NEGOCIOS

La demanda de WhatsApp dice que el fabricante israelí de spyware explotó su aplicación para apuntar a 1.400 usuarios

Imagen de primer plano extremo de WhatsApp en el teléfono inteligente.

Facebook y su división de mensajería WhatsApp demandaron el martes al fabricante de software espía con sede en Israel NSO Group. Esta es una acción legal sin precedentes que apunta a la industria no regulada que vende sofisticados servicios de malware a gobiernos de todo el mundo. NSO negó enérgicamente las acusaciones.

Durante un lapso de 11 días a fines de abril y principios de mayo, alega la demanda, NSO atacó alrededor de 1400 teléfonos móviles que pertenecían a abogados, periodistas, activistas de derechos humanos, disidentes políticos, diplomáticos y altos funcionarios de gobiernos extranjeros. Para infectar a los objetivos con el software espía avanzado y con todas las funciones de NSO, la empresa explotó una vulnerabilidad crítica de WhatsApp que funcionaba contra dispositivos iOS y Android. El exploit sin clic se entregó cuando los atacantes hicieron una videollamada. Los objetivos no necesitan haber respondido a la llamada ni haber realizado ninguna otra acción para estar infectados.

Enrutamiento de malware a través de los servidores de WhatsApp

Según la denuncia, NSO creó cuentas de WhatsApp a partir de enero de 2023 que iniciaban llamadas a través de los servidores de WhatsApp e inyectaban código malicioso en la memoria de los dispositivos objetivo. Los teléfonos objetivo luego usarían los servidores de WhatsApp para conectarse a servidores maliciosos supuestamente mantenidos por NSO. La demanda, presentada en la corte federal del Distrito Norte de California, decía:

Con el fin de comprometer los Dispositivos de destino, los Demandados enrutaron e hicieron que se enrutara código malicioso a través de los servidores de los Demandantes, incluidos los Servidores de Señalización y los Servidores de Retransmisión, ocultos dentro de una parte del protocolo de red normal. Los Servidores de Señalización de WhatsApp facilitaron el inicio de llamadas entre diferentes dispositivos utilizando el Servicio de WhatsApp. Los servidores de retransmisión de WhatsApp facilitaron ciertas transmisiones de datos a través del servicio de WhatsApp. Los Demandados no estaban autorizados a usar los servidores de los Demandantes de esta manera.

Aproximadamente entre abril y mayo de 2023, los Demandados usaron y provocaron el uso, sin autorización, de los Servidores de señalización de WhatsApp, en un esfuerzo por comprometer los Dispositivos de destino. Para evitar las restricciones técnicas integradas en los servidores de señalización de WhatsApp, los Demandados formatearon los mensajes de iniciación de llamadas que contenían código malicioso para que parecieran una llamada legítima y ocultaron el código dentro de la configuración de llamadas. Ocultar el código malicioso como configuración de llamadas permitió a los Demandados enviarlo al dispositivo de destino e hizo que el código malicioso pareciera que se originó en los servidores de señalización de WhatsApp. Una vez que las llamadas de los Demandados se enviaron al Dispositivo de destino, inyectaron el código malicioso en la memoria del Dispositivo de destino, incluso cuando el Usuario de destino no respondió la llamada.

100 miembros de la sociedad civil de 20 países

Los críticos de la industria del spyware han dicho durante mucho tiempo que NSO y sus competidores venden productos y servicios a gobiernos opresivos que los usan para atacar a abogados, periodistas, defensores de los derechos humanos y otros grupos que no representan una amenaza legítima. Citizen Lab, un grupo de investigación de la Universidad de Toronto que rastrea campañas de piratería patrocinadas por gobiernos, se ofreció como voluntario para ayudar a Facebook y WhatsApp a investigar los ataques a sus usuarios. Citizen Lab dijo que entre los objetivos de la campaña había 100 miembros de la «sociedad civil» de 20 países.

Citizen Lab dijo que los objetivos incluían:

  • varias mujeres prominentes que han sido objeto de violencia cibernética
  • prominentes figuras religiosas de múltiples religiones
  • reconocidos periodistas y personalidades de la televisión
  • defensores de los derechos humanos
  • abogados que trabajan en derechos humanos
  • funcionarios en organizaciones humanitarias
  • personas que han enfrentado intentos de asesinato y amenazas de violencia, así como sus familiares

«La industria del spyware comercial es una que ha tratado de crearse un espacio en el que no se puede rendir cuentas, acercándose a los gobiernos a los que les vende cosas y al mismo tiempo negando cualquier responsabilidad por los abusos realizados con sus herramientas», John Scott-Railton, Citizen Lab. investigador principal, me dijo. «La demanda de WhatsApp, que es importante y sienta un precedente, rompe esa distinción falsa y deja en claro que están dispuestos a responsabilizar a NSO por el Lejano Oeste que existe en la industria del spyware en general y se refleja en el conjunto de objetivos».

