La revelación de que WhatsApp, propiedad de Facebook, tuvo un fallo de seguridad que permitió a los piratas informáticos inyectar software espÃa en los teléfonos inteligentes generó nuevas preocupaciones sobre la seguridad del ecosistema móvil.
Aquà hay cinco preguntas clave y respuestas:
El agujero de seguridad en la aplicación de mensajerÃa WhatsApp podrÃa permitir a un atacante inyectar malware para obtener acceso a los teléfonos inteligentes Android o Apple.
WhatsApp reparó el fallo esta semana después de que se le informara que el software espÃa estaba siendo usado para rastrear a los activistas de derechos humanos y abogados.
Los investigadores de seguridad creen que los atacantes utilizaron el poderoso software espÃa Pegasus del Grupo NSO con sede en Israel. Según un análisis reciente del software realizado por la empresa de seguridad Lookout, Pegasus puede "subvertir" la seguridad del dispositivo y "robar la lista de contactos de la vÃctima y la ubicación del GPS, asà como las contraseñas personales, de Wi-Fi y del router almacenadas en el dispositivo. "
La infección podrÃa generarse con una simple llamada a través de WhatsApp. Para empeorar las cosas, las vÃctimas pueden no saber que sus teléfonos estaban infectados porque el malware permitÃa a los atacantes borrar los historiales de llamadas.
Este ataque fue "particularmente aterrador", dijo el investigador de seguridad John Dickson, del Denim Group, porque infectó los dispositivos sin la intervención del usuario.
"Normalmente, un usuario tiene que hacer clic en algo o ir a un sitio, pero ese no fue el caso aquÃ", dijo Dickson. "Y una vez que (el atacante) está dentro, son dueños del dispositivo, pueden hacer cualquier cosa".
Mientras que el fallo fue descubierto en WhatsApp, los expertos en seguridad dicen que cualquier aplicación podrÃa haber sido un "vehÃculo" para la carga útil del software espÃa.
"Aún no hemos podido escribir software que no tenga errores o fallos", dijo Joseph Hall, tecnólogo en jefe del Centro para la Democracia y la TecnologÃa, un grupo de derechos digitales.
Hall dijo que el cifrado en WhatsApp no ​​se rompió y que "la respuesta de Facebook fue extremadamente rápida".
Marc Lueck, de la firma de seguridad Zscaler, dijo que, en base a la respuesta de Facebook, "en primer lugar deberÃa felicitarlos por haberlo descubierto, ya que era una vulnerabilidad muy profunda".
La intrusión en WhatsApp "no fue un ataque a la encriptación, fue un ataque a otro elemento de la aplicación", dijo Lueck.
El cifrado sigue siendo una caracterÃstica importante al establecer un "túnel" seguro entre dos partes que verifica sus identidades, anotó Lueck.
"El cifrado no es importante solo para la privacidad, es importante para la confianza", dijo.
Los investigadores señalan que el cifrado utilizado por WhatsApp y otras aplicaciones de mensajerÃa impide la escucha de mensajes y conversaciones, pero no protege contra un ataque que obtiene acceso al dispositivo en sÃ.
"El cifrado de extremo a extremo no hace nada para proteger contra los ataques en su punto final, es cierto. Y los cinturones de seguridad y los airbags no hacen nada para evitar que un automóvil se vea afectado por un meteorito", escribió Matt Blaze, un experto en seguridad informática de la Universidad de Georgetown.
"Si bien ninguno protege contra todos los daños posibles, ambos siguen siendo las defensas más efectivas contra daños muy comunes".
Dickson dijo que si bien ningún cifrado es infalible, la única forma de evitar por completo la piraterÃa serÃa evitar la electrónica por completo: "PodrÃas usar chicos a caballo".
Citizen Lab, un centro de investigación de la Universidad de Toronto, dijo en un informe de 2018 que encontró infecciones de spyware en Pegasus en 45 paÃses, con 36 "operadores gubernamentales probables".
NSO mantiene que entrega su software para fines legÃtimos de aplicación de la ley e inteligencia. Pero los investigadores de Toronto dijeron que habÃa sido obtenido por paÃses con "dudosos" registros de derechos humanos y sugirieron que podrÃa haber sido utilizado por Arabia Saudà para rastrear y matar al periodista disidente Jamal Khashoggi.
Los investigadores de Citizen Lab escribieron en Globe & Mail que "desenterraron al menos 25 casos de ataques abusivos contra grupos de defensa, abogados, cientÃficos e investigadores, investigadores de desapariciones masivas y miembros de los medios".
Pero Lueck dijo que los programas como Pegasus son extremadamente costosos y los hackers no pueden monetizarlos fácilmente para obtener ganancias.
"La gente corriente no es el objetivo de este software, está diseñada para vender a los gobiernos individuos especÃficos y no funciona a gran escala", dijo.
Sin embargo, Lueck dijo que el fallo subraya el hecho de que "el ecosistema de los teléfonos móviles se ha convertido en una plataforma tan insegura y tan vulnerable como el ordenador".
Las revelaciones se producen a medida que los gobiernos buscan mejores herramientas para rastrear a los delincuentes y extremistas que utilizan mensajes cifrados. Una ley australiana requiere que los gigantes tecnológicos eliminen las protecciones electrónicas y ayuden con el acceso a dispositivos o servicios.
Las agencias de aplicación de la ley se han quejado de "oscurecer" ante las comunicaciones electrónicas cifradas mientras investigan delitos graves como el terrorismo y los delitos sexuales contra niños.
Pero Hall dijo que las noticias sobre Pegasus muestran que los gobiernos tienen herramientas para explotar fallos de software para objetivos especÃficos sin debilitar el cifrado y la privacidad de todos los usuarios.
"Puede orientar la entrega a personas especÃficas en lugar de interrumpir el teléfono de todos a la vez", dijo.