El equipo de seguridad de WhatsApp ha identificado y parcheado una vulnerabilidad crítica de tipo zero-day que estaba siendo activamente explotada para distribuir el software espía Graphite, desarrollado por la empresa israelí Paragon Solutions Ltd. Esta brecha de seguridad permitía a los atacantes ejecutar ataques zero-click, instalando automáticamente software malicioso en los dispositivos de los usuarios sin requerir ninguna interacción.
Sofisticado mecanismo de ataque y alcance de la amenaza
Según las investigaciones realizadas por Citizen Lab, los atacantes implementaron un método de compromiso altamente sofisticado. El proceso comenzaba con la adición de víctimas potenciales a grupos de WhatsApp, seguido del envío de un archivo PDF especialmente manipulado. Este documento, al ser procesado automáticamente por el dispositivo, desencadenaba la explotación de la vulnerabilidad zero-day, permitiendo la instalación del spyware Graphite. Este malware destacaba por su capacidad para evadir el sandbox de seguridad de Android y acceder a otras aplicaciones instaladas.
Infraestructura de vigilancia y conexiones gubernamentales
La investigación reveló una extensa infraestructura de servidores operada por Paragon, que incluía más de 150 certificados digitales y numerosas direcciones IP. Los investigadores identificaron vínculos con clientes gubernamentales de diversos países, incluyendo Australia, Canadá, Chipre, Dinamarca, Israel y Singapur. La infraestructura presentaba características similares a otras plataformas conocidas de vigilancia cibernética.
Respuesta de WhatsApp y medidas de protección
WhatsApp implementó una corrección para la vulnerabilidad a finales de 2024, sin necesidad de actualizar las aplicaciones cliente. La empresa notificó a aproximadamente 90 usuarios de Android en 20 países diferentes, principalmente periodistas y activistas, sobre la posible compromisión de sus dispositivos. Para detectar posibles infecciones en dispositivos Android, los expertos recomiendan buscar el artefacto denominado «BIGPRETZEL» en los registros del sistema.
Este incidente pone de manifiesto la creciente amenaza que representa el spyware comercial y la importancia de mantener actualizados los sistemas de protección de datos. Es fundamental que los usuarios mantengan sus aplicaciones actualizadas y sean conscientes de las amenazas potenciales. La industria de la ciberseguridad continúa trabajando en el desarrollo de medidas más efectivas para contrarrestar estas sofisticadas herramientas de vigilancia, mientras se hace un llamado a establecer regulaciones más estrictas para los desarrolladores de software de vigilancia.
