WhatsApp, hackeado: reconocen un bug que permitía interceptar cualquier móvil

La historia reciente de Facebook está llena de polémicas y escándalos de seguridad, una larga lista a la que se acaba de sumar un grave problema que afectó durante un tiempo indeterminado a WhatsApp, su aplicación de mensajería y un pilar dentro de la estrategia de la compañía.

Según ha reconocido Facebook en un comunicado, a principios de mayo solventaron el que quizás era el problema de seguridad de WhatsApp más importante hasta la fecha. Se trataba de una vulnerabilidad que permitía a un atacante instalar spyware en un móvil con sólo hacer una llamada.

Así de fácil: ni siquiera era necesario responder a esa llamada. Cualquier hacker malintencionado podía instalar aplicaciones sin tu permiso en tu teléfono móvil, y es que entre otros permisos, WhatsApp tiene acceso al almacenamiento de los dispositivos. Es imprescindible para funcionar.

Con este spyware, Facebook estima que se han producido unos pocos casos de hackeos, casi siempre de la mano de alguna agencia de espionaje gubernamental. La aplicación en cuestión se asocia al grupo Pegasus, conocido por desarrollar software para agencias de inteligencia.

Según el comunicado y lo publicado por TechCrunch, hicieron falta menos de 10 días para actualizar la seguridad de la aplicación y solventar este bug, aunque quién sabe qué ocurrió durante el período de tiempo en el que fue posible hackear dispositivos de forma tan aparentemente sencilla.

Es uno de esos casos en los que empresas especializadas en encontrar brechas de seguridad dan con una antes que la propia desarrolladora de la aplicación. Es un negocio muy lucrativo y al que aparentemente no le faltan clientes.

En concreto, este exploit podría haber tenido consecuencias graves para defensores de los derechos humanos y asociaciones sin ánimo de lucro en distintos países, que podrían haber visto sus sistemas comprometidos a través de móviles infectados.

Una vez más, con este fallo de seguridad de WhatsApp salta a la palestra el debate sobre los permisos que se conceden a las aplicaciones. A priori inofensivos, sólo es necesario un bug en el desarrollo para poner datos de todo tipo a tiro de un hacker con la suficiente pericia.

Por qué no deberías preocuparte mucho por el hackeo de Whatsapp

Según ha admitido la propia compañía, era posible espiar el móvil de un usuario realizando una llamada y utilizando un sofisticado software, Pegasus, que hasta ocultaba su rastro.

Pese a la gravedad de este fallo de seguridad, un usuario de a pie no debería asustarte demasiado por esta información. Los motivos son varios, pero el más sencillo es que la mayoría de personas no tienen una información comprometedora.

Sólo algunos perfiles muy específicos podrían resultar interesante a una gran organización de ciberespionaje como la que, según apuntan Financial Times o la propia WhatsApp, ha diseñado el programa espía utilizado.

UN PROGRAMA ESPÍA CON MULTITUD DE VÍCTIMAS

El NSO Group es una empresa privada relacionada con los servicios de espionaje de Israel, por lo que a diferencia de hackers que entran en bases de datos y servidores de Facebook, Apple, Google o Amazon para filtrar millones de correos y contraseñas; estos expertos en ciberseguridad buscan a personas concretas.

Así se ha descubierto que el programa funcionaba con WhatsApp. Según Citizen Lab, ha sido posible parar un ataque dirigido a un abogado especializado en derechos humanos, y a raíz de ahí, aislar los pasos que seguía el software para acceder a los teléfonos.

En el pasado, sin embargo, el programa Pegasus se ha cobrado varias víctimas importantes.

Un ejemplo muy reciente es el de Jamal Khashoggi, periodista de origen saudí y columnista de opinión de The Washington Post que falleció en el Consulado de Arabia Saudía en Estambul. Fue torturado y asesinado por degollamiento, y su cuerpo fue posteriormente descuartizado.

Y según su entorno cercano y una investigación de The New York Times, un elemento clave en su final fue que su teléfono móvil había sido hackeado utilizando un programa de NSO Group.

No se explotó este bug de WhatsApp, pero se empleó un método similar: se envió un SMS con un enlace que, si la investigación está en lo cierto, él pulsó e infectó su móvil con software espía.

Otro caso incluso más famoso fue el de Joaquín Guzmán, más conocido como El Chapo, cuyos dispositivos se hackearon en 2011 con tecnología desarrollada por NSO Group. La empresa recibió oficialmente las gracias por su labor de la mano del por entonces presidente de México, Felipe Calderón.

Aunque se trate de «una campaña de ciberespionaje en toda regla», como asegura José Rosell, socio direcetor de S2 Grupo, el objetivo siempre es muy concreto, no masivo, por lo que los usuarios de a pie quedarían ninguneados y, en cierto modo, protegidos por la intencionalidad.

¿ENTONCES QUÉ HAGO?

Lo único de lo que debe preocuparse ahora mismo un usuario normal y corriente de Whatsapp es de actualizar la aplicación, pues cualquier versión anterior a la que hoy mismo se ha lanzado es susceptible de un hackeo por los métodos descubiertos.

Quienes tengan la versión 2.19.51 en iOS y la versión 2.19.139 en Android, sobre el papel, deberían ya estar protegidos.

La instalación de antivirus y otros programas que protegen el móvil no es del todo recomendable porque consumen recursos y pueden perjudicar al rendimiento del teléfono.

Siempre y cuando no descargues aplicaciones fuera de las tiendas oficiales de los móviles y no pulses en mensajes o enlaces de origen sospechoso, tu teléfono debería estar asegurado.