En un giro dramático en la batalla legal entre gigantes tecnológicos y empresas de ciberseguridad, WhatsApp ha obtenido una victoria significativa contra NSO Group. Un jurado ha dictaminado que NSO Group debe pagar más de 167 millones de dólares en daños a la compañía propiedad de Meta, poniendo fin a una saga que ha durado más de cinco años. Este caso no solo destapa las prácticas controvertidas de la industria del spyware, sino que también plantea preguntas cruciales sobre la privacidad digital y la responsabilidad de las empresas tecnológicas. Exploraremos a fondo las revelaciones clave del juicio, las tácticas utilizadas por NSO Group, y las implicaciones que este veredicto tiene para el futuro de la ciberseguridad y la protección de datos.
Victoria de WhatsApp contra NSO Group: Un Veredicto Histórico en la Guerra del Spyware
El enfrentamiento legal entre WhatsApp y NSO Group culminó con una victoria para la plataforma de mensajería. La demanda, iniciada en octubre de 2019, acusaba a NSO Group de explotar una vulnerabilidad en la función de llamadas de audio de WhatsApp para hackear los dispositivos de más de 1,400 usuarios. Este ataque, que afectó a periodistas, activistas de derechos humanos y disidentes políticos, puso de manifiesto la capacidad de la empresa israelí para infiltrarse en la vida digital de individuos a través de su software espía Pegasus. El jurado determinó que NSO Group debía compensar a WhatsApp con más de 167 millones de dólares, marcando un hito importante en la lucha contra el uso indebido de tecnologías de vigilancia.
El Ataque “Zero-Click” al Detalle
Una de las revelaciones más impactantes del juicio fue la descripción detallada del ataque “zero-click” utilizado por NSO Group. Este método, que no requiere ninguna interacción por parte del usuario objetivo, se basa en la capacidad de Pegasus para infectar un dispositivo simplemente mediante el envío de una llamada falsa de WhatsApp. Según el abogado de WhatsApp, Antonio Perez, NSO Group construyó un “Servidor de Instalación de WhatsApp” diseñado específicamente para enviar mensajes maliciosos que imitaban mensajes reales. Estos mensajes, al ser recibidos, activaban una secuencia que obligaba al teléfono del usuario a conectarse a un servidor externo y descargar el spyware. Este proceso, impulsado únicamente por el número de teléfono de la víctima, demostró la sofisticación y el sigilo de las operaciones de NSO Group.
Pegasus y sus Clientes Gubernamentales
El juicio también arrojó luz sobre los clientes gubernamentales de NSO Group y el uso que daban a Pegasus. El CEO de NSO, Yaron Shohat, testificó que la interfaz de usuario de Pegasus no ofrecía a sus clientes la opción de elegir el método de hackeo específico, ya que su principal preocupación era obtener la información deseada, sin importar el vector de ataque utilizado. Esta revelación sugiere que NSO Group delegaba la elección de la tecnología de hackeo, conocida como exploit, al sistema Pegasus en segundo plano, permitiendo que este seleccionara la técnica más adecuada para cada objetivo. Además, se reveló que NSO Group había cortado el acceso a su software a 10 clientes gubernamentales por abusar de Pegasus y que entre los clientes de la empresa se encontraban países como México, Arabia Saudita y Uzbekistán.
La Coincidencia de NSO Group y Apple
Un detalle curioso que surgió durante el juicio fue la ubicación de la sede de NSO Group. Situada en Herzliya, un suburbio de Tel Aviv en Israel, la sede de NSO Group comparte el mismo edificio con Apple. Esta proximidad geográfica resulta irónica, dado que los clientes de iPhone son frecuentemente el blanco del spyware Pegasus. El CEO de NSO, Yaron Shohat, explicó que NSO Group ocupa los cinco pisos superiores del edificio de 14 plantas, mientras que Apple ocupa el resto. Este hecho, aunque anecdótico, subraya la complejidad de la relación entre las empresas de ciberseguridad y las compañías tecnológicas que buscan proteger a sus usuarios de amenazas cibernéticas.
El Continuo Ataque a Usuarios de WhatsApp
A pesar de la demanda presentada por WhatsApp en noviembre de 2019, NSO Group continuó atacando a los usuarios de la plataforma de mensajería. El vicepresidente de investigación y desarrollo de NSO Group, Tamir Gazneli, admitió que “Erised”, el nombre en clave de una de las versiones del vector “zero-click” de WhatsApp, estuvo en uso desde finales de 2019 hasta mayo de 2020. Otras versiones, denominadas “Eden” y “Heaven”, formaban parte de un conjunto conocido como “Hummingbird”. Esta revelación evidencia que NSO Group persistió en sus actividades de espionaje incluso después de ser demandada, lo que agrava aún más su responsabilidad en el caso.
El veredicto del jurado en el caso WhatsApp contra NSO Group marca un punto de inflexión en la lucha contra el uso indebido de spyware y la protección de la privacidad digital. La condena a NSO Group y la orden de pagar más de 167 millones de dólares en daños no solo representan una victoria para WhatsApp, sino también un mensaje claro a la industria del ciberespionaje: la rendición de cuentas es inevitable. Las revelaciones del juicio, desde el funcionamiento del ataque “zero-click” hasta la identificación de clientes gubernamentales y la admisión de continuar los ataques tras la demanda, han expuesto las prácticas controvertidas de NSO Group y su impacto en la privacidad y la seguridad de miles de usuarios. Este caso sienta un precedente importante y refuerza la necesidad de una mayor regulación y supervisión en el desarrollo y uso de tecnologías de vigilancia.