El 6 de mayo, WhatsApp obtuvo una victoria significativa en su batalla legal contra NSO Group, el controvertido fabricante de spyware. Un jurado ordenó a NSO Group pagar más de $167 millones en daños a la compañía propiedad de Meta. Esta decisión marca la culminación de una disputa legal que se extendió por más de cinco años, desde que WhatsApp acusó a NSO Group de hackear a más de 1,400 usuarios aprovechando una vulnerabilidad en la función de llamadas de audio de la aplicación.
Este veredicto no solo representa un triunfo para WhatsApp en su lucha por proteger la privacidad de sus usuarios, sino que también arroja luz sobre las tácticas y el alcance del spyware Pegasus utilizado por NSO Group. La larga batalla judicial ha revelado detalles impactantes sobre las operaciones de NSO Group, incluyendo la admisión de haber seguido apuntando a usuarios de WhatsApp incluso después de que se presentara la demanda. Este artículo explorará los aspectos más destacados del juicio, las revelaciones clave y las implicaciones financieras para NSO Group y la industria del spyware.
La Sentencia: Un Hito en la Lucha Contra el Spyware
El veredicto, resultado de un juicio de una semana, incluyó testimonios cruciales, como el del CEO de NSO Group, Yaron Shohat, y empleados de WhatsApp involucrados en la investigación del incidente. Este litigio ha desenterrado información relevante sobre las prácticas de NSO Group y su impacto global. Una de las revelaciones más significativas fue la admisión por parte de NSO Group de haber interrumpido el servicio a diez de sus clientes gubernamentales debido al uso indebido de su spyware Pegasus. Además, se revelaron las ubicaciones de 1,223 víctimas del ataque y los nombres de tres clientes de NSO Group: México, Arabia Saudita y Uzbekistán.
El Ataque de “Cero Clic”: Un Nuevo Nivel de Intrusión
Durante el juicio, se detalló cómo funcionaba el ataque de “cero clic” utilizado por NSO Group. Este método, que no requiere ninguna interacción por parte del usuario, se basaba en realizar una llamada falsa de WhatsApp al objetivo. Según el abogado de WhatsApp, Antonio Perez, NSO Group desarrolló el “Servidor de Instalación de WhatsApp“, una máquina especializada para enviar mensajes maliciosos imitando mensajes legítimos. Estos mensajes activaban que el teléfono de la víctima se conectara a un servidor externo y descargara el spyware Pegasus. Tamir Gazneli, vicepresidente de investigación y desarrollo de NSO Group, testificó que “cualquier solución de cero clic es un hito importante para Pegasus“.
La Persistencia del Ataque Post-Demanda
A pesar de la demanda presentada por WhatsApp en noviembre de 2019, NSO Group continuó atacando a usuarios de la aplicación. Tamir Gazneli confirmó que la versión del vector de cero clic de WhatsApp, conocida como “Erised”, estuvo en uso desde finales de 2019 hasta mayo de 2020. Otras versiones, llamadas “Eden” y “Heaven”, formaban parte del conjunto “Hummingbird”. Esta revelación subraya la persistencia y la agresividad de las tácticas de NSO Group.
Pegasus y el FBI: Un Experimento Polémico
Durante años, NSO Group negó que su spyware pudiera ser utilizado contra números de teléfono estadounidenses (con código de país +1). Sin embargo, en 2022, The New York Times informó que la compañía sí había “atacado” un teléfono en Estados Unidos como parte de una prueba para el FBI. El abogado de NSO Group, Joe Akrotirianakis, confirmó que la “única excepción” a la prohibición de atacar números +1 fue una versión especial de Pegasus utilizada en una demostración para potenciales clientes gubernamentales estadounidenses. Finalmente, el FBI optó por no desplegar Pegasus después de esta prueba.
El Costo del Spyware: Millones en Juego
Durante el juicio, se reveló que NSO Group cobraba a sus clientes europeos alrededor de $7 millones por el acceso a Pegasus, más un millón adicional por “vectores encubiertos”. Aunque no se definió explícitamente, los “vectores encubiertos” probablemente se refieren a técnicas sigilosas para instalar el spyware en el teléfono objetivo, como los exploits de cero clic. El precio del spyware y los exploits de día cero varía según el cliente, el número de objetivos concurrentes y las características adicionales. Por ejemplo, mientras un cliente europeo pagó $7 millones en 2019, se reportó que Arabia Saudita pagó $55 millones y México $61 millones durante varios años.
La Precaria Situación Financiera de NSO Group
Yaron Shohat reveló detalles sobre la situación financiera de NSO Group durante el juicio. La compañía perdió $9 millones en 2023 y $12 millones en 2024. Además, contaba con $8.8 millones en su cuenta bancaria en 2023 y $5.1 millones en 2024. Actualmente, la compañía gasta alrededor de $10 millones al mes, principalmente en salarios. La unidad de investigación y desarrollo de NSO Group gastó $52 millones en 2023 y $59 millones en 2024. Los clientes de NSO Group pagan entre $3 millones y diez veces esa cantidad por el acceso a Pegasus. Shohat admitió que la compañía estaba luchando por mantenerse a flote y que le resultaría difícil pagar cualquier indemnización significativa.
Conclusión: Un Veredicto con Implicaciones a Largo Plazo
La victoria de WhatsApp contra NSO Group representa un hito en la lucha contra el uso indebido del spyware y la protección de la privacidad de los usuarios. El juicio ha revelado detalles inquietantes sobre las operaciones de NSO Group, sus tácticas de ataque y su precaria situación financiera. La sentencia de $167 millones en daños no solo afecta a NSO Group, sino que también envía un mensaje claro a la industria del spyware: las prácticas invasivas y el abuso de la tecnología tendrán consecuencias legales y financieras significativas.
Si bien la decisión judicial es un paso importante, la batalla contra el spyware continúa. Es fundamental que las empresas de tecnología, los gobiernos y la sociedad civil trabajen juntos para establecer regulaciones más estrictas, mejorar la seguridad de las aplicaciones y proteger los derechos de los usuarios en el mundo digital. La privacidad y la seguridad en línea son derechos fundamentales que deben ser defendidos con firmeza.