WhatsApp ha informado que cerca de 90 periodistas y miembros de la sociedad civil fueron objetivos de un ataque de spyware llevado a cabo por Paragon Solutions, una empresa israelí de software de hacking. La compañía ha expresado tener "alta confianza" en que estos 90 usuarios fueron "posiblemente comprometidos". El ataque se realizó a través de un método conocido como "zero-click", lo que significa que las víctimas no necesitaban hacer clic en enlaces maliciosos para ser infectadas.
WhatsApp ha notificado a los usuarios afectados y ha enviado una carta de "cesar y desistir" a Paragon Solutions, mientras explora opciones legales. El ataque fue interrumpido en diciembre, aunque no está claro cuánto tiempo estuvieron en riesgo los objetivos. La empresa no ha revelado la ubicación de los afectados, incluyendo si estaban en EE. UU.
Paragon Solutions, que tiene una oficina en Chantilly, Virginia, ha sido objeto de escrutinio tras un contrato de 2 millones de dólares con la división de investigaciones de seguridad nacional de la Oficina de Inmigración y Aduanas de EE. UU. Este contrato fue suspendido para verificar su cumplimiento con una orden ejecutiva de la administración Biden que restringe el uso de spyware por parte del gobierno federal.
El spyware de Paragon, conocido como Graphite, tiene capacidades comparables a las del spyware Pegasus del grupo NSO. Una vez que un teléfono es infectado, el operador del spyware tiene acceso total al dispositivo, incluyendo la capacidad de leer mensajes en aplicaciones encriptadas como WhatsApp y Signal.
Paragon ha sido adquirida por AE Industrial Partners por 900 millones de dólares, aunque la transacción aún no ha recibido aprobación regulatoria completa en Israel. La empresa es regulada por el ministerio de defensa israelí.
WhatsApp ha indicado que el vector de infección probablemente fue un archivo PDF malicioso enviado a individuos añadidos a chats grupales. La investigación fue apoyada por Citizen Lab, que proporcionó información sobre el vector utilizado.
En 2019, WhatsApp demandó al grupo NSO después de que se informara que 1,400 usuarios habían sido infectados por su spyware. En diciembre de 2023, un juez dictaminó que NSO era responsable de los ataques y había violado leyes de hacking de EE. UU. y los términos de servicio de WhatsApp.
Natalia Krapiva, consejera legal de Access Now, ha señalado que los ataques a periodistas y actores de la sociedad civil están aumentando, y que se necesita más acción por parte de los legisladores y el sector tecnológico para regular esta industria.