Las grandes empresas tecnológicas insisten en la necesidad de proteger sus ecosistemas digitales, pero la verdad es más compleja de lo que parece: en el mundo de la ciberseguridad, no existen sistemas completamente infalibles. Si hay una compañía que se ha destacado por su capacidad de encontrar vulnerabilidades efectivas, esa es el grupo NSO, la famosa firma israelí responsable del software de espionaje conocido como Pegasus. Recientemente, este grupo ha sufrido una derrota judicial histórica tras seis años de litigios interminables: un jurado federal ha condenado a NSO a pagar más de 167 millones de dólares en daños punitivos, además de otros $ 444,000 por daños compensatorios a los usuarios de WhatsApp que fueron afectados por su herramienta de espionaje.
El ataque judicial contra Pegasus. La demanda que llevó a esta resolución se presentó en 2019 posterior al descubrimiento de un ataque masivo que aprovechó una vulnerabilidad crítica en el sistema de llamadas de WhatsApp. El spyware de Pegasus tenía la capacidad de instalarse en dispositivos a través de una simple llamada, aun si el usuario no respondía. Esta herramienta de espionaje podía activar el micrófono y la cámara del dispositivo, así como acceder a mensajes, correos electrónicos, ubicaciones y un amplio rango de datos altamente confidenciales del usuario.
La investigación inicial se llevó a cabo en colaboración con Citizen Lab, que ayudó a identificar a los posibles afectados: más de 1,400 usuarios, que incluían a periodistas, defensores de derechos humanos y activistas diplomáticos. WhatsApp afirma que notificó directamente a cada uno de estos individuos y que implementó parches de seguridad urgentes. Este caso marcó la primera vez que un proveedor de mensajería cifrada llevó a cabo acciones legales contra una empresa privada por el uso de herramientas de espionaje en su plataforma.
Revelaciones impactantes. Durante el proceso judicial, el grupo NSO se vio obligado a reconocer algo que había intentado ocultar: su software tiene la capacidad de comprometer de manera silenciosa el «contenido completo» de un teléfono móvil. Pegasus puede infiltrarse en dispositivos tanto iOS como Android a través de diversos vectores, incluidos exploits de cero días y servicios de mensajería. Una vez instalado, se comunica con servidores externos para el envío de los datos robados.
Este juicio forzó, por primera vez, a altos ejecutivos de la empresa a declarar bajo juramento. Se puso en evidencia cómo funciona su sistema de vigilancia, que opera como un servicio a gobiernos y agencias. Además, Meta dejó en claro que WhatsApp no era el único objetivo de NSO; su infraestructura se utilizó para atacar a otros servicios, y sus actividades perjudicaron a usuarios en al menos 20 países, según Citizen Lab. Pegasus también tiene la capacidad de comprometer otras aplicaciones encriptadas, como Signal, ampliando así su amenaza potencial.
Un veredicto con implicaciones significativas. El fallo del jurado, que recientemente se anunció, obliga a NSO a pagar 167 millones de dólares por daños punitivos y más de $ 444,000 en daños compensatorios. Este es el primer veredicto judicial en los Estados Unidos que condena a una compañía de software espía por el uso ilegal de sus herramientas en plataformas tecnológicas y contra usuarios civiles.
Meta ha destacado este desenlace como un avance significativo en la lucha por la privacidad y la seguridad digital, considerando que la sentencia podría funcionar como un mecanismo disuasorio para toda la industria del software de espionaje.
Apple también intentó tomar acciones legales. Apple presentó su propia demanda contra NSO Group en noviembre de 2021, alegando que la compañía había explotado la vulnerabilidad de Forcentry para comprometer los dispositivos Apple mediante un sistema de identificación manipulado. El objetivo era instalar Pegasus sin el conocimiento del usuario. Apple buscaba una orden judicial que prohibiera el uso de su software y servicios por parte de NSO.
Sin embargo, el año pasado, Apple decidió retirarse del caso. Conforme a la moción presentada ante el tribunal, continuar con el proceso representaba un riesgo notable: había preocupaciones de que información sensible relacionada con su sistema de inteligencia de amenazas pudiera ser expuesta. Apple argumentó que, dado el entorno actual más fragmentado y con una mayor diversidad de actores maliciosos comparado con el momento en que se presentó la demanda, los beneficios potenciales del juicio ya no justificaban los riesgos de seguridad para sus clientes.
Imágenes | Boliviainteligente
En | WhatsApp La privacidad parecía a prueba de bombas. Hasta que un fiscal estatal intentó borrar mensajes incriminatorios
