Ataque de spyware de WhatsApp – NSO Group multado con 168 millones de dólares

En una decisión histórica, un jurado federal de EE. UU. en California ordenó el martes a la empresa israelí de spyware NSO Group pagar casi 168 millones de dólares en daños punitivos a Meta Platforms Inc., la empresa matriz de WhatsApp.

Además de esto, la compañía también tendrá que pagar 444,719 dólares en daños compensatorios a Meta por los esfuerzos significativos que sus ingenieros de WhatsApp hicieron para bloquear los vectores de ataque.

Este fallo se deriva del uso de spyware Pegasus por parte de NSO Group para hackear aproximadamente 1,400 usuarios de WhatsApp durante dos semanas entre abril y mayo de 2019. Esta decisión establece un importante precedente para responsabilizar a los desarrolladores de spyware por actividades de vigilancia no autorizadas.

“El veredicto de hoy en el caso de WhatsApp es un paso importante hacia adelante para la privacidad y la seguridad como la primera victoria contra el desarrollo y uso de spyware ilegal que amenaza la seguridad y privacidad de todos”, dijo Meta en un comunicado después de que se anunció el fallo.

“Hoy, la decisión del jurado de obligar a NSO, un notorio comerciante de spyware extranjero, a pagar daños es un disuasivo crítico para esta industria maliciosa contra sus actos ilegales dirigidos a empresas estadounidenses y la privacidad y seguridad de las personas a las que servimos.”

Antecedentes del Caso

La demanda, iniciada por WhatsApp el 29 de octubre de 2019, en el Tribunal de Distrito del Norte de California, acusó a NSO Group de explotar una vulnerabilidad en la función de videollamadas de WhatsApp para instalar spyware Pegasus en los dispositivos de los usuarios sin su conocimiento. Los objetivos incluían activistas de derechos humanos, periodistas, diplomáticos y defensores de la sociedad civil.

Según los documentos judiciales (PDF), el spyware Pegasus de NSO se instaló a través de una llamada de WhatsApp que ni siquiera requería que el destinatario respondiera. Una vez realizada la llamada, el código malicioso se desplegaría, otorgando acceso a una amplia gama de datos personales, incluyendo llamadas telefónicas, correos electrónicos, mensajes privados encriptados, imágenes, geolocalización y otros datos sensibles, todo sin el conocimiento del usuario.

En diciembre de 2024, la jueza del distrito de EE. UU. Phyllis Hamilton encontró a NSO Group culpable de violar la Ley de Fraude y Abuso Informático de EE. UU. (CFAA) y la Ley de Acceso y Fraude de Datos Informáticos de California (CDAFA). También encontró que las acciones de NSO violaron los términos de servicio de WhatsApp al acceder a sus servidores sin autorización para desplegar spyware.

Respuesta de NSO Group

Después de su derrota en los tribunales, NSO Group ha declarado que planea apelar la decisión, manteniendo que su software Pegasus está destinado a ser utilizado por gobiernos autorizados para combatir el crimen y operaciones antiterroristas en todo el mundo.

“Examinaremos cuidadosamente los detalles del veredicto y buscaremos los remedios legales apropiados, incluidos procedimientos adicionales y una apelación”, agregó Lainer, afirmando que la compañía “sigue plenamente comprometida con su misión de desarrollar tecnologías que protejan la seguridad pública” mientras trabaja dentro de la legalidad.

Mientras tanto, Meta ha decidido donar a organizaciones de derechos digitales que están trabajando para defender a las personas contra tales ataques en todo el mundo.

“Nuestro próximo paso es asegurar una orden judicial para evitar que NSO vuelva a atacar a WhatsApp”, concluyó la compañía.