WhatsApp, propiedad de Meta, ha confirmado que logró detener una campaña de spyware dirigida a 90 periodistas y activistas de la sociedad civil en más de dos docenas de países. La amenaza, atribuida a la empresa israelí Paragon Solutions, fue neutralizada en diciembre de 2024.
Según declaraciones de WhatsApp a The Guardian, la plataforma notificó a los usuarios afectados y expresó su «alta confianza» en que los dispositivos fueron atacados y posiblemente comprometidos. Sin embargo, aún no se ha determinado quién estuvo detrás de esta operación ni durante cuánto tiempo se llevó a cabo.
Ataque «Zero-Click»: Sin Necesidad de Interacción del Usuario
Lo más preocupante de esta campaña es que se trató de un ataque «zero-click», lo que significa que el spyware se instala sin que el usuario realice ninguna acción. Se sospecha que los atacantes utilizaron un archivo PDF malicioso enviado a personas que fueron añadidas a chats grupales de WhatsApp.
Meta informó que los atacantes tenían objetivos en varios países europeos y que, tras detectarlos, la empresa envió notificaciones a las víctimas y recomendaciones de seguridad.
Respuesta de WhatsApp y Consecuencias para Paragon Solutions
En respuesta a este incidente, WhatsApp ha enviado a Paragon Solutions una carta de «cese y desista», advirtiendo sobre las consecuencias legales del mal uso de su tecnología. Además, Meta evalúa acciones legales adicionales.
Esta es la primera vez que Paragon Solutions es vinculada a un caso de espionaje cibernético de esta magnitud. Su software de vigilancia, llamado Graphite, se ofrece a clientes gubernamentales con el propósito de combatir amenazas digitales. Sin embargo, su uso indebido ha generado un intenso debate sobre la regulación de la industria del spyware.
En el pasado, se reveló que agencias como la DEA de Estados Unidos usaron Graphite para operaciones antinarcóticos, y que el Departamento de Seguridad Nacional firmó un contrato de 2 millones de dólares con Paragon.
Contexto y Repercusiones Legales
La revelación de Meta llega semanas después de que un juez de California fallara a favor de WhatsApp en su demanda contra NSO Group, empresa creadora de Pegasus, por haber utilizado su infraestructura para distribuir spyware a 1.400 dispositivos en 2019.
Además, el exministro de Justicia de Polonia, Zbigniew Ziobro, fue arrestado recientemente por aprobar el uso de Pegasus para espiar a líderes de la oposición.
Conclusión de Ciberseguridad: ¿Cómo Protegerse de Ataques de Spyware?
Este caso refuerza la importancia de la ciberseguridad y la privacidad digital. Para protegerse de ataques de spyware, se recomienda:
✅ Mantener WhatsApp y otras aplicaciones actualizadas para evitar vulnerabilidades.
✅ Evitar descargar archivos sospechosos, incluso en chats de confianza.
✅ Activar la verificación en dos pasos para reforzar la seguridad de la cuenta.
✅ Limitar la participación en grupos desconocidos para reducir el riesgo de ataques «zero-click».
✅ Usar software de seguridad en dispositivos móviles que detecte y prevenga amenazas.
Este incidente es un nuevo llamado de atención sobre los peligros del software espía comercial y la necesidad de regular su uso a nivel global. WhatsApp reafirma su compromiso con la privacidad y seguridad de los usuarios, pero la responsabilidad de la protección digital también recae en cada usuario.
🔐 La ciberseguridad no es opcional. Es una necesidad en la era digital.
