Paragon Spyware: Explotación de una Vulnerabilidad Zero-Day en WhatsApp
Investigadores han descubierto evidencia contundente que vincula a la empresa israelí Paragon Solutions con una operación de spyware sofisticada que explotó una vulnerabilidad zero-day en WhatsApp para atacar a periodistas y miembros de la sociedad civil. Este caso destaca los riesgos asociados con el uso de herramientas de vigilancia avanzadas y su potencial abuso contra actores legítimos.
Contexto de Paragon Solutions
Fundada en 2019 en Israel, Paragon Solutions cuenta entre sus fundadores a figuras destacadas como Ehud Barak, ex primer ministro israelí, y Ehud Schneorson, excomandante de la Unidad 8200 de inteligencia israelí. La empresa comercializa su software espía Graphite como una herramienta más precisa que accede a aplicaciones de mensajería sin tomar “control completo” del dispositivo, a diferencia del conocido spyware Pegasus del Grupo NSO.
Un ejecutivo de Paragon afirmó previamente que la compañía solo vendería a gobiernos que “respeten las normas internacionales y los derechos fundamentales”. Sin embargo, este caso cuestiona dicha afirmación, ya que se ha demostrado que el spyware fue utilizado contra periodistas y activistas.
Infraestructura y Alcance de Paragon
La investigación de Citizen Lab comenzó con una pista sobre una infraestructura de servidores distintiva. Utilizando técnicas de huella digital única, identificaron aproximadamente 150 certificados vinculados a los servidores de comando y control de Paragon. Estos servidores estaban desplegados en varios países, incluyendo Australia, Canadá, Chipre, Dinamarca, Israel y Singapur.
Además, se encontraron vínculos sospechosos entre Paragon y la Policía Provincial de Ontario (OPP) en Canadá. Los investigadores identificaron registros de direcciones IP bajo el nombre “Integrated Communications”, coincidiendo con la dirección de la sede general de la OPP. Esto refuerza informes previos sobre el uso creciente de tecnologías de spyware por agencias de aplicación de la ley sin supervisión pública adecuada.
Explotación de la Vulnerabilidad Zero-Day en WhatsApp
El ataque consistió en enviar archivos PDF maliciosos a través de chats grupales de WhatsApp. Cuando los destinatarios recibían estos archivos, sus dispositivos procesaban automáticamente el PDF, explotando la vulnerabilidad para cargar el implante de spyware Graphite sin interacción del usuario. Este tipo de ataque, conocido como “zero-click”, es particularmente peligroso debido a su sigilo y eficacia.
Aproximadamente 90 usuarios en más de dos docenas de países fueron objetivo de este ataque, incluyendo periodistas y miembros de organizaciones de la sociedad civil. El spyware logró escapar del sandbox de Android y comprometer otras aplicaciones en los dispositivos afectados, otorgando a los atacantes acceso a las aplicaciones de mensajería de las víctimas.
WhatsApp descubrió y mitigó la explotación en diciembre de 2024. La vulnerabilidad fue parcheada sin necesidad de una actualización del lado del cliente, lo que sugiere que se corrigió en el servidor. No se asignó un identificador CVE a esta vulnerabilidad.
Colaboración con Meta y Análisis Forense
Los investigadores compartieron su análisis de infraestructura con Meta, lo que resultó “fundamental” para la investigación en curso de Paragon. Esta colaboración permitió a WhatsApp identificar, mitigar y atribuir la explotación zero-click activamente desplegada contra objetivos específicos.
El 31 de enero de 2025, WhatsApp notificó a aproximadamente 90 cuentas que se cree fueron objetivo del spyware de Paragon. Varios destinatarios de estas notificaciones en Italia consintieron en un análisis forense de sus dispositivos, confirmándose la presencia de un artefacto único denominado “BIGPRETZEL”, asociado con infecciones de Paragon.
Implicaciones y Respuesta Gubernamental
Un caso relacionado involucró a David Yambio, fundador de Refugees in Libya, quien recibió una notificación de Apple sobre un intento de infección con spyware en noviembre de 2024. El análisis forense reveló un intento de infectar su iPhone con un nuevo spyware en junio de 2024, el cual fue parcheado en iOS 18.
Tras negaciones iniciales, el gobierno italiano confirmó ser cliente de Paragon, aunque negó haber dirigido ataques contra periodistas y activistas. Posteriormente, anunció la suspensión de los despliegues de Paragon pendientes de investigación.
Este caso desafía las afirmaciones de Paragon sobre un modelo de negocio a prueba de abusos, demostrando que el spyware comercial, incluso cuando se vende a gobiernos democráticos, sigue siendo vulnerable al uso indebido contra actores legítimos de la sociedad civil.
Para más detalles, consulta la fuente original.
