Las grandes empresas tecnológicas han prometido cuidar y proteger sus ecosistemas digitales, pero la realidad es bastante más intrincada. No existen sistemas infalibles, y cuando se trata de seguridad, la vulnerabilidad es un factor constante. Una de las compañías más emblemáticas en este ámbito es el grupo NSO, un gigante israelí conocido por desarrollar el software de espionaje Pegasus. Actualmente, NSO se enfrenta a una disputa legal que ha estado en curso durante seis años. En un reciente fallo judicial, la corte condenó a la empresa a pagar más de $167 millones por daños asociados a actividad criminal, además de otros $444,000 en compensación por la influencia que su herramienta de espionaje ejerce sobre los usuarios de WhatsApp.
El conflicto conocido como la Guerra de Pegaso tuvo su origen en una demanda presentada en 2019, tras descubrirse un ataque masivo que explotaba una vulnerabilidad crítica en el sistema de llamadas de WhatsApp. Este spyware, conocido como Pegasus, puede ser instalado en dispositivos con solo una llamada, incluso si el usuario no responde. Una vez dentro, el software puede activar el micrófono y la cámara del dispositivo, acceder a los mensajes, correos electrónicos, locaciones y toda clase de información sensible almacenada en el teléfono.
La investigación, realizada en cooperación con Citizen Lab, fue clave para identificar a los afectados: más de 1,400 usuarios, que incluían periodistas, defensores de derechos humanos y activistas diplomáticos. WhatsApp ha asegurado que notificará directamente a cada uno de estos individuos y ha implementado parches de seguridad urgentes. Este fue un momento sin precedentes, ya que por primera vez un proveedor de mensajería cifrada llevó a una empresa privada ante los tribunales por utilizar herramientas de espionaje en su plataforma.
Secretos que salieron a la luz. Durante el transcurso del juicio, NSO tuvo que admitir algo que había estado evitando: que su software tiene la capacidad de comprometer completamente el «contenido total» de un teléfono. Pegasus puede infiltrarse en dispositivos que funcionan con iOS y Android, utilizando diferentes vectores de ataque, incluyendo exploits en navegadores y aplicaciones de mensajería. Una vez instalado, se comunica con servidores externos para enviar los datos recopilados.
El personal de NSO se vio obligado a ofrecer explicaciones en relación a sus operaciones bajo juramento por primera vez, revelando cómo funciona su sistema de monitoreo, el cual se vende como un servicio a diferentes gobiernos y agencias. Además, Meta declaró que WhatsApp no era el único blanco de NSO: la infraestructura fue utilizada para atacar otros servicios, y según Citizen Lab, la empresa participó en actividades de espionaje en al menos 20 países diferentes. De hecho, Pegasus puede representar una amenaza incluso para aplicaciones encriptadas como Signal, lo que amplía considerablemente el espectro de riesgo.
El juicio que establece un precedente. Como se mencionó, el jurado recientemente decidió que NSO debía pagar $167 millones por daños asociados a actividades criminales, además de más de $444,000 en compensaciones adicionales. Este representa el primer juicio en Estados Unidos que responsabiliza a empresas de spyware por el uso ilegal de sus herramientas contra plataformas tecnológicas y usuarios civiles.
Meta ha expresado que este fallo es un progreso significativo para la privacidad y la seguridad digital, considerando que actúa como un elemento disuasorio para toda la industria del software de espionaje existente. La sentencia sienta un importante precedente para futuros casos en este delicado ámbito.
Apple también intentó llevarla a los tribunales. En noviembre de 2021, Apple presentó su propia demanda contra el grupo NSO, alegando que la empresa utilizó exploits para comprometer los dispositivos Apple a través de un sistema de identificación manipulado. El objetivo era instalar Pegasus sin que el usuario lo supiera. Apple solicitó una orden judicial que prohibiera a NSO el uso de su software y servicios.
Sin embargo, en un giro inesperado, Apple decidió en el año pasado retirar su caso. De acuerdo a la solicitud presentada ante el tribunal, la continuación del proceso suponía un riesgo, ya que temían que información confidencial sobre su sistema de inteligencia de amenazas pudiera ser expuesta. Apple argumentó que el entorno actual, caracterizado por actores maliciosos diversos y fragmentados, ya no equilibraba las ventajas potenciales del litigio frente a los riesgos de seguridad para sus usuarios.
Fotos | Boliviainteligente
En | WhatsApp La privacidad parecía ser una detección de bombas. Hasta que un fiscal intentó eliminar mensajes estresantes.
