Los grandes tecnológicos suponen proteger sus ecosistemas, pero la realidad es más compleja: no hay sistemas infalibles. Y si hay una compañía experta en encontrar la grieta correcta, es decir, el grupo NSO, la firma israelí responsable del software Espía Pegasus. Ahora, el objetivo ha logrado una victoria judicial histórica después de seis años de litigios: un jurado federal ha sentenciado a NSO a pagar más de 167 millones de dólares en daños punitivosAdemás de otros $ 444,000 en compensatorio, para afectar a los usuarios de WhatsApp con su herramienta de espionaje.
El gol declaró la guerra a Pegaso. La demanda se presentó en 2019, después de descubrir un ataque masivo que aprovechó una vulnerabilidad crítica en el sistema de llamadas de WhatsApp. El spyware de Pegasus podría instalarse en los dispositivos a través de una llamada simple, incluso si el usuario no respondió. A partir de ahí, pudo activar el micrófono y la cámara, acceso a mensajes, correos electrónicos, ubicaciones y todos los tipos de datos confidenciales del dispositivo.
Intentos de infección sospechosos recolectados del teléfono de un objetivo (Citizen Lab)La investigación se llevó a cabo en colaboración con Citizen Lab, que ayudó a identificar a los posibles afectados: más de 1.400 usuarios, incluidos periodistas, derechos humanos y activistas diplomáticos. WhatsApp dice que notificó directamente a cada una de estas personas y mostró parches de seguridad urgentes. Era la primera vez que un proveedor de mensajería cifrado trajo una empresa privada a los tribunales para usar herramientas de espionaje contra su plataforma.
Secretos que salieron a la luz. Durante el proceso judicial, el grupo NSO se vio obligado a admitir algo que había estado evitando confirmar: que su software es capaz de comprometer silenciosamente el “contenido completo” de un teléfono. Pegasus se puede infiltrarse tanto en iOS como en Android utilizando diferentes vectores, incluidas exploits de cero días, navegadores y servicios de mensajería, y una vez instalado, se comunica con servidores externos para enviar los datos.
El juicio forzó, por primera vez, a altas posiciones para declarar bajo juramento. Se expuso cómo funciona su sistema de vigilancia salarial, que opera como un servicio vendido a gobiernos y agencias. Además, Meta dejó en claro que WhatsApp no era el único objetivo de NSO: su infraestructura se utilizó para atacar a otros servicios, y su actividad afectó a los usuarios en al menos 20 países, según Citizen Lab. Pegaso, de hecho, puede comprometer otras aplicaciones encriptadas como una señal, lo que amplía el alcance de la amenaza.
El veredicto que marca un precedente. Como decimos, la decisión del Jurado recientemente anunciado Fuerza de NSO a pagar 167 millones de dólares por daños punitivos y más de $ 444,000 por dólares adicionales por daños compensatorios. Es el primer juicio judicial en los Estados Unidos que posee a una compañía de spyware para el uso ilegal de sus herramientas contra plataformas tecnológicas y usuarios civiles.
Meta no ha dudado en señalar este movimiento como un avance importante para la privacidad y la seguridad digital, y cree que la oración actúa como un elemento disuasorio para toda la industria del software de espía.
Apple también trató de llevarlos a juicio. Apple presentó su propia demanda contra NSO Group en noviembre de 2021. Afirmó que la compañía había usado la exploit de Forcentry para comprometer los dispositivos Apple a través de un sistema de identificación manipulado. El objetivo: instale Pegasus sin conocimiento del usuario. La compañía solicitó una orden judicial que prohibiera el uso de su software y servicios por parte de NSO.
Sin embargo, ocurrió que el año pasado Apple decidió retirarse del caso. Según la moción presentada a la corte, continuando con el proceso supuestamente un riesgo: temían que la información confidencial sobre su sistema de inteligencia de amenazas pudiera estar expuesta. Apple argumentó que el entorno actual, más fragmentado y con los actores maliciosos más diversos que cuando se presentó la demanda, los beneficios potenciales del juicio ya no compensan los riesgos de seguridad para sus usuarios.
Imágenes | Boliviainteligente
En Xataka | WhatsApp La privacidad parecía a prueba de bombas. Hasta que un fiscal estatal intentó borrar mensajes incriminatorios
