WhatsApp acaba de marcar un precedente legal contra el espionaje: Pegasus tendrá que pagar 167 millones por daños
Las grandes tecnológicas presumen de blindar sus ecosistemas, pero la realidad es más compleja: no existen los sistemas infalibles. Y si hay una empresa experta en encontrar la grieta adecuada, esa es NSO Group, la firma israelí responsable del software espía Pegasus. Ahora, Meta ha logrado una victoria judicial histórica tras seis años de litigio: un jurado federal ha condenado a NSO a pagar más de 167 millones de dólares en daños punitivos, además de otros 444.000 dólares en compensatorios, por afectar a usuarios de WhatsApp con su herramienta de espionaje.
Meta le declaró la guerra a Pegasus. La demanda fue presentada en 2019, tras descubrirse un ataque masivo que aprovechaba una vulnerabilidad crítica en el sistema de llamadas de WhatsApp. El spyware Pegasus podía instalarse en los dispositivos mediante una simple llamada, incluso si el usuario no respondía. A partir de ahí, era capaz de activar el micrófono y la cámara, acceder a mensajes, correos electrónicos, ubicaciones y todo tipo de datos sensibles del dispositivo.
Intentos de infección sospechosos recopilados del teléfono de un objetivo (Citizen Lab)
La investigación se realizó en colaboración con el Citizen Lab, que ayudó a identificar a los posibles afectados: más de 1.400 usuarios, entre ellos periodistas, activistas de derechos humanos y diplomáticos. WhatsApp asegura que notificó directamente a cada una de estas personas y desplegó parches de seguridad urgentes. Fue la primera vez que un proveedor de mensajería cifrada llevó ante los tribunales a una empresa privada por usar herramientas de espionaje contra su plataforma.
Secretos que salieron a la luz. Durante el proceso judicial, NSO Group se vio obligada a admitir algo que llevaba años evitando confirmar: que su software es capaz de comprometer silenciosamente “todo el contenido” de un teléfono. Pegasus puede infiltrarse tanto en iOS como en Android utilizando diferentes vectores —incluidos exploits de día cero, navegadores y servicios de mensajería— y una vez instalado, se comunica con servidores externos para enviar los datos.
El juicio obligó, por primera vez, a altos cargos de NSO a declarar bajo juramento. Quedó expuesto cómo funciona su sistema de vigilancia a sueldo, que opera como un servicio vendido a gobiernos y agencias. Además, Meta dejó claro que WhatsApp no fue el único objetivo de NSO: su infraestructura fue utilizada para atacar otros servicios, y su actividad afectó a usuarios en al menos 20 países, según Citizen Lab. Pegasus, de hecho, puede comprometer otras aplicaciones cifradas como Signal, lo que amplía el alcance de la amenaza.
El veredicto que marca un precedente. Como decimos, la decisión del jurado recientemente anunciada obliga a NSO a pagar 167 millones de dólares en concepto de daños punitivos y más de 444.000 dólares adicionales por daños compensatorios. Es la primera sentencia judicial en Estados Unidos que responsabiliza a una empresa de spyware por el uso ilegal de sus herramientas contra plataformas tecnológicas y usuarios civiles.
Meta no ha dudado en señalar este movimiento como un importante avance para la privacidad y la seguridad digital, y cree que la sentencia actúa como elemento disuasorio para toda la industria del software espía.
Apple también intentó llevarlos a juicio. Apple presentó su propia demanda contra NSO Group en noviembre de 2021. Alegaba que la compañía había utilizado el exploit FORCEDENTRY para comprometer dispositivos Apple mediante un sistema de identificación manipulado. El objetivo: instalar Pegasus sin conocimiento del usuario. La empresa solicitaba una orden judicial que prohibiera el uso de su software y servicios por parte de NSO.
Sin embargo, trascendió que el año pasado Apple decidió retirarse del caso. Según la moción presentada ante el tribunal, continuar con el proceso suponía un riesgo: temían que la información confidencial sobre su sistema de inteligencia de amenazas pudiera quedar expuesta. Apple argumentó que el entorno actual —más fragmentado y con actores maliciosos más diversos que cuando se presentó la demanda— hacía que los beneficios potenciales del juicio ya no compensaran los riesgos de seguridad para sus usuarios.
Imágenes | BoliviaInteligente
