Los últimos años en España han estado marcados por el uso de software espía para rastrear a personas importantes de la sociedad. El caso más famoso fue el de Pegasus, el eficaz software espía que no deja rastro y que es tan difícil de rastrear. Recordemos que este mismo programa afectó a montones de políticos en España, incluyendo el propio teléfono del presidente del Gobierno, Pedro Sánchez, lo que forzó a la empresa israelí NSO Group a revelar su código. La app WhatsApp habría sido la última en sufrir las consecuencias de estas apps.
A través de WhatsApp en portales como TechCrunch o 9to5Mac, la compañía de Mark Zuckerberg ha desmantelado una campaña de ciberataques con spyware que habrían afectado a 90 personalidades importantes, incluyendo periodistas y «miembros de la sociedad civil», según relata un portavoz de la compañía. Este software de espionaje estaría ligado a Paragon, desarrolladora israelí que comparte nacionalidad con la propia NSO Group de Pegasus.
Lo más preocupante de este ataque es que es un spyware de tipo zero-click, lo que implica que no necesita intervención alguna del usuario para que se active. Es decir, basta con que la víctima pueda recibir ese mensaje y así tener instalado dicho software malicioso. En este sentido, y según relata The Guardian, se habría usado el spyware Graphite, que rivaliza directamente a nivel comercial con Pegasus. Es sí, es importante no confundir ambos programas; esta vez ha sido un software llamado Graphite y no Pegasus el que se ha usado para dicha campaña.
Casi 100 periodistas afectados
El método de propagación de esta campaña de software malicioso fue más sencillo de lo que pueda parecer. Según WhatsApp, los atacantes usaron archivos PDF maliciosos enviados a través de grupos dentro de la aplicación. Bastaba con que el usuario final descargase ese archivo malicioso para tener su teléfono infectado, sin más requirimientos por parte de la víctima. Cabe aclarar que ya se ha publicado una solución para acabar con este método.
La compañía de mensajería instantánea también ha aclarado que se han puesto en contacto «con las personas que creemos que se han visto afectadas», y denuncian que este tipo de empresas queden impunes tras estos actos. El portavoz relata que estas compañías, a su juicio, «deben rendir cuentas por sus acciones ilegales», lo que ha llevado a que desde Meta emitan una carta de cese y desista a Paragon, desarrolladora de Graphite.
WhatsApp cree que para infectar a los usuarios finales, los atacantes agregaron en grupos a todas estas víctimas compartiendo un archivo PDF. La compañía Citizen Lab de la Universidad de Toronto, que se encarga de rastrear y manejar esta clase de amenazas digitales, pudo compartir detalles importantes que ayudaron a WhatsApp a comprender el tipo de metodología usada por los hackers.
En 2023, el medio Financial Times determinó que el gobierno de los Estados Unidos usó Graphite de forma sistémica, para aprovechar un software que copia las principales virtudes de Pegasus. Graphite evita el cifrado de apps como Signal o WhatsApp y se encarga, entre otras cosas, de ‘colarse’ dentro de estas apps para recolectar información como datos de copias de seguridad en la nube, datos sensibles de los usuarios infectados, etcétera.
[Actualiza tu iPhone ya: Apple corrige dos peligrosos fallos en los que vuelve a colarse Pegasus]
John Scott-Railton, investigador sénior de The Citizen Lab, explicó a TechCrunch que ya había estado rastreando esta campaña de ataques usando esta metodología de ataques; de ahí que la compañía pudiera proporcionar a WhatsApp esta importante información. En 2024 se descubrió, por otro lado, que Paragon había firmado un contrato con el Servicio de Inmigración y Control de Aduanas de Estados Unidos en septiembre de ese mismo año.
Este sería el primer caso en el que Paragon ha sido acusada de forma abierta de haber estado vinculada a un ataque de altas proporciones contra periodistas y personalidades similares. Algo que habrían intentado evitar a toda costa, para favorecer la venta de sus soluciones de software espía.
Es un caso diametralmente contrario al de NSO Group, que acabó en la misma lista negra que Huawei y llevando a que el uso de Graphite en Estados Unidos estuviera totalmente prohibido.
