Francisco Rodríguez
NSO Group, la empresa de espionaje israelí que en México saltó a la fama por el mal uso que el gobiernito de Enrique Peña Nieto dio a su malware Pegasus –intervino los celulares de activistas, periodistas y hasta el del hijo de Carmen Aristegui, menor de edad a la sazón– , desarrolló apenas un exploit de WhatsApp que podría inyectar un nuevo malware en teléfonos específicos y robarles información simplemente llamándolos. Así que si recibes una llamada de un número que no tengas en tu directorio, mejor no contestes.
El vendedor de Pegasus y de otros malwares espías usados en el sexenio de EPN y en varios gobiernos estatales, señaladamente el del Estado de México, es Rodrigo Ruiz de Teresa, hijo del ex coordinador de Puertos y Marina Mercante, miembro de la pandilla que capitanea Emilio Gamboa Patrón. Un negocio redondo pues los precios que por estos malwares cobran es exorbitante, lo que no importa pues son pagados con recursos de nosotros los pagaimpuestos.
Un nuevo informe de la publicación británica Financial Times alega que las víctimas de este nuevo malware de NSO Group no detectan la infección de sus teléfonos, y las llamadas a menudo no dejan rastro en el registro del teléfono. Pero, ¿cómo funcionaría un hack como ese en primer lugar?
Wired, la revista especializada en temas de tecnología, señala que “WhatsApp, plataforma que ofrece mensajes cifrados de forma predeterminada a sus 1 mil 500 millones de usuarios en todo el mundo, descubrió la vulnerabilidad a principios de este mes de mayo y lanzó un parche apenas este último lunes 13. La compañía, que pertenece a Facebook, dijo al Departamento de Comercio de Estados Unidos que contactó a varios grupos de derechos humanos sobre el tema y que la explotación de esta vulnerabilidad conlleva ‘todas las características de una empresa privada que se sabe que trabaja con los gobiernos para entregar software espía’. En una declaración, empero, el Grupo NSO negó cualquier participación en la selección o el destino de las víctimas, pero no su papel en la creación del propio hack.
En la misma publicación se lee que WhatsApp no dio detalles sobre cómo descubrió el error o proporcionó detalles sobre cómo funciona, pero la compañía dice que está realizando actualizaciones de infraestructura además de presionar un parche para garantizar que los clientes no puedan ser atacados con otra llamada telefónica.
Su justificación: “Los errores explotables remotamente pueden existir en cualquier aplicación que reciba datos de fuentes no confiables”, dice Karsten Nohl, científico jefe de la firma alemana Security Research Labs. Eso incluye las llamadas de WhatsApp, que utilizan el protocolo de voz sobre internet para conectar a los usuarios. Las aplicaciones de VoIP tienen que reconocer las llamadas entrantes y notificarle sobre ellas, incluso si no contesta. “Cuanto más complejo es el análisis de datos, más espacio para el error”, dice Nohl. “En el caso de WhatsApp, el protocolo para establecer una conexión es bastante complejo, por lo que definitivamente hay espacio para errores explotables que pueden activarse aún sin que el otro extremo conteste la llamada”.
Según el aviso de seguridad de Facebook, la vulnerabilidad de WhatsApp surgió de un tipo de error extremadamente común conocido como desbordamiento de búfer. Las aplicaciones tienen una especie de bolígrafo de retención, llamado búfer, para esconder datos adicionales. Una clase popular de ataques sobrecarga estratégicamente ese búfer, de modo que los datos se “desbordan” en otras partes de la memoria. Esto puede causar bloqueos o, en algunos casos, darles a los atacantes un punto de apoyo para obtener más y más control. Eso es lo que pasó con WhatsApp. El hack explota el hecho de que, en una llamada VoIP, el sistema debe estar preparado para un rango de posibles entradas del usuario: recoger, rechazar la llamada, etc.
“Esto realmente suena como un incidente extraño, pero en el fondo parece ser un problema de desbordamiento de búfer que desafortunadamente no es muy infrecuente en estos días”, dice Bjoern Rupp, CEO de la firma alemana de comunicaciones seguras CryptoPhone. “La seguridad nunca fue el objetivo principal de diseño de WhatsApp, lo que significa que WhatsApp tiene que depender de pilas VoIP complejas que son conocidas por tener vulnerabilidades”.
El error de WhatsApp se estaba explotando para atacar solo a un pequeño número de activistas de alto perfil y disidentes políticos, por lo que la mayoría de las personas no se verían afectadas por esto en la práctica. Pero aún debe descargar el parche en sus dispositivos Android e iOS.
“Compañías como el Grupo NSO intentan mantener un poco de cosas que pueden usarse para acceder a los dispositivos”, dice John Scott-Railton, investigador principal del Laboratorio de Ciudadanos de la Universidad de Toronto. “Este incidente deja bastante claro que cualquier persona con un teléfono se ve afectada por el tipo de vulnerabilidades que los clientes de estas empresas están lanzando.”
https://indicepolitico.com / indicepolitico@gmail.com / @IndicePolitico / @pacorodriguez