Finalmente, por primera vez, un proveedor de servicios de mensajería encriptada inicia acciones legales contra una entidad privada que ha realizado ataques maliciosos contra sus usuarios.
Facebook presentó una demanda contra la empresa israelí de vigilancia móvil NSO Group el martes, alegando que la empresa participó activamente en la piratería de usuarios de su servicio de mensajería encriptada de WhatsApp de extremo a extremo.
A principios de este año, se descubrió que WhatsApp tenía una vulnerabilidad crítica que los atacantes explotaban para instalar de forma remota el software espía Pegasus en dispositivos Android e iOS específicos.
La falla (CVE-2019-3568) permitió que los atacantes instalaran de manera silenciosa la aplicación de software espía en los teléfonos específicos simplemente realizando una videollamada de WhatsApp con solicitudes especialmente diseñadas, incluso cuando no se respondió la llamada.
Desarrollado por NSO Group, Pegasus permite el acceso remoto a una cantidad increíble de datos de los teléfonos inteligentes de las víctimas, incluidos sus mensajes de texto, correos electrónicos, chats de WhatsApp, detalles de contacto, registros de llamadas, ubicación, micrófono y cámara.
Pegasus es el producto insignia de NSO que se ha utilizado anteriormente contra varios activistas de derechos humanos y periodistas, desde México hasta los Emiratos Árabes Unidos hace dos años, y el personal de Amnistía Internacional en Arabia Saudita y otro defensor de los derechos humanos saudita fundado en el extranjero el año pasado.
Aunque NSO Group siempre afirma que vende legalmente su spyware solo a los gobiernos sin una participación directa, el director de WhatsApp, Will Cathcart, dice que la compañía tiene evidencia de la participación directa de NSO Group en los recientes ataques contra los usuarios de WhatsApp.
NSO Group violó los términos de servicio de WhatsApp
En una demanda presentada (PDF) en el Tribunal de Distrito de EE. UU. en San Francisco hoy, Facebook dijo que NSO Group había violado los términos de servicio de WhatsApp al usar sus servidores para propagar el software espía a aproximadamente 1400 dispositivos móviles durante un ataque en abril y mayo de este año.
La compañía también cree que el ataque tuvo como objetivo «al menos 100 miembros de la sociedad civil, lo cual es un patrón inequívoco de abuso», aunque dice que este número puede aumentar a medida que se presenten más víctimas.
“Este ataque fue desarrollado para acceder a los mensajes después de que fueron descifrados en un dispositivo infectado, abusando de las vulnerabilidades en la aplicación y los sistemas operativos que alimentan nuestros teléfonos móviles”, dijo WhatsApp, propiedad de Facebook, en una publicación de blog.
«Los acusados (atacantes) crearon cuentas de WhatsApp que usaron y provocaron que se usaran para enviar código malicioso a dispositivos de destino en abril y mayo de 2019. Las cuentas se crearon usando números de teléfono registrados en diferentes países, incluidos Chipre, Israel, Brasil, Indonesia, Suecia y los Países Bajos».
Los usuarios objetivo incluyen abogados, periodistas, activistas de derechos humanos, disidentes políticos, diplomáticos y otros altos funcionarios de gobiernos extranjeros, con números de WhatsApp de diferentes códigos de países, incluido el Reino de Bahrein, los Emiratos Árabes Unidos y México.
WhatsApp dijo que la compañía envió una nota de advertencia a los 1.400 usuarios afectados por este ataque, informándoles directamente sobre lo sucedido.
Facebook también ha nombrado a la empresa matriz de NSO Group, ‘Q Cyber Technologies’, como segundo defensor en el caso.
“La denuncia alega que violaron las leyes de EE. UU. y California, así como los Términos de servicio de WhatsApp, que prohíben este tipo de abuso”, afirma la demanda.
Ahora, la compañía ha demandado a NSO Group en virtud de las leyes estatales y federales de los Estados Unidos, incluida la Ley de Abuso y Fraude Informático, así como la Ley Integral de Fraude y Acceso a Datos Informáticos de California.
