WhatsApp confirma falla que permitía que espiaran las conversaciones y pide a usuarios actualizar la aplicación

WhatsApp admitió ayer que ha sido afectada por una vulnerabilidad en su aplicación que permitió que piratas informáticos instalaran un software espía en algunos teléfonos y accediesen así a los datos contenidos en los dispositivos.

La aplicación ha reconocido a su vez que no puede precisar cuántas personas fueron afectadas, pero aseguró que las víctimas fueron elegidas "de forma específica", de manera que en principio no se trataría de un ataque a gran escala.

Entre los afectados, estarían varias organizaciones en defensa de los derechos humanos, lo que ha empujado a la empresa a considerar la implicación de "una compañía privada que aparentemente funciona para estados con el fin de proporcionar servicios de spyware".

Según varios expertos, esta empresa sería NSO Group, un grupo de espionaje de origen israelí que ya ha actuado en el pasado de manera similar.

No se conoce aún el número de afectados

La app de mensajería adquirida por Facebook en 2014 confirmó toda esta información tras su publicación en Financial Times.

WhatsApp pidió inmediatamente a sus 1.500 millones de usuarios que actualizaran "la aplicación a su última versión" y a mantener el sistema operativo al día como medida de protección. El spyware tuvo capacidad para infectar a teléfonos con sistema operativo de Apple (iOS) o de Google (Android).

A la hora de publicación de esta noticia, WhatsApp ya ha lanzado una actualización tanto para móviles iPhone como para Android. Quienes tengan la versión 2.19.51 en iOS y la versión 2.19.139 en Android, sobre el papel, deberían ya estar protegidos.

Actualiza la app de Whatsapp

El problema de WhatsApp estaría presente en todas las versiones de la app que coincidan o sean previas a las siguientes
WhatsApp para Android v2.19.134
WhatsApp Business para Android v2.19.44
WhatsApp para iOS v2.19.51
WhatsApp Business for iOS v2.19.51
WhatsApp para Windows Phone v2.18.348
WhatsApp para Tizen v2.18.15.

El spyware o software espía que se instalaba en los teléfonos "se asemeja" a la tecnología desarrollada por la empresa de ciberseguridad israelí NSO Group, lo que llevó a WhatsApp a situarla como principal sospechosa detrás del programa de espionaje.

Para paliar futuros problemas, la compañía también ha trabajado durante la última semana para evitar que ataques similares se puedan realizar en el futuro con otros programas espía.

Cómo funciona el software espía

Los hackers hacían una llamada a través de WhatsApp al teléfono a cuyos datos deseaban acceder y, aunque el receptor no cogiera la llamada, el programa se instalaba inadvertidamente. Su sofistificación es tal que, posteriormente, la llamada desaparecía del historial de la app. Esto ha hecho su identificación casi imposible.

Según explica José Rosell, socio director de S2 Grupo, la vulnerabilidad permitía "una inyección de código en el dispositivo móvil" que permitía "tomar el control del dispositivo.

Se trataba de "ataques dirigidos, no masivos" en los que el atacante tenía que saber quién era su víctima, pues era necesario conocer su teléfono. "Es una campaña de ciberespionaje en toda regla", resume Rosell.

Lo más grave, en todo caso, es que WhatsApp conoció la existencia de este fallo hace menos de un mes y, aunque ha avisado a usuarios y a afectados de ello, no está claro durante cuánto tiempo se ha podido utilizar para espiar.

WhatsApp aseguró que nada más conocer que se habían producido los ataques avisó a organizaciones de derechos humanos (que se encontraban entre las víctimas del espionaje), a empresas de ciberseguridad y al Departamento de Justicia de Estados Unidos.

Que algunas de las organizaciones afectadas sean plataformas de defensa de los derechos humanos refuerza la hipótesis de la implicación por parte de NSO Group, ya que su software ha sido usado en el pasado para llevar ataques contra este tipo de entidades.

NSO Group, que opera de forma opaca y durante muchos años lo hizo en secreto, diseña software espía para sus clientes, entre los que se encuentran Gobiernos de todo el mundo, que lo usan para acceder a dispositivos móviles y obtener información.

No obstante, Rosell considera que es muy complicado atribuir la autoría del ataque. Aunque el software sí es parecido al usado por NSO Group, esto no quiere decir que la compañía esté detrás, lo que también dificulta saber quién se ha visto afectado por él.

Consejos de seguridad

El primer consejo que da Rosell a los usuarios, y que hace extensivo a cualquier aplicación, es "que no esperen ni un minuto a actualizar las aplicaciones". Las nuevas versiones no siempre incluyen nuevas funciones, pero no por eso deben ser ignoradas aquellas que corrigen errores.

"Absolutamente todas las aplicaciones tienen vulnerabilidades", algo que "va unido al uso que se hace de ellas". Es decir, cuanto más se usan, más fallos se podrán descubrir. El problema es que hasta que el sector no las conoce, no se pueden corregir y, en este caso, al tratarse de un ataque dirigido, las pistas eran más sutiles y se tardó más en 'parchear' WhatsApp.

Por otro lado, recomienda "usar el sentido común". "Es muy difícil detectar un ataque, pero siempre hay pistas". De este modo, si se recibe una llamada perdida desconocida -especialmente si ésta desaparece después- o si el teléfono funciona de forma extraña, conviene acudir a un especialista.

En este sentido, Rosell recuerda que una persona también es su entorno y que, aunque a primera vista pueda pensar que su perfil no sería atractivo para un atacante, sí podría serlo por su lugar de trabajo o por sus contactos. Por lo tanto, incide, "siempre hay que actualizar".