(CNN Business) – La conclusión explosiva de los consultores de ciberseguridad y funcionarios de las Naciones Unidas de que el hombre más rico del mundo, Jeff Bezos, presidente de Amazon, fue hackeado, ha planteado nuevas preguntas sobre la seguridad de millones de aplicaciones y dispositivos comunes que la gente usa todos los días.
¿Cómo llegaron los atacantes al iPhone de Bezos en primer lugar? Y si alguien tan poderoso como Bezos puede verse comprometido de esta manera, ¿podrías estar tú en riesgo también?
Esto es lo que sabemos hasta ahora.
Lo que le sucedió a Bezos
Bezos fue hacheado en mayo de 2018 después de recibir un mensaje de WhatsApp del príncipe heredero saudita Mohammed bin Salman, según un análisis forense realizado por un equipo contratado por Bezos y revisado por investigadores de la ONU.
Una fuente cercana al equipo de la ONU dijo que los investigadores de la ONU no tenían acceso físico directo al teléfono de Bezos, pero que revisaron exhaustivamente la investigación realizada por FTI Consulting, los expertos independientes en seguridad cibernética contratados por Bezos.
Según los hallazgos de los expertos, el mensaje sospechoso contenía un archivo de video. Poco después de que se entregó el video, el dispositivo transfirió cientos de megabytes de datos del teléfono, aparentemente sin el conocimiento de Bezos.
Si el análisis forense es exacto, quien haya estado detrás del ataque robó más de 6 gigabytes de información de esta manera en los siguientes meses, dijeron investigadores de la ONU en su evaluación.
Arabia Saudita negó que fuera responsable de piratear el dispositivo de Bezos.
“Los informes de los medios recientes que sugieren que el Reino está detrás de un hackeo del teléfono del señor Jeff Bezos son absurdos”, tuiteó el martes la embajada saudí en Washington. “Solicitamos una investigación sobre estos reclamos para que podamos tener todos los hechos”.
En su primer comentario público el miércoles desde que surgieron las noticias sobre el hackeo, Bezos tuiteó una foto de él mismo asistiendo a un servicio conmemorativo para Jamal Khashoggi, el periodista de The Washington Post que fue asesinado por agentes sauditas en 2018, en un ataque que la CIA dijo que fue personalmente ordenado por el príncipe heredero. “#Jamal”, decía el tuit. The Washington Post es propiedad de Bezos. (El príncipe heredero ha dicho que, como líder de Arabia Saudita, asume “plena responsabilidad” por la muerte de Khashoggi, pero niega la responsabilidad personal).
- Mira: Arabia Saudita niega haber hackeado el teléfono de Jeff Bezos
Cómo funcionó el ataque
Al estudiar el iPhone de Bezos, los expertos forenses parecían no encontrar nada malo con el video en sí, según la evaluación de la ONU. Pero el resto del mensaje incluía un poco de código adicional indescifrable. En circunstancias normales, este código adicional es inofensivo. Ayuda a WhatsApp a transmitir mensajes hacia y desde sus usuarios. Pero debido a que WhatsApp codifica sus mensajes, utilizando una tecnología llamada encriptación, los investigadores no pudieron saber si, esta vez, el código también contenía software malicioso escrito por piratas informáticos.
El software encriptado, y lo que podría ocultar, está emergiendo como un punto focal para los datos y los expertos en seguridad nacional que dicen que aún se necesita más investigación. El miércoles, expertos en Citizen Lab, un grupo de investigación con sede en la Universidad de Toronto, ofrecieron una posible solución para descifrar el software adicional para que pueda ser estudiado.
¿Debería preocuparme de ser hackeado como Bezos?
Se necesita un actor sofisticado y recursos significativos para llevar a cabo un truco como el presentado en el informe, dicen los expertos en seguridad cibernética, por lo que es un desperdicio usar herramientas de intrusión en la mayoría de las personas comunes.
Los precios de mercado para la explotación de teléfonos celulares pueden variar entre 50.000 y 150.000 dólares, dijo James Lewis, vicepresidente senior y experto en ciberseguridad del Centro de Estudios Estratégicos e Internacionales.
Pero ejecutivos poderosos de negocios y altos funcionarios gubernamentales tienen buenas razones para estar preocupados, agregó Lewis.
“Si eres un multimillonario dueño de un periódico, sí, ellos irán a por ti”, dijo Lewis. “Si eres un activista de derechos humanos, si eres político, si eres un alto funcionario, eres un buen objetivo”.
