Incidentes Asociados
WhatsApp ha solucionado una vulnerabilidad de día cero sin necesidad de hacer clic, explotada para instalar el software espía Graphite de Paragon en los dispositivos de las personas objetivo.
WhatsApp bloqueó una campaña de spyware de Paragon dirigida a periodistas y miembros de la sociedad civil tras los informes del grupo Citizen Lab de la Universidad de Toronto. La compañía confirmó que el problema se solucionó en diciembre de 2024 sin una actualización del cliente y no se asignó ningún CVE-ID.
En febrero, Meta anunció el descubrimiento y desmantelamiento de una campaña de malware a través de WhatsApp dirigida a periodistas y miembros de la sociedad civil con el software espía Paragon (también conocido como Graphite).
La campaña de hackeo se dirigió a 90 usuarios y fue interrumpida en diciembre. WhatsApp alertó inmediatamente a los usuarios afectados sobre una posible vulneración de sus dispositivos.
La empresa propiedad de Meta vinculó la campaña de hackeo con Paragon, un proveedor israelí de vigilancia comercial adquirido por AE Industrial Partners por 900 millones de dólares en diciembre de 2024.
Los expertos de Meta afirmaron que los actores de amenazas utilizaron un exploit de "clic cero" para comprometer los dispositivos objetivo sin interacción del usuario. WhatsApp no reveló la ubicación de las personas afectadas.
WhatsApp envió a Paragon una carta de cese y desistimiento y anunció que estaba explorando la posibilidad de iniciar acciones legales.
WhatsApp ha desmantelado una campaña de spyware de Paragon dirigida a varios usuarios, incluyendo periodistas y miembros de la sociedad civil. Nos hemos puesto en contacto directamente con las personas que creemos que se vieron afectadas. Este es el ejemplo más reciente de por qué las empresas de spyware deben rendir cuentas por sus acciones ilegales. WhatsApp seguirá protegiendo la comunicación privada de las personas», declaró un portavoz de la compañía a The Guardian (https://www.theguardian.com/technology/2025/jan/31/whatsapp-israel-spyware).
No hay informes oficiales sobre la campaña de spyware, pero los medios de comunicación informan que los cibercriminales podrían haber utilizado un archivo PDF especialmente diseñado como cebo. El archivo se envió a los usuarios objetivo tras ser añadidos a los chats grupales. John Scott-Railton, del grupo de investigación Citizen Lab, afirmó que primero analizaron los ataques y compartieron los hallazgos con WhatsApp.
Compartimos nuestro análisis de la infraestructura de Paragon con Meta, quienes nos informaron que los detalles fueron cruciales para su investigación en curso sobre Paragon. WhatsApp descubrió y mitigó un exploit activo de cero clic de Paragon y posteriormente notificó a más de 90 personas que creía que habían sido atacadas, incluyendo miembros de la sociedad civil en Italia», se lee en el informe publicado por Citizen Lab.
Citizen Lab mapeó la infraestructura de spyware de Paragon Solutions e identificó su herramienta "Graphite" mediante huellas digitales y certificados. Los investigadores vincularon Paragon con varias direcciones IP alojadas en empresas de telecomunicaciones locales, lo que sugiere que pertenecen a clientes gubernamentales. Un certificado digital mal configurado confirmó aún más la conexión, reforzando la evidencia de las operaciones globales de spyware de Paragon. La infraestructura que encontramos está vinculada a páginas web tituladas "Paragon" devueltas por direcciones IP en Israel (donde Paragon tiene su sede), así como a un certificado TLS que contiene el nombre de la organización "Graphite", que es el nombre del software espía de Paragon, y el nombre común "installerserver" (Pegasus, un producto espía de la competencia, utiliza el término "Servidor de Instalación" para referirse a un servidor diseñado para infectar un dispositivo con software espía).", se lee en el informe publicado por Citizen Labs.
El informe publicado por Citizen Lab sugiere que Australia, Canadá, Chipre, Dinamarca, Israel y Singapur podrían ser clientes del fabricante israelí de software espía Paragon Solutions.