Un equipo de ciberespías ha desarrollado un virus para dispositivos móviles que se propaga de una manera inusual: mediante llamadas de WhatsApp. La compañía se ha apresurado a parchar la vulnerabilidad y urge a sus usuarios a que instalen la actualización.
El ataque se realiza explotando una vulnerabilidad de desbordamiento de búfer que abre paso a que los atacantes tomen control de la aplicación para ejecutar códigos maliciosos que espían a los usuarios robando sus mensajes cifrados, husmeando sus llamadas, activando las cámaras y micrófonos y accediendo a las fotos, contactos y documentos guardados en el dispositivo.
El ataque saca provecho de que la llamada VoIP ofrece diferentes opciones al usuario: contestarla, rechazarla, etcétera. En un sistema comprometido, los hackers explotan este amplio abanico de “etcéteras”. “La seguridad nunca ha sido el principal objetivo del diseño de WhatsApp, lo que significa que se ve obligado a depender de complejos sistemas VoIP que son conocidos por sus vulnerabilidades”.
Esta vulnerabilidad supera cualquier posibilidad de protección por parte del usuario y la aplicación de las clásicas recomendaciones de seguridad no hace ninguna diferencia en esta situación: la víctima no tiene que abrir ningún mensaje sospechoso, ni pulsar en enlaces maliciosos, ni hacerse engañar por técnicas de ingeniería social, ni haber usado ninguna contraseña débil para que este ataque sea exitoso. Ni siquiera se puede culpar al usuario de haber atendido la llamada de un extraño, ya que lo único que necesita el programa malicioso para infectar su dispositivo es que esté encendido, no hace falta que la llamada sea atendida.
Lo que sí puede hacer cualquier usuario para protegerse de éste y otros ataques tan pronto como son descubiertos es asegurarse de mantener las actualizaciones de sus sistemas operativos y aplicaciones al día. En este caso, el personal de Whatsapp descubrió la vulnerabilidad a principios de mayo y se esforzó por desarrollar un parche lo antes posible, que acaba de publicar esta semana. La compañía urgió a sus usuarios a que lo instalaran: “Whatsapp recomienda a la gente que actualice la aplicación a su última versión y que mantenga el sistema operativo de sus teléfonos móviles actualizados para protegerse de los exploits que buscan comprometer la información almacenada en sus equipos”, dijo la compañía en sus declaraciones.
Whatsapp se ha puesto en contacto con grupos de derechos humanos para investigar esta amenaza, que considera que tiene “todas las características de pertenecer a una compañía privada conocida por trabajar con los gobiernos para propagar programas espías”. Expertos vinculados con el tema creen que esta acusación hace referencia al NSO Group, una empresa israelí de desarrollo de tecnologías de ciberespionaje para gobiernos.
Se estableció el parentesco con esta empresa por las similitudes entre este exploit y otros programas de espionaje desarrollados por la compañía. Además, la vulnerabilidad de WhatsApp se había utilizado con fines políticos para atacar a un abogado de Londres que estaba involucrado en demandas contra NSO Group. Estas demandas acusaban a la empresa de invadir los teléfonos del disidente saudí Omar Abdulaziz, de espiar a activistas y periodistas mexicanos y a un ciudadano de Qatar. NSO Group ha negado su participación en la selección y ataque a las víctimas del malware, pero no ha dicho nada respecto a su desarrollo.
Las compañías como NSO Group tienen un archivo de cosas que pueden utilizarse para irrumpir en los dispositivos”, comentó John Scott-Railton, investigador del Citizen Lab de la Universidad de Toronto. “Este incidente deja en claro que cualquier persona con un teléfono puede ser víctima del tipo de vulnerabilidades que los clientes de estas compañías explotan. Esa es una realidad para todos nosotros”.
Fuentes
HOW HACKERS BROKE WHATSAPP WITH JUST A PHONE CALL • Wired
It’s 2019 and a WhatsApp call can hack a phone: Zero-day exploit infects mobes with spyware • The Register
WhatsApp Rushes to Fix Security Flaw Exposed in Hacking of Lawyer’s Phone • The New York Times
Ciberespías descubren como invadir teléfonos con una llamada de WhatsApp