Cómo Meta desmanteló la infraestructura de phishing más reciente de NSO Group

¿Confía en su aplicación de mensajería para protegerlo de los mercenarios más sofisticados del mundo? Hago esta pregunta porque, incluso con el cifrado de extremo a extremo, la verdadera batalla ocurre en los límites del software. Meta sorprendió recientemente a NSO Group intentando forzar la cerradura de nuevo. Esto no es solo otro juego del gato y el ratón entre un gigante tecnológico y un proveedor de software. Es una violación directa de una orden judicial federal. Desde una perspectiva de riesgo, este incidente revela que los actores de amenazas persistentes no se detienen cuando pierden una batalla legal. Simplemente cambian su infraestructura e intentan entrar por una puerta diferente.

Meta anunció el lunes que detectó y bloqueó una serie de intentos de spear-phishing vinculados al proveedor israelí de spyware. La compañía está presentando ahora una orden de desacato ante un tribunal federal contra NSO Group. Esta medida se debe a que NSO Group violó una orden judicial permanente que le prohibía atacar a WhatsApp y a sus usuarios. Entre bastidores, los equipos de seguridad de Meta rastrearon dominios maliciosos y cuentas no autorizadas que la firma de spyware utilizó para facilitar estos ataques.

La arquitectura de un ataque de un solo clic

El phishing sigue siendo un caballo de Troya digital incluso para los sistemas más reforzados. En esta última campaña, NSO Group utilizó enlaces maliciosos para dirigir a los objetivos hacia sitios web externos. Se trata de campañas de phishing de un solo clic (1-click). Requieren que el usuario interactúe con un enlace solo una vez para comprometer un dispositivo. Una vez que el usuario hace clic, el navegador suele navegar a un sitio que entrega una carga útil o recolecta credenciales. Meta identificó tres dominios específicos en esta campaña: fr24cast[.]com, ghazacast[.]com e ikhwancast[.]com.

Pasé una hora esta mañana analizando las convenciones de nomenclatura de estos dominios. Imitan servicios de noticias o del clima. Esta es una táctica común para bajar la guardia de un objetivo. Desde la perspectiva del usuario final, un enlace que parece una actualización de noticias locales es mucho menos sospechoso que una cadena de caracteres aleatorios. NSO Group es conocido por este nivel de detalle. No se limitan a enviar un enlace; elaboran una narrativa. A nivel arquitectónico, estos dominios actúan como el escenario de despliegue para el spyware Pegasus. Este software es famoso por su capacidad para extraer mensajes, fotos y datos de ubicación tanto de dispositivos Android como iOS.

Incumplimiento de la orden judicial permanente

Los marcos legales son tan fuertes como la ejecución que los respalda. Meta está presionando por esa ejecución ahora. En 2023, un tribunal de EE. UU. determinó que NSO Group era responsable de violar leyes federales tras explotar los servidores de WhatsApp para desplegar spyware en 1,400 individuos. Ese fallo resultó en una multa de aproximadamente 168 millones de dólares. Lo más importante es que incluyó una orden judicial permanente. Esta barrera legal prohibía a NSO Group volver a acceder a los sistemas de WhatsApp.

Al crear nuevas cuentas y grupos de prueba, NSO Group eludió el espíritu y la letra de esa orden. Meta sorprendió a la empresa creando estas cuentas para verificar cómo aparecían sus enlaces de phishing dentro de la aplicación. He visto este comportamiento en mis propios entornos de laboratorio. Un atacante necesita ver lo que ve el objetivo. Deben asegurarse de que la vista previa del enlace parezca legítima y que el mensaje no active un filtro de spam automatizado. Meta eliminó estas cuentas y grupos de inmediato. Esta defensa proactiva es necesaria porque NSO Group tiene un historial de esfuerzos sistémicos para eludir los controles de seguridad.

Los límites del cifrado de extremo a extremo

A menudo escucho a la gente decir que WhatsApp es seguro porque está cifrado. Esta es una simplificación peligrosa. El cifrado protege los datos en tránsito. Es una bóveda digital irrompible para su mensaje mientras viaja de su teléfono al teléfono de un amigo. Sin embargo, el cifrado no sirve de nada si el atacante compromete el punto final. Si un hacker tiene el control de su teléfono a través de Pegasus, puede leer sus mensajes antes de que se cifren o después de que se descifren.

El phishing es el puente que permite a los atacantes cruzar el foso del cifrado. NSO Group no intenta romper el Protocolo Signal que utiliza WhatsApp. Saben que es matemáticamente sólido. En su lugar, se dirigen al humano que usa la aplicación. Es por esto que Meta está impulsando a los usuarios hacia configuraciones de cuenta estrictas. Estas configuraciones reducen la superficie de ataque. Convierten la aplicación en un entorno más privado donde solo los contactos conocidos pueden interactuar con usted.

