Las grandes empresas tecnológicas tienen la responsabilidad de proteger sus ecosistemas, sin embargo, la verdad es que la situación es mucho más complicada: no existen sistemas completamente infalibles. En este contexto, el grupo NSO, una firma israelí famosa por desarrollar el software Espía Pegasus, ha demostrado ser experta en encontrar y explotar las vulnerabilidades adecuadas. Recientemente, han cosechado una victoria judicial histórica tras seis años de litigios: un jurado federal los ha condenado a pagar más de 167 millones de dólares en daños punitivos, además de otros $ 444,000 en compensatorios a las víctimas de sus herramientas de espionaje a través de la plataforma WhatsApp.

Un enfrentamiento decidido contra Pegasus. La demanda fue presentada en el año 2019, tras el descubrimiento de un ataque masivo que utilizó una vulnerabilidad crítica en el sistema de llamadas de WhatsApp. El spyware de Pegasus puede instalarse en dispositivos a través de una simple llamada, incluso si el usuario no responde. Una vez infiltrado, tiene la capacidad de activar el micrófono y la cámara, así como de acceder a mensajes, correos electrónicos, ubicaciones y cualquier tipo de información confidencial almacenada en el dispositivo.

La investigación fue realizada en colaboración con Citizen Lab, que ayudó a identificar a las posibles víctimas: más de 1,400 usuarios, que incluían periodistas, defensores de derechos humanos y diplomáticos activistas. WhatsApp se encargó de notificar directamente a cada una de estas personas y de implementar parches de seguridad urgentes. Este fue un momento crucial, ya que era la primera vez que un proveedor de mensajería cifrada llevaba a juicio a una empresa privada por utilizar herramientas de espionaje en su plataforma.

Revelaciones sorprendentes durante el juicio. A lo largo del proceso judicial, el grupo NSO se vio obligado a reconocer algo que había estado evitando admitir: su software es capaz de comprometer de manera silenciosa el “contenido completo” de un teléfono. Pegasus puede infiltrarse tanto en sistemas iOS como Android, utilizando diversos vectores que incluyen exploits de cero días, navegadores y servicios de mensajería. Una vez instalado, el malware establece comunicación con servidores externos para extraer y enviar la información recopilada.

Este juicio forzó, por primera vez en la historia, a altos ejecutivos de NSO a declarar bajo juramento. Se expuso el funcionamiento de su sistema de vigilancia, que opera como un servicio que se vende a gobiernos y agencias de seguridad. Además, Meta expresó claramente que WhatsApp no era el único objetivo de NSO, ya que su infraestructura fue utilizada para atacar otros servicios, afectando a usuarios en al menos 20 países, según Citizen Lab. Pegasus, en efecto, puede comprometer otras aplicaciones cifradas como Signal, lo que amplía aún más el alcance de esta amenaza.

Un veredicto que sienta precedente. Como se menciona, la reciente decisión del jurado obliga al grupo NSO a pagar 167 millones de dólares en daños punitivos, además de más de $ 444,000 por daños compensatorios adicionales. Este juicio marcan un hito, siendo el primero en los Estados Unidos que responsabiliza a una empresa de spyware por el uso ilegal de sus herramientas contra plataformas tecnológicas y usuarios civiles.

Meta no ha dudado en calificar este fallo como un avance significativo para la privacidad y la seguridad digital, sosteniendo que la sentencia actúa como un sólido disuasivo para toda la industria del software de espionaje.

Apple también tomó acciones legales. Apple decidió presentar su propia demanda contra el grupo NSO en noviembre de 2021. La compañía argumentó que NSO había utilizado la exploit de Forcentry para comprometer dispositivos Apple a través de un sistema de identificación manipulado, con el objetivo de instalar Pegasus sin el conocimiento del usuario. Apple solicitó una orden judicial que prohibiera a NSO utilizar su software y servicios.

No obstante, el año pasado Apple tomó la decisión de retirarse del caso. Según la moción presentada ante el tribunal, continuar con el proceso representaba un riesgo significativo: temían que información confidencial sobre su sistema de inteligencia de amenazas pudiera ser expuesta. Apple argumentó que, dado el entorno actual, más fragmentado y con actores maliciosos más variados que en el momento en que se presentó la demanda, los beneficios potenciales de continuar el juicio ya no compensaban los riesgos de seguridad para sus usuarios.

Imágenes | Boliviainteligente

En | WhatsApp parecía tener una privacidad a prueba de bombas. Hasta que un fiscal estatal intentó borrar mensajes incriminatorios.