Incidentes Asociados
Meta anunció el descubrimiento y desmantelamiento de una campaña de malware a través de WhatsApp dirigida a periodistas y miembros de la sociedad civil con el software espía Paragon (también conocido como Graphite).
La campaña de hackeo afectó a 90 usuarios y fue desmantelada en diciembre. WhatsApp ya les había alertado de una posible vulneración de sus dispositivos.
WhatsApp vinculó la campaña de hackeo con Paragon, un proveedor israelí de vigilancia comercial adquirido por AE Industrial Partners por 900 millones de dólares en diciembre de 2024.
Los expertos de Meta afirmaron que los actores de amenazas utilizaron un exploit de "clic cero" para comprometer los dispositivos objetivo sin interacción del usuario. WhatsApp no reveló la ubicación de las personas afectadas.
WhatsApp envió a Paragon una carta de cese y desistimiento y anunció que estaba explorando la posibilidad de emprender acciones legales.
WhatsApp ha desmantelado una campaña de spyware de Paragon dirigida a varios usuarios, incluyendo periodistas y miembros de la sociedad civil. Nos hemos puesto en contacto directamente con las personas que creemos que se vieron afectadas. Este es el último ejemplo de por qué las empresas de spyware deben rendir cuentas por sus acciones ilegales. WhatsApp seguirá protegiendo la comunicación privada de las personas", declaró un portavoz de la compañía a The Guardian.
No hay informes oficiales sobre la campaña de spyware, pero los medios de comunicación informan que los actores de amenazas podrían haber utilizado un archivo PDF especialmente diseñado como cebo. El archivo se envió a los usuarios objetivo después de que se les añadiera a los chats grupales.
John Scott-Railton, del grupo de investigación Citizen Lab, afirmó que primero analizaron los ataques y compartieron los hallazgos con WhatsApp. Citizen Lab planea publicar un informe detallado más adelante.
Paragon ha sido vinculado públicamente por primera vez a una campaña de hackeo dirigida a periodistas y miembros de la sociedad civil. A diferencia de otros proveedores de software espía, como Intellexa y NSO Group, no participó en ataques investigados públicamente. En 2024, su filial estadounidense firmó un contrato con el Servicio de Inmigración y Control de Aduanas de EE. UU. tras demostrar que su tecnología contaba con controles para evitar el uso indebido. En diciembre, WhatsApp ganó un caso legal contra NSO Group en un tribunal estadounidense por explotar una vulnerabilidad para distribuir el software espía Pegasus. Will Cathcart, de WhatsApp, calificó el fallo como una importante victoria en materia de privacidad, enfatizando la responsabilidad de las empresas de software espía tras cinco años de batalla legal.
Los documentos judiciales indican que el 29 de octubre de 2019, los demandantes presentaron esta demanda, alegando que los demandados utilizaron WhatsApp para atacar a aproximadamente 1400 teléfonos móviles y dispositivos con el fin de infectarlos con el software de vigilancia.
Los productos de software relevantes de los demandados, denominados colectivamente "Pegasus", permiten a sus clientes utilizar una versión modificada de la aplicación WhatsApp, conocida como "Servidor de Instalación de WhatsApp" o "WIS". El WIS, entre otras cosas, permite a los clientes de los demandados enviar archivos "cifrados" con "vectores de instalación" que, en última instancia, les permiten vigilar a los usuarios objetivo. Según el documento judicial, publicado, "Como se mencionó anteriormente, los demandantes alegan que la conducta de los demandados constituyó una violación de la CFAA, la CDAFA y un incumplimiento de contrato".
El tribunal estadounidense dictaminó que NSO Group no presentó repetidamente pruebas clave, incluido el código fuente de Pegasus, e impuso sanciones, reservando las sanciones más severas para más adelante.
WhatsApp declaró que NSO solo proporcionó el código del servidor de AWS, no el código base completo. El juez Hamilton criticó el incumplimiento de NSO, alegando preocupaciones sobre la transparencia.
El tribunal declaró a NSO Group responsable de incumplir las condiciones de servicio de WhatsApp al utilizar la plataforma con fines maliciosos. WhatsApp celebró la decisión. como una victoria para la privacidad.