Esa lista también podría incluir a funcionarios de la administración Trump como Jared Kushner, quien, como Bezos, se ha comunicado con el príncipe heredero saudí en WhatsApp. Los abogados de la Casa Blanca han determinado que WhatsApp tiene permitido su uso siempre que el personal no comparta información clasificada y mantenga registros de sus conversaciones. Kushner conoce esas reglas y las cumple, dijo previamente un funcionario del Gobierno de EE.UU. a CNN. El Consejo de Seguridad Nacional se negó a comentar el miércoles cuando se le preguntó sobre las conversaciones de Kushner en WhatsApp con el príncipe heredero y cualquier preocupación sobre ellos.
Los ataques como el que se alega en el informe son parte de una tendencia preocupante, dijo el senador Ron Wyden, demócrata de Oregon, en una carta enviada a Bezos el miércoles por CNN. Wyden citó varios ejemplos de compras de software de piratería por parte del gobierno saudí a varios proveedores. Wyden le pidió a Bezos que proporcionara la mayor cantidad de información posible de la investigación.
“Estoy particularmente interesado en los detalles técnicos”, escribió Wyden, “que podrían ayudar al gobierno de Estados Unidos, a las empresas y a los investigadores independientes a descubrir a quién más podrían haber atacado y tomar medidas para protegerse”.
Incluso si no soy un objetivo, ¿existe el riesgo de usar WhatsApp?
No necesariamente, pero es difícil saberlo después de este ataque.
WhatsApp, propiedad de Facebook, ha enfrentado problemas de seguridad antes.
El año pasado, WhatsApp demandó a la compañía de tecnología israelí NSO Group, alegando que el software de vigilancia de la compañía abusó de las funciones de videollamadas de WhatsApp para espiar a activistas y periodistas. WhatsApp lo llamó una forma de “ataque cibernético” y cerró la capacidad del software para monitorear más a los usuarios. El Grupo NSO en ese momento negó las acusaciones de espionaje y prometió “luchar enérgicamente” la demanda, que todavía está pendiente ante un tribunal federal en California.
NSO Group regresó a las noticias esta semana cuando su software fue identificado como la causa “más probable” de que los datos se transfieran del teléfono de Bezos, según la evaluación de los investigadores de la ONU del informe de FTI Consulting.
En una declaración a CNN el miércoles, NSO Group negó cualquier participación en el hackeo del teléfono de Bezos y amenazó con emprender acciones legales contra aquellos que afirmaban lo contrario.
“Nuestra tecnología no se utilizó en este caso”, decía el comunicado. “Sabemos esto debido a cómo funciona nuestro software y nuestra tecnología no se puede usar en los números de teléfono de Estados Unidos. Nuestros productos solo se usan para investigar el terrorismo y los delitos graves. Cualquier sugerencia de que NSO está involucrada es difamatoria y la compañía tomará asesoría legal para abordar esta situación”.
Luego, en noviembre, WhatsApp lanzó otra actualización, abordando una vulnerabilidad que suena similar al ataque que se dice que ha comprometido el teléfono de Bezos. Esa falla permitió a los atacantes comprometer a un usuario de WhatsApp al enviarles un “archivo MP4 especialmente diseñado”. Por el momento, no está claro si Bezos fue víctima de esta vulnerabilidad o de otra diferente. WhatsApp declinó hacer comentarios.
En cualquier caso, dicen los expertos, robar tantos datos como la investigación afirma que fueron robados del teléfono de Bezos probablemente requeriría aprovechar múltiples vulnerabilidades que afectan a una variedad de sistemas en un teléfono, no solo una vulnerabilidad de WhatsApp.
“Típicamente, una vulnerabilidad específica de la aplicación probablemente le daría al atacante la capacidad de ejecutar comandos o acceder a archivos dentro de la aplicación objetivo”, dijo Ashkan Soltani, un experto en seguridad de la información y exjefe tecnólogo de la Comisión Federal de Comercio. “Sin embargo, los atacantes sofisticados a menudo combinan el ataque con otros exploits … para acceder a archivos fuera del entorno limitado de WhatsApp”.
¿Qué puedo hacer para protegerme?
Si eres usuario de WhatsApp, asegúrate de que su aplicación esté actualizada.
– Zachary Cohen, Alex Marquardt y Nick Paton Walsh contribuyeron a este informe.