WhatsApp ha corregido recientemente una vulnerabilidad de tipo día cero que permitía la instalación del spyware Graphite, desarrollado por la empresa Paragon. Esta falla, que no requería que el usuario hiciera clic en nada para ser explotada, fue utilizada para espiar a periodistas y miembros de la sociedad civil.
Afortunadamente, WhatsApp solucionó el problema a finales del año pasado sin que los usuarios tuvieran que intervenir, por lo que no fue necesario asignar un CVE-ID. Además, la compañía se puso en contacto directamente con las personas que pudieron haber sido afectadas para advertirles sobre la situación. Este incidente es un claro recordatorio de que incluso las plataformas más seguras pueden ser blanco de amenazas avanzadas.
¿Cómo funcionó el ataque del spyware Paragon en WhatsApp?
Este caso es un claro ejemplo de por qué las empresas que desarrollan software espía deben rendir cuentas por sus acciones. WhatsApp, por su parte, se ha comprometido a seguir protegiendo la privacidad de sus usuarios.
El pasado 31 de enero, tras haber bloqueado el exploit de clic cero que se usó en estos ataques, WhatsApp alertó a unos 90 usuarios de Android en más de 20 países que habían sido objetivos del spyware Paragon. Entre las víctimas había periodistas y activistas italianos, a quienes intentaron espiar para robar información privada.
Los atacantes usaron una táctica bastante sigilosa: primero añadieron a las víctimas a un grupo de WhatsApp y luego les enviaron un archivo PDF malicioso. Lo grave es que el archivo se procesaba automáticamente en el teléfono, sin que el usuario tuviera que abrirlo. Esto aprovechaba una vulnerabilidad de día cero (ya corregida) para instalar el spyware Graphite directamente en WhatsApp.
Una vez dentro del sistema, el spyware se extendía a otras apps del dispositivo burlando las medidas de seguridad de Android. Esto le daba a los atacantes acceso completo a las aplicaciones de mensajería y a la información personal de las víctimas, lo que representa una seria amenaza para la privacidad.
Exploit de clic cero del software espía Graphite para Android
Detectar el spyware Graphite en dispositivos Android no es tarea fácil, pero hay una herramienta forense llamada BIGPRETZEL que puede ayudar a encontrar rastros del malware analizando los registros del sistema.
Eso sí, el hecho de no encontrar evidencia no garantiza que el dispositivo esté limpio. Debido a que los registros de Android pueden ser algo irregulares, es posible que las pistas se sobrescriban o simplemente no se hayan capturado.
Un grupo de investigadores también logró rastrear la infraestructura del servidor que Paragon utilizó para desplegar el spyware Graphite en los dispositivos de sus víctimas. Durante este análisis, encontraron posibles conexiones con clientes gubernamentales en países como Australia, Canadá, Chipre, Dinamarca, Israel y Singapur.
A partir del análisis de uno de los servidores vinculados a Paragon, los expertos lograron identificar múltiples patrones digitales que revelaron 150 certificados digitales conectados a varias direcciones IP, las cuales parecen formar parte de una red de control utilizada para gestionar el spyware.
Toma de huellas dactilares de la infraestructura Paragon (Fuente: Citizen Lab)
Podría interesarte leer: Apps OAuth Falsas de Adobe y DocuSign Atacan cuentas de Microsoft 365
La conexión de Paragon con gobiernos y agencias internacionales
Los investigadores descubrieron que la infraestructura utilizada para distribuir el spyware Graphite incluía tanto servidores en la nube (posiblemente alquilados por Paragon o sus clientes) como servidores que, probablemente, están alojados directamente en las instalaciones de la propia Paragon o de sus clientes gubernamentales.
Parte de esta infraestructura estaba vinculada a páginas web con el nombre Paragon, que fueron rastreadas a través de direcciones IP en Israel, donde la empresa tiene su sede. Además, encontraron un certificado TLS con el nombre de la organización Graphite (nombre del spyware de Paragon) y la referencia a un servidor llamado installerserver, un término que también usa el spyware Pegasus para describir los servidores que instalan malware en los dispositivos infectados.
Paragon Solutions Ltd. es una empresa israelí de software espía fundada en 2019 por Ehud Barak, ex primer ministro de Israel, y Ehud Schneorson, ex comandante de la reconocida Unidad 8200 (la división de inteligencia militar del país). En diciembre de 2024, la empresa fue adquirida por el grupo de inversión AE Industrial Partners, con sede en Florida.
A diferencia de competidores como NSO Group, Paragon afirma que sus herramientas de vigilancia solo se venden a agencias policiales e instituciones de inteligencia en países democráticos con el objetivo de combatir el crimen organizado y otras amenazas graves.
Sin embargo, en diciembre de 2022, el New York Times reveló que la DEA (Administración para el Control de Drogas de EE.UU.) había utilizado el spyware Graphite. Dos años después, en octubre de 2024, Wired informó que ICE (Servicio de Inmigración y Control de Aduanas de EE.UU.) firmó un contrato de 2 millones de dólares con Paragon para usar sus herramientas de vigilancia.
