Crédito:CC0 Public Domain
La revelación de WhatsApp, propiedad de Facebook, de una falla de seguridad que permite a los piratas informáticos inyectar software espía en los teléfonos inteligentes generó nuevas preocupaciones sobre la seguridad del ecosistema móvil.
Aquí hay cinco preguntas y respuestas clave:
¿Qué pasó con WhatsApp?
El agujero de seguridad en la aplicación de mensajería de WhatsApp podría permitir a un atacante inyectar malware para obtener acceso a los teléfonos inteligentes Android o Apple.
WhatsApp reparó la falla esta semana después de que se le informara que el software espía se estaba utilizando para rastrear a activistas de derechos humanos y abogados.
Los investigadores de seguridad creen que los atacantes utilizaron el poderoso software espía Pegasus de NSO Group, con sede en Israel. Según un análisis reciente del software realizado por la firma de seguridad Lookout, Pegasus puede "subvertir" la seguridad del dispositivo y "roba la lista de contactos de la víctima y la ubicación GPS, así como personal, Wifi, y contraseñas del enrutador almacenadas en el dispositivo ".
La infección podría echar raíces con una simple llamada a través de WhatsApp. Para empeorar las cosas, es posible que las víctimas no sepan que sus teléfonos están infectados porque el malware permitió a los atacantes borrar los historiales de llamadas.
Esta entrega fue "particularmente aterradora, "dijo el investigador de seguridad John Dickson de Denim Group, porque infectó dispositivos sin ninguna acción del usuario.
"Normalmente, un usuario tiene que hacer clic en algo o ir a un sitio, pero ese no fue el caso aquí, "Dijo Dickson." Y una vez que (el atacante) está dentro, ellos son dueños del dispositivo, pueden hacer cualquier cosa ".
¿A quién culpar?
Si bien se descubrió la falla en WhatsApp, Los expertos en seguridad dicen que cualquier aplicación podría haber sido un "vehículo" para la carga útil del software espía.
"Todavía no hemos podido escribir software que no tenga errores o fallas, "dijo Joseph Hall, tecnólogo jefe del Center for Democracy &Technology, un grupo de derechos digitales.
Hall dijo que el cifrado de WhatsApp no estaba roto y que "la respuesta de Facebook fue extremadamente rápida".
Marc Lueck, de la empresa de seguridad Zscaler, dijo que, según la respuesta de Facebook, "Debería felicitarlos por descubrirlo en primer lugar, esta fue una vulnerabilidad muy profunda ".
La intrusión en WhatsApp "no fue un ataque al cifrado, fue un ataque a otro elemento de la aplicación ", dijo Lueck.
¿Sigue valiendo la pena el cifrado?
El cifrado sigue siendo una característica importante al establecer un "túnel" seguro entre dos partes que verifica sus identidades, Señaló Lueck.
"El cifrado no es importante solo para la privacidad, es importante para la confianza " él dijo.
El cifrado utilizado por WhatsApp y otras aplicaciones de mensajería evita la escucha clandestina de mensajes y conversaciones, pero no protege contra un ataque que obtiene acceso al dispositivo en sí. nota de los investigadores.
"El cifrado de extremo a extremo no protege contra los ataques en su punto final, verdadero. Y los cinturones de seguridad y las bolsas de aire no hacen nada para evitar que su automóvil sea golpeado por un meteorito, "tuiteó Matt Blaze, un experto en seguridad informática de la Universidad de Georgetown.
"Si bien ninguno protege contra todos los posibles daños, ambos siguen siendo las defensas más eficaces contra daños muy comunes ".
Dickson dijo que si bien ningún cifrado es infalible, la única forma de evitar por completo la piratería sería evitar por completo la electrónica:"Podrías usar chicos a caballo".
¿Debería preocuparme por ser atacado?
Laboratorio ciudadano, un centro de investigación en la Universidad de Toronto, dijo en un informe de 2018 que encontró infecciones de software espía Pegasus en 45 países, con 36 "probables operadores gubernamentales".
NSO sostiene que entrega su software con fines legítimos de aplicación de la ley y de inteligencia. Pero los investigadores de Toronto dijeron que lo habían obtenido países con antecedentes de derechos humanos "dudosos" y sugirieron que podría haber sido utilizado por Arabia Saudita para rastrear y matar al periodista disidente Jamal Khashoggi.
Los investigadores de Citizen Lab escribieron en el Globe &Mail que "descubrieron al menos 25 casos de ataques abusivos a grupos de defensa, abogados científicos e investigadores, investigadores sobre desapariciones masivas y miembros de los medios ".
Pero Lueck dijo que programas como Pegasus son extremadamente costosos y los piratas informáticos no pueden monetizarlos fácilmente con fines de lucro.
"Su persona promedio no es el objetivo de este software específico, que está diseñado para vender a los gobiernos para dirigirse a las personas y no funciona a gran escala, " él dijo.
Todavía, Lueck dijo que la falla subraya el hecho de que "el ecosistema de la telefonía móvil se ha convertido en una plataforma tan insegura y vulnerable como la computadora".
¿Los gobiernos necesitan mejores herramientas digitales?
Las revelaciones se producen cuando los gobiernos buscan mejores herramientas para rastrear a los delincuentes y extremistas mediante mensajes cifrados. Una ley australiana requiere que los gigantes tecnológicos eliminen las protecciones electrónicas y ayuden con el acceso a dispositivos o servicios.
Los organismos encargados de hacer cumplir la ley se han quejado de "apagarse" frente a las comunicaciones electrónicas cifradas mientras investigan delitos graves como el terrorismo y los delitos sexuales contra niños.
Pero Hall dijo que las noticias sobre Pegasus muestran que los gobiernos tienen herramientas para explotar fallas de software para objetivos específicos sin debilitar el cifrado y la privacidad de todos los usuarios.
"Puede orientar la entrega a personas específicas en lugar de acceder al teléfono de todos a la vez, " él dijo.
© 2019 AFP