Documentos legales publicados como parte de una disputa legal en curso entre WhatsApp de Meta y NSO Group han revelado que el proveedor de software espía israelí utilizó múltiples exploits dirigidos a la aplicación de mensajería para distribuir Pegasus, incluido uno incluso después de que Meta lo demandara por hacerlo.
También muestran que NSO Group encontró repetidamente formas de instalar la herramienta de vigilancia invasiva en los dispositivos del objetivo mientras WhatsApp erigía nuevas defensas para contrarrestar la amenaza.
En mayo de 2019, WhatsApp afirmó haber bloqueado un sofisticado ciberataque que explotaba su sistema de videollamadas para distribuir malware Pegasus de forma subrepticia. El ataque aprovechó una falla de día cero identificada como CVE-2019-3568 (puntuación CVSS: 9,8), un error crítico de desbordamiento de búfer en la funcionalidad de llamadas de voz.
Los documentos muestran que NSO Group "desarrolló otro vector de instalación (conocido como Erised) que también utilizó servidores de WhatsApp para instalar Pegasus". El vector de ataque, un exploit de cero clic que podría comprometer el teléfono de una víctima sin ninguna interacción de esta, fue neutralizado en algún momento después de mayo de 2020, lo que indica que se empleó incluso después de que WhatsApp presentara una demanda en su contra en octubre de 2019.
Se cree que Erised es uno de los muchos vectores de malware de este tipo, denominados colectivamente Hummingbird, que NSO Group había ideado para instalar Pegasus utilizando WhatsApp como conducto, incluidos los rastreados como Heaven y Eden, el último de los cuales es un nombre clave para CVE-2019-3568 y se había utilizado para atacar a unos 1.400 dispositivos.
"[NSO Group] admitió que desarrolló esos exploits extrayendo y descompilando el código de WhatsApp, aplicando ingeniería inversa a WhatsApp y diseñando y utilizando su propio 'Servidor de instalación de WhatsApp' (o 'WIS') para enviar mensajes malformados (que un cliente legítimo de WhatsApp no podría enviar) a través de los servidores de WhatsApp y, de ese modo, provocar que los dispositivos de destino instalen el agente espía Pegasus, todo ello en violación de las leyes federales y estatales y del lenguaje sencillo de los Términos de servicio de WhatsApp", según los documentos judiciales revelados.
Específicamente, Heaven usó mensajes manipulados para obligar a los servidores de señalización de WhatsApp, que se utilizan para autenticar al cliente (es decir, la aplicación instalada), a dirigir los dispositivos de destino a un servidor de retransmisión de terceros controlado por NSO Group.
Se dice que las actualizaciones de seguridad del lado del servidor realizadas por WhatsApp a fines de 2018 impulsaron a la compañía a desarrollar un nuevo exploit, llamado Eden, en febrero de 2019 que eliminó la necesidad del servidor de retransmisión propio de NSO Group a favor de retransmisiones operadas por WhatsApp.
"NSO se negó a declarar si desarrolló más vectores de malware basados en WhatsApp después del 10 de mayo de 2020", según uno de los documentos. "NSO también admite que los vectores de malware se utilizaron para instalar con éxito Pegasus en 'entre cientos y decenas de miles' de dispositivos".
Además, los documentos ofrecen una mirada detrás de escena a cómo se instala Pegasus en el dispositivo de un objetivo usando WhatsApp, y cómo es NSO Group, y no el cliente, el que opera el software espía, lo que contradice afirmaciones anteriores de la compañía israelí.
"El papel de los clientes de NSO es mínimo", afirman los documentos. "El cliente solo tenía que introducir el número del dispositivo de destino y 'pulsar Instalar, y Pegasus instalaría el agente en el dispositivo de forma remota sin necesidad de intervención alguna'". En otras palabras, el cliente simplemente realiza un pedido de datos de un dispositivo de destino y NSO controla todos los aspectos del proceso de recuperación y entrega de datos a través de su diseño de Pegasus.
NSO Group ha mantenido en repetidas ocasiones que su producto está destinado a ser utilizado para combatir la delincuencia grave y el terrorismo. También ha insistido en que sus clientes son responsables de gestionar el sistema y tienen acceso a la información recopilada por este.
En septiembre de 2024, Apple presentó una moción para desestimar "voluntariamente" su demanda contra NSO Group, citando un panorama de riesgos cambiante que podría llevar a la exposición de información crítica de "inteligencia de amenazas" y que "tiene el potencial de poner en riesgo información de seguridad vital".
En los años intermedios, el fabricante del iPhone ha ido añadiendo nuevas funciones de seguridad para dificultar los ataques de software espía. Hace dos años, introdujo el modo de bloqueo como una forma de reforzar las defensas del dispositivo, reduciendo la funcionalidad de varias aplicaciones como FaceTime y Mensajes, así como bloqueando los perfiles de configuración.
Luego, a principios de esta semana, surgieron informes de un nuevo mecanismo de seguridad en las versiones beta de iOS 18.2 que reinicia automáticamente el teléfono si no se desbloquea durante 72 horas, lo que requiere que los usuarios, incluidas las agencias policiales que puedan tener acceso a los teléfonos de los sospechosos, vuelvan a ingresar la contraseña para acceder al dispositivo.
Magnet Forensics, que ofrece una herramienta de extracción de datos llamada GrayKey, confirmó la función de "reinicio por inactividad", afirmando que el disparador está "vinculado al estado de bloqueo del dispositivo" y que "una vez que un dispositivo ha entrado en un estado bloqueado y no se ha desbloqueado dentro de las 72 horas, se reiniciará".
"Debido al nuevo temporizador de reinicio por inactividad, ahora es más imperativo que nunca que se tomen imágenes de los dispositivos lo antes posible para garantizar la adquisición de la mayor cantidad de datos disponibles", agregó.
