WhatsApp soluciona fallo de día 0 que permitía espiar a activistas y periodistas

WhatsApp eliminó una vulnerabilidad de día cero que se utilizaba para instalar el software espía Paragon Graphite, tras los informes de investigadores de Citizen Lab en la Universidad de Toronto.

La compañía cerró el vector de ataque a finales del año pasado sin necesidad de una actualización por parte de los usuarios. Se decidió no asignar un identificador CVE a la vulnerabilidad, ya que esto no cumplía con las recomendaciones de MITRE ni con los estándares internos de WhatsApp.

Los representantes del servicio informaron que notificaron a los usuarios afectados, incluidos periodistas y activistas, sobre la posibilidad de que sus dispositivos hayan sido comprometidos. WhatsApp también destacó la importancia de responsabilizar a las empresas que desarrollan software espía.

El 31 de enero, después de la eliminación del exploit, WhatsApp advirtió a unos 90 usuarios de Android en más de una veintena de países, entre los cuales había periodistas y activistas de Italia. La vulnerabilidad permitía a los atacantes cargar el software espía Graphite en los dispositivos de las víctimas sin su conocimiento. El ataque comenzaba con la adición del objetivo a un grupo de WhatsApp y el envío de un archivo PDF, que era procesado automáticamente por el sistema y conducía a la instalación del implante malicioso.

Una vez infectado, Graphite obtenía acceso a otras aplicaciones del dispositivo, eludiendo los mecanismos de protección de Android. Como resultado, los atacantes podían interceptar los mensajes de las víctimas, escuchar llamadas y recopilar datos confidenciales. Los expertos de Citizen Lab identificaron un artefacto característico denominado BIGPRETZEL, que podría ayudar a detectar la infección, aunque la ausencia de rastros en los registros no garantiza que un dispositivo no haya sido atacado.

Los investigadores también analizaron la infraestructura de Paragon utilizada para distribuir el software malicioso y descubrieron posibles vínculos con estructuras gubernamentales de varios países, incluidos Australia, Canadá, Chipre, Dinamarca, Israel y Singapur. La investigación de dominios, certificados digitales y direcciones IP permitió identificar 150 certificados vinculados a decenas de servidores de control.

Parte de esta infraestructura probablemente esté alquilada por Paragon o sus clientes, mientras que otra parte podría estar en posesión de los propios contratistas gubernamentales. En particular, en los servidores se encontraron referencias a «Paragon», así como certificados que contenían el nombre «Graphite» y el término «installerserver», similar a cómo el software espía Pegasus usa «Installation Server» para infectar dispositivos.

La empresa Paragon Solutions Ltd. fue fundada en 2019 por el ex primer ministro de Israel Ehud Barak y el excomandante de la unidad 8200 de Israel Ehud Schneorson. En diciembre de 2024, fue adquirida por el grupo de inversión estadounidense AE Industrial Partners.

Paragon afirma que vende sus tecnologías únicamente a agencias de aplicación de la ley y de inteligencia de países democráticos para combatir el crimen. Sin embargo, varios casos sugieren que Graphite pudo haber sido utilizado en situaciones no relacionadas con sus propósitos declarados, incluida la vigilancia de periodistas y activistas. Esto plantea dudas sobre el grado de control en la aplicación de este software espía.