Incidentes Asociados
El grupo de investigación Citizen Lab de la Universidad de Toronto realizó un análisis de ataques con spyware desarrollado por la empresa israelí Paragon Solutions, lo que condujo al descubrimiento de una vulnerabilidad de día cero en la aplicación de comunicaciones WhatsApp de Meta.
Paragon existe desde 2019 y su spyware se llama Graphite. La empresa afirma que, a diferencia de NSO Group y otras empresas de vigilancia cuyas soluciones han sido utilizadas por regímenes autoritarios para atacar a activistas, políticos y periodistas, cuenta con medidas de seguridad para prevenir dicho abuso.
Citizen Lab ha encontrado evidencia del uso de Graphite en Australia, Canadá, Dinamarca, Singapur, Israel y Chipre. Hay indicios de que la policía canadiense ha utilizado el spyware.
El spyware Graphite fue noticia recientemente por su uso contra ciudadanos italianos, incluyendo usuarios de dispositivos Android y iPhone. En febrero, el gobierno italiano negó haber espiado a periodistas y activistas migrantes con el software espía Paragon.
Meta advirtió recientemente a 90 usuarios en dos docenas de países que habían sido víctimas del software espía Paragon a través de WhatsApp.
Al menos algunos de estos ataques implicaron la explotación de un día cero de WhatsApp que no requería interacción del usuario, según Citizen Lab.
Compartimos detalles sobre nuestro mapeo de la infraestructura de Paragon con Meta, ya que creíamos que WhatsApp podría utilizarse como vector de infección. Meta nos informó que estos detalles eran cruciales para su investigación en curso sobre Paragon. Meta compartió información con WhatsApp que les permitió identificar, mitigar y atribuir un exploit de cero clics de Paragon, según Citizen Lab.
Los exploits de WhatsApp, en particular los de cero clics, pueden ser muy valiosos. WhatsApp no ha publicado un aviso sobre la vulnerabilidad y no parece haber asignado un identificador CVE, lo que indica que la vulnerabilidad de día cero probablemente se haya corregido en el servidor y que los usuarios no necesitan realizar ninguna acción.
Además del uso de una vulnerabilidad de día cero, WhatsApp confirmó a Citizen Lab que un componente de Android identificado como BigPretzel, que ha estado involucrado en ataques dirigidos a sus usuarios, también está asociado con Paragon.
Citizen Lab señaló que la evidencia recientemente descubierta parece contradecir las afirmaciones de Paragon sobre los tipos de entidades a las que se dirigen sus soluciones.
"Los aproximadamente 90 objetivos notificados por WhatsApp probablemente representan una fracción del número total de casos de Paragon. Sin embargo, en los casos ya investigados, existe un patrón preocupante y familiar de ataques contra grupos de derechos humanos, críticos del gobierno y periodistas", declaró Citizen Lab.
**ACTUALIZACIÓN: Los representantes de WhatsApp informaron a SecurityWeek que lograron abordar la vulnerabilidad (que describen como un "vector de ataque") a finales del año pasado, sin necesidad de una solución del lado del cliente. Los ataques implicaban el uso de grupos y el envío de un archivo PDF.