Reforzando el firewall humano

La seguridad es un proceso, no un producto. Meta ahora está alentando a las personas de alto riesgo a utilizar una función de seguridad opcional que funciona como un modo de bloqueo. Esto es para periodistas, activistas y funcionarios gubernamentales que son objetivos probables de NSO Group. Cuando se activan estas configuraciones estrictas, la aplicación limita la funcionalidad para aumentar la seguridad. Por ejemplo, desactiva las vistas previas de enlaces. Aunque las vistas previas de enlaces son convenientes, requieren que la aplicación se conecte a un sitio web para obtener una imagen y una descripción. Un atacante puede usar este proceso para recopilar información sobre la dirección IP o el tipo de dispositivo del objetivo.

En caso de una brecha, estas configuraciones proporcionan una capa de resiliencia. El modo estricto también bloquea las fotos de perfil, los detalles de la sección "Info." y el estado en línea solo para los contactos. Evita que cuentas desconocidas lo agreguen a grupos. Este es un paso hacia un modelo de confianza cero (zero-trust) a nivel de usuario. Asume que cualquier comunicación de una fuente desconocida es una amenaza potencial. En consecuencia, el usuario está más seguro porque la aplicación ya no confía en la entrada externa por defecto.

El peso geopolítico del spyware privado

Este conflicto no es solo entre dos empresas. Es una cuestión de seguridad internacional. En 2021, el Departamento de Comercio de EE. UU. añadió a NSO Group a una lista de entidades restringidas. Esto se debió a que las herramientas de la empresa permitían a gobiernos extranjeros llevar a cabo represión transnacional. El gobierno de EE. UU. decidió que las actividades de NSO eran contrarias a los intereses de seguridad nacional. Esta última detección por parte de Meta demuestra que la lista de restricciones y las multas anteriores no han detenido las operaciones de NSO.

Desde un punto de vista forense, el descubrimiento de estos tres dominios proporciona un rastro para otros investigadores de seguridad. Cuando Meta publica estos indicadores de compromiso, permite que los analistas de SOC de todo el mundo revisen sus registros. He visto cómo una pequeña pieza de datos de una empresa como Meta puede destapar una campaña patrocinada por un estado mucho más grande. Estos dominios son ahora activos tóxicos para NSO. No importa cuántas veces cambien sus nombres, el patrón de su infraestructura sigue siendo reconocible para quienes saben dónde buscar.

Implementación de una defensa proactiva

Si trabaja en un campo donde sus datos son un objetivo, no puede confiar en la configuración por defecto. Actualizar su software es el primer paso, pero es como tapar agujeros en el casco de un barco. También debe cambiar la forma en que interactúa con el software. Hablando proactivamente, debería auditar su configuración de privacidad al menos una vez al trimestre. Esto es especialmente cierto a medida que el phishing impulsado por IA hace que los mensajes maliciosos sean aún más difíciles de detectar.

Meta está haciendo lo correcto al llevar esto de vuelta a los tribunales. Una multa de 168 millones de dólares claramente no fue un disuasivo suficiente para una empresa que vende exploits de alto valor a estados-nación. Una orden de desacato conlleva consecuencias más graves. Puede conducir a un mayor descubrimiento del funcionamiento interno de NSO o incluso a sanciones financieras más significativas. Para el resto de nosotros, es un recordatorio de que el perímetro de nuestras vidas digitales está bajo presión constante.

Pasos prácticos para usuarios de alto riesgo

Si cree que está en riesgo de sufrir ciberataques sofisticados, tome estas medidas de inmediato para reforzar su cuenta.

1. Active la verificación en dos pasos. Esto añade un PIN que se requiere para registrar su número de teléfono con WhatsApp nuevamente.
2. Desactive las vistas previas de enlaces. Esto evita que la aplicación se conecte automáticamente a sitios web que no ha visitado.
3. Restrinja las invitaciones a grupos. Configure esto en "Mis contactos" para evitar que extraños lo agreguen a grupos maliciosos.
4. Actualice su sistema operativo. Pegasus a menudo se basa en vulnerabilidades de día cero en iOS o Android.
5. Limite la visibilidad del perfil. Asegúrese de que su foto de perfil y su estado de "Última vez" solo sean visibles para personas que conoce.

Estos pasos no lo hacen invisible. Lo convierten en un objetivo difícil. Las firmas de spyware mercenario buscan el camino de menor resistencia. Si cierra las puertas fáciles, es posible que pasen a otra persona.

Fuentes

• NIST Special Publication 800-207: Zero Trust Architecture
• MITRE ATT&CK Framework: Software Techniques for NSO Group Pegasus
• U.S. Department of Commerce: Entity List Additions for Malicious Cyber Activities
• WhatsApp Security Whitepaper: End-to-End Encryption Protocols

Este artículo es solo para fines informativos y educativos. No reemplaza una auditoría de ciberseguridad profesional ni un servicio de respuesta ante incidentes.