Una vulnerabilidad de WhatsApp permitió spyware masivo en iPhone y Android

Una vulnerabilidad de WhatsApp permitió instalar spyware en dispositivos móviles iOS y Android, según ha detallado el Financial Times. WhatsApp ha confirmado la información y ha publicado una actualización que se recomienda instalar a la mayor brevedad.

El caso es grave teniendo en cuenta el espionaje masivo sobre potencialmente 1.500 millones de usuarios que usan la aplicación de mensajería instantánea líder del segmento. Además, el software espía pudo instalarse simplemente con una llamada, sin la necesidad de que el usuario que la recibiera tuviera que responderla.

El exploit, causó supuestamente un desbordamiento de búfer en la pila VoIP de WhatsApp al enviar paquetes bajo el protocolo Secure RTP Control a los números de teléfono destino. Una vez inyectado, el spyware pudo encender la cámara y el micrófono de un teléfono, escanear correos electrónicos y mensajes, y recopilar los datos de ubicación del usuario.

Y todo ello sin dejar ningún tipo de rastro o registro en ninguna parte del terminal, por lo que es posible que los usuarios hayan sido atacados y ni siquiera se hayan dado cuenta.

Espera, que hay más. Lo peor del asunto es que el código malicioso descubierto fue desarrollado por la compañía israelita NSO Group. Valorada en 1.000 millones de dólares, está especializada -supuestamente- en el desarrollo de soluciones de seguridad gubernamentales contra el terrorismo y la delincuencia.

NSO Group es bien conocida, sobretodo por su software estrella, Pegasus, que se cree utilizan al menos 30 gobiernos en todo el mundo y que no es la primera vez que causa estragos en Internet. La compañía se enfrenta actualmente a una intensa presión legal en Israel por parte de grupos de derechos humanos como Amnistía Internacional. 

WhatsApp no ha mencionado explícitamente a NSO, sino a la probabilidad de que haya sido explotada por un grupo que ha trabajado con gobiernos en el pasado. NSO ha declinado cualquier responsabilidad en el asunto declarando que «bajo ninguna circunstancia utiliza su tecnología para espiar a personas u organizaciones, ya que ésta solo es operada por agencias de inteligencia y de aplicación de la ley».

Sea quien sea el responsable, las acusaciones son conocidas y repetidas: bajo la excusa de la «seguridad» se está espiando a mansalva a millones de usuarios y empresas que no son terroristas ni delincuentes, violando todas las normativas de privacidad. 

WhatsApp ha denunciado el caso ante las autoridades estadounidenses y dice que aún se encuentra en las primeras etapas de la investigaciones, por lo que no está claro cuántas personas se han visto afectadas. Se recomienda la actualización inmediata a la última versión publicada del cliente de mensajería.