En un correo electrónico, los representantes de NSO escribieron:

En los términos más enérgicos posibles, cuestionamos las acusaciones de hoy y las combatiremos enérgicamente. El único propósito de NSO es proporcionar tecnología a las agencias gubernamentales de inteligencia y aplicación de la ley con licencia para ayudarlos a combatir el terrorismo y los delitos graves. Nuestra tecnología no está diseñada ni tiene licencia para su uso contra activistas de derechos humanos y periodistas. Ha ayudado a salvar miles de vidas en los últimos años.

La verdad es que las redes de pedófilos, los capos de la droga y los terroristas suelen utilizar plataformas fuertemente encriptadas para proteger sus actividades delictivas. Sin tecnologías sofisticadas, las agencias de aplicación de la ley destinadas a mantenernos a todos a salvo enfrentan obstáculos insuperables. Las tecnologías de NSO brindan soluciones proporcionadas y legales a este problema.

Consideramos cualquier otro uso de nuestros productos que no sea para prevenir delitos graves y el terrorismo como un uso indebido, que está prohibido por contrato. Tomamos medidas si detectamos algún uso indebido. Esta tecnología tiene sus raíces en la protección de los derechos humanos, incluido el derecho a la vida, la seguridad y la integridad física, y es por eso que hemos buscado la alineación con los Principios Rectores de las Naciones Unidas sobre las empresas y los derechos humanos, para asegurarnos de que nuestros productos respeten todos los derechos fundamentales. derechos humanos.

La demanda decía que los usuarios objetivo tenían números de WhatsApp con códigos de país del Reino de Bahrein, los Emiratos Árabes Unidos y México. Los informes públicos, incluidos los aquí, aquí y aquí, han enumerado a los gobiernos de los tres países como clientes de NSO.

Facebook y WhatsApp cerraron los ataques el 13 de mayo con una actualización de software que corrigió la vulnerabilidad crítica. Según la denuncia, un empleado de NSO respondió a la medida diciendo: «Acaba de cerrar nuestro control remoto más grande para celulares… Está en las noticias de todo el mundo». Según un comunicado de WhatsApp, los funcionarios de la empresa enviaron un mensaje especial a los aproximadamente 1400 usuarios objetivo informándoles del ataque.

En un artículo de opinión publicado por The Washington Post, Will Cathcart, director de WhatsApp, escribió:

Esto debería servir como una llamada de atención para las empresas de tecnología, los gobiernos y todos los usuarios de Internet. Se está abusando de las herramientas que permiten la vigilancia de nuestra vida privada, y la proliferación de esta tecnología en manos de empresas y gobiernos irresponsables nos pone a todos en peligro.

NSO ha negado previamente cualquier participación en el ataque, afirmando que «bajo ninguna circunstancia NSO estaría involucrado en el funcionamiento… de su tecnología». Pero nuestra investigación encontró lo contrario. Ahora, buscamos responsabilizar a NSO según las leyes estatales y federales de EE. UU., incluida la Ley de abuso y fraude informático de EE. UU.

Cathcart agregó: «Si bien su ataque fue muy sofisticado, sus intentos de cubrir sus huellas no fueron del todo exitosos».

La denuncia del martes alega que NSO violó la Ley de Abuso y Fraude Informático, la Ley Integral de Fraude y Acceso a Datos Informáticos de California y una ley de California que rige el incumplimiento de contrato. La acción busca una orden judicial permanente que prohíba a NSO acceder a los servidores de WhatsApp, crear o usar cuentas de WhatsApp o Facebook, o violar aún más los términos de servicio de WhatsApp.

Además de las aplicaciones y servidores de Facebook y WhatsApp, NSO supuestamente usó servidores propiedad de Amazon Web Services y hosts más pequeños Choopa y Quadrant. Los servidores arrendados conectaron los dispositivos específicos a una red de servidores remotos que fueron diseñados para distribuir malware y enviar comandos a los dispositivos una vez que estaban infectados. La denuncia del martes decía que una dirección IP asignada a uno de los servidores maliciosos fue utilizada previamente por un subdominio operado por NSO.

Ahora que Facebook y WhatsApp han dado el paso sin precedentes de demandar a un proveedor de spyware por usar sus servidores para apuntar a sus usuarios, será interesante ver si Amazon y los otros hosts de servidores mencionados en la demanda hacen lo mismo. Hasta ahora, no han respondido a los correos electrónicos en busca de comentarios.

Artículo Recomendado:  Deshabilite el administrador de trabajos de impresión de Windows para evitar ataques, dice Microsoft a los clientes

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba