Condenan a NSO Group a pagar un multa millonaria por spyware Pegasus

NSO Group, compañía israelita conocida por el software espía Pegasus, deberá pagar más de 167 millones de dólares en daños punitivos a Meta por una campaña de piratería informática y difusión de malware contra usuarios de WhatsApp.

Así lo ha estimado el jurado de una batalla judicial de cinco años, que sacó a la luz las prácticas de esta compañía y el alcance del software espía Pegasus, que se utilizó durante años contra periodistas, organizaciones, disidentes, políticos, académicos o cualquier objetivo, violando sistemáticamente derechos como el de la privacidad.

El caso juzgado se remonta a mayo de 2019 cuando los ingenieros de WhatsApp descubrieron una vulnerabilidad de día cero en la plataforma de mensajería instantánea propiedad de Meta. Esta vulnerabilidad permitía a un atacante instalar malware en un dispositivo con una sola llamada, sin que la víctima tuviera que hacer nada más que encender el dispositivo.

El software de vigilancia en cuestión era el infame Pegasus, desarrollado por NSO Group. Ahí se comprobó que actuaba como un malware en toda regla, ya que estaba cuidadosamente diseñado para usar vulnerabilidades de día cero sin conocimiento o interacción del usuario, permitiendo el acceso a todos los datos de los dispositivos, incluyendo registros telefónicos, correos electrónicos, mensajes y videos, así como la ubicación. Incluso permitía que los operadores externos activasen la cámara y el micrófono del teléfono para realizar grabaciones clandestinas.

Pegasus comprometió alrededor de 1.400 cuentas de WhatsApp. Aunque los ingenieros de la compañía solucionaron el fallo en cuestión de días deteniendo el factor de ataque principal, se sospecha que Pegasus utilizó otros métodos de instalación de spyware para explotar las tecnologías de otras empresas y manipular los dispositivos de los usuarios para la descarga del código malicioso y comprometer los terminales.

WhatsApp presentó entonces una demanda judicial acusando a NSO Group de acceder ilegalmente a sus servidores y explotar una vulnerabilidad en las llamadas de audio de la aplicación de chat para atacar a disidentes, activistas de derechos humanos y periodistas, entre otros.

El portavoz de WhatsApp, Zade Alsawah, ha asegurado en un comunicado que «nuestro caso judicial ha hecho historia como la primera victoria contra el software espía ilegal que amenaza la seguridad y la privacidad de todos... La decisión del jurado de obligar a NSO, un conocido comerciante extranjero de software espía, a pagar una indemnización por daños y perjuicios constituye un elemento disuasorio crucial para esta industria maliciosa y para combatir sus actos ilegales contra empresas estadounidenses y la privacidad y seguridad de las personas a las que servimos«.

Empresas de ciberseguridad como los de Citizen Lab, donde han estudiado la industria del software espía durante más de una década, también celebraron el fallo judicial. «Este es un momento increíble para quienes hemos estado presentes desde el inicio de la investigación sobre software espía mercenario», señaló el investigador principal de la compañía. «NSO gana muchos millones de dólares ayudando a dictadores a hackear a la gente. Tras años de todo tipo de trucos y tácticas dilatorias, el jurado solo necesitó un día de deliberación para llegar al meollo del asunto: el negocio de NSO se basa en hackear empresas estadounidenses... para que los dictadores puedan hackear a los disidentes».

NSO Group sale gravemente perjudicada de este juicio, aunque ya ha dicho que estudia una apelación. Además de las cuantiosas indemnizaciones punitivas, el impacto más importante del es un duro golpe a sus esfuerzos por ocultar sus actividades comerciales.