La gran tecnología se supone que protegerá sus ecosistemas, pero la realidad es bastante más compleja: no existen sistemas infalibles. Si hay una empresa experta en identificar las vulnerabilidades correctas, esa sería el grupo NSO, una compañía israelí que es conocida por ser responsable del software Espía Pegasus. Actualmente, se encuentra en medio de una disputa legal que ha trascendido por más de seis años. Recientemente, se anunciaron decisiones judiciales que condenaron a la compañía a pagar $ 167 millones por pérdida criminal, además de otros $ 444,000 en compensación por influir en usuarios de WhatsApp a través de su herramienta de espionaje.
El objetivo describía la Guerra de Pegaso. La demanda se presentó en 2019, después de que se revelara un ataque masivo que explotó una vulnerabilidad crítica en el sistema de llamadas de WhatsApp. El spyware Pegasus podía ser instalado en dispositivos mediante una simple llamada, incluso si el usuario no respondía. Desde ese momento, el software podía activar micrófonos y cámaras, acceder a mensajes, correos electrónicos, ubicaciones y cualquier tipo de datos sensibles almacenados en el dispositivo.
La investigación fue llevada a cabo en colaboración con Citizen Lab, lo que ayudó a identificar a las posibles víctimas: más de 1,400 usuarios, entre ellos, periodistas, defensores de derechos humanos y activistas diplomáticos. WhatsApp se encargó de notificar a todas estas personas de manera directa, mostrando también parches de seguridad urgentes. Este incidente marcó la primera vez que un proveedor de mensajería cifrada lleva a una empresa privada ante los tribunales por usar herramientas de espionaje en su plataforma.
Secretos que salieron a la luz. Durante el proceso judicial, el grupo de NSO se vio obligado a admitir algo que había evadido anteriormente: que su software puede comprometer gradualmente el «contenido completo» de un dispositivo. El software Pegasus tiene la capacidad de infiltrarse tanto en sistemas iOS como Android, utilizando varios vectores como exploits, navegadores y servicios de mensajería de tipo cero, además de comunicarse con servidores externos después de la instalación para enviar datos de regreso a la central.
Esta audiencia obligó al grupo a explicar sus operaciones bajo juramento por primera vez. Se desveló la manera en que su sistema de monitoreo funciona, que se ofrece como un servicio a gobiernos y agencias. Además, Meta dejó claro que WhatsApp no era el único blanco de NSO: la infraestructura también se había utilizado para atacar otros servicios, con actividades que, según Citizen Lab, afectaron a al menos 20 países. De hecho, Pegasus puede poner en riesgo otras aplicaciones que utilizan cifrado, como Signal, lo que amplía considerablemente el alcance de la amenaza que representa.
El juicio que establece un precedente. Como mencionamos anteriormente, el reciente veredicto del jurado ha condenado a NSO a pagar $ 167 millones por pérdidas criminales y más de $ 444,000 en compensación adicional. Este caso se convierte en el primer juicio en Estados Unidos para responsabilizar a las empresas de software de espionaje por el uso ilegal de sus herramientas contra plataformas tecnológicas y usuarios civiles.
Meta no ha dudado en calificar este avance como un paso significativo hacia la protección de la privacidad y la seguridad digital, sosteniendo que este veredicto actúa como un disuasivo para toda la industria de software espía.
Apple también intentó llevarlo a los tribunales. Apple presentó su propia denuncia contra el grupo NSO en noviembre de 2021, afirmando que la compañía utilizó vulnerabilidades para poner en peligro los dispositivos Apple mediante un sistema de identificación manipulado. El objetivo era instalar Pegasus sin el conocimiento del usuario. Apple solicitó una orden judicial para prohibir el uso de su software y servicios por parte de NSO.
No obstante, Apple decidió el año pasado retirar su caso. Según la solicitud presentada ante el tribunal, la continuación del proceso representaba un riesgo, ya que temían que información confidencial sobre su sistema de inteligencia de amenazas pudiera ser expuesta. Apple argumentó que el entorno actual, fragmentado y con actores maliciosos más diversos desde que se presentó la demanda, ya no justificaba las posibles ventajas del experimento frente a los riesgos de seguridad para sus propios usuarios.
Fotos | Boliviainteligente
En | WhatsApp: la privacidad parecía ser el centro de atención, hasta que un fiscal intentó borrar mensajes comprometedores.