WhatsApp ha presentado una demanda en un tribunal federal acusando al fabricante israelí de vigilancia móvil NSO Group de crear un exploit que se utilizó cientos de veces para piratear el teléfono del objetivo.

La demanda, presentada en un tribunal federal de California, dijo que el equipo de vigilancia móvil “desarrolló su malware para acceder a los mensajes y otras comunicaciones después de que fueron descifrados” en los dispositivos objetivo.

El ataque funcionó explotando una vulnerabilidad de llamadas de audio en WhatsApp. Puede parecer que los usuarios reciben una llamada ordinaria, pero el malware infectaría silenciosamente el dispositivo con spyware, dando a los atacantes acceso completo al dispositivo.

En algunos casos, sucedió tan rápido, que el teléfono del objetivo puede no haber sonado en absoluto.

Debido a que WhatsApp está encriptada de extremo a extremo, es casi imposible acceder a los mensajes mientras atraviesan Internet. Pero en los últimos años, los gobiernos y las compañías de software espía móviles han comenzado a apuntar a los dispositivos donde se enviaron o recibieron los mensajes. La lógica dice que si piratea el dispositivo, puede obtener sus datos.

Eso es lo que WhatsApp dice que sucedió.

WhatsApp, propiedad de Facebook, parchó rápidamente la vulnerabilidad. Aunque la culpa recayó rápidamente en NSO Group, WhatsApp no ​​acusó públicamente a la compañía en ese momento, hasta ahora.

En un artículo de opinión publicado poco después de que se presentó la demanda, el jefe de WhatsApp, Will Cathcart, dijo que el gigante de la mensajería “se enteró de que los atacantes usaban servidores y servicios de alojamiento de Internet que anteriormente estaban asociados” con NSO Group, y que ciertas cuentas de WhatsApp se usaron durante el proceso. Los ataques se remontan a la empresa.

“Si bien su ataque fue altamente sofisticado, sus intentos de cubrir sus huellas no fueron del todo exitosos”, dijo Cathcart.

El ataque implicó disfrazar el código malicioso como configuración de llamadas, permitiendo que el equipo de vigilancia entregara el código como si viniera de los servidores de señalización de WhatsApp. Una vez que las llamadas maliciosas fueron entregadas al teléfono del objetivo, “inyectaron el código malicioso en la memoria del dispositivo objetivo, incluso cuando el objetivo no respondió la llamada”, decía la queja. Cuando se ejecutó el código, envió una solicitud a los servidores de la empresa de vigilancia y descargó malware adicional en el dispositivo del objetivo.

En total, unos 1.400 dispositivos específicos fueron afectados por el exploit, según la demanda.

La mayoría de las personas no se vieron afectadas por el exploit de WhatsApp. Pero WhatsApp dijo que más de 100 defensores de derechos humanos, periodistas y “otros miembros de la sociedad civil” fueron el blanco del ataque.

Otros objetivos incluyen funcionarios gubernamentales y diplomáticos.

En un comunicado, NSO Group dijo: “En los términos más enérgicos posibles, disputamos las acusaciones de hoy y lucharemos enérgicamente contra ellas”.