargo público, ejecutivos o empresarios; como usuarios 'corrientes' no debemos bajar la guardia y estar muy concienciados con este tipo de software malicioso.
El primer y prácticamente el único consejo práctico es evitar abrir enlaces extraños. Esos que nos envían por WhatsApp anunciado un precio ridículo para unas gafas de marca, el típico timo de las empresas que regalan smartphones o cualquier otro enlace del que sospechemos mínimamente.
En estos casos, lo mejor es hacer caso omiso y nunca pinchar sobre ellos independientemente de si estamos en un ordenador o en nuestro teléfono móvil. Estos links, al igual que le pasó a Jeff Bezos, pueden descargar de forma automática ficheros infectados a nuestros equipos y comenzarán a hacer su trabajo recopilando información.