NSO Group condenado a pagar 167 millones por violar privacidad

El juicio que puso en jaque a NSO Group

El reciente fallo judicial en el caso entre WhatsApp y NSO Group ha marcado un hito en la lucha contra el uso indebido de tecnologías de vigilancia. Un jurado ha dictaminado que NSO Group debe pagar más de 167 millones de dólares a WhatsApp por la intrusión en la privacidad de más de 1.400 usuarios de la plataforma de mensajería. Este juicio no solo es un triunfo para WhatsApp, sino que también ha revelado aspectos inquietantes sobre la naturaleza de la vigilancia moderna y el papel que desempeñan las empresas de tecnología en este ámbito.

Este caso se ha prolongado durante más de cinco años, comenzando en octubre de 2019, cuando WhatsApp acusó a NSO Group de aprovechar una vulnerabilidad en su funcionalidad de llamadas de audio para hackear a sus usuarios.

El veredicto llegó tras una semana de testimonios en el tribunal, donde se escucharon las declaraciones de importantes figuras, como el CEO de NSO Group, Yaron Shohat, así como empleados de WhatsApp que participaron en la investigación de los ataques. Durante el juicio, se desvelaron numerosas revelaciones que no solo comprometieron a NSO Group, sino que también plantearon serias preguntas sobre la ética de la vigilancia y el uso de tecnologías de espionaje.

Revelaciones impactantes del juicio

Uno de los aspectos más sorprendentes que salió a la luz durante el juicio fue la confirmación de que NSO Group había suspendido a diez de sus clientes gubernamentales debido a abusos en el uso de su spyware Pegasus. Esta revelación pone de manifiesto la falta de control que existe sobre las empresas que desarrollan herramientas de vigilancia.

La información expuesta durante el juicio ha desvelado que varios gobiernos, entre ellos México, Arabia Saudita y Uzbekistán, han sido clientes de NSO Group, utilizando sus herramientas para realizar actividades de espionaje.

Además, se identificaron las ubicaciones de 1.223 víctimas de la campaña de spyware, lo que subraya la amplitud y gravedad de la situación. Este tipo de información no solo afecta a individuos, sino que también tiene implicaciones para la seguridad nacional y la privacidad de millones de usuarios.

Cómo funcionaba el ataque de WhatsApp

El ataque que llevó a WhatsApp a demandar a NSO Group se basaba en un método conocido como "zero-click", lo que significa que no se requería ninguna interacción por parte del objetivo para que el spyware fuera instalado. Durante el juicio, el abogado de WhatsApp, Antonio Pérez, explicó que el ataque se ejecutaba mediante la realización de una llamada telefónica falsa a través de la aplicación.

El mecanismo del ataque consistía en que, al recibir la llamada, los dispositivos de los usuarios se conectaban a un servidor externo para descargar el spyware Pegasus. Este proceso solo requería el número de teléfono del objetivo, lo que lo convertía en un ataque particularmente insidioso.

La relación entre NSO Group y el gobierno estadounidense

A lo largo del juicio, se abordó el controvertido tema de la relación entre NSO Group y el gobierno de Estados Unidos. Durante años, la empresa ha afirmado que su software no puede ser utilizado contra números de teléfono estadounidenses. Sin embargo, en 2022, se reveló que, efectivamente, la compañía había "atacado" un número estadounidense como parte de una prueba para el FBI.

Este hecho ha desatado un debate sobre la ética de utilizar tecnología de espionaje en un país que presume de ser un defensor de los derechos humanos y la privacidad.

El abogado de NSO Group, Joe Akrotirianakis, confirmó que esta "excepción única" se realizó con una versión especial de Pegasus, diseñada específicamente para demostrar su funcionalidad a clientes potenciales del gobierno de EE. UU. A pesar de las pruebas realizadas, el FBI optó por no implementar Pegasus tras la demostración, lo que plantea interrogantes sobre la confianza que se puede tener en estas tecnologías.

El uso de Pegasus por parte de gobiernos

Yaron Shohat, CEO de NSO Group, ofreció detalles sobre cómo sus clientes gubernamentales utilizan Pegasus. Según su testimonio, la interfaz de usuario de Pegasus no permite a los clientes seleccionar qué método de hackeo utilizar, lo que implica que el sistema decide automáticamente el mejor enfoque para cada objetivo. Este hecho pone de manifiesto el peligro inherente al uso de tecnologías de vigilancia sin una supervisión adecuada.

El hecho de que los clientes no tengan control sobre el método utilizado sugiere que la única preocupación de estos gobiernos es obtener la información necesaria, sin importar el medio utilizado para conseguirla. Esto plantea un dilema ético considerable, especialmente en lo que respecta a los derechos humanos y la privacidad individual.

La sede de NSO Group y su relación con Apple

En un giro irónico, la sede de NSO Group se encuentra en el mismo edificio que Apple en Herzliya, un suburbio de Tel Aviv. Este hecho ha sido objeto de numerosas especulaciones, especialmente considerando que los usuarios de iPhone son frecuentemente blanco del spyware de NSO. La coincidencia de que ambas empresas compartan edificio resalta la complejidad de la industria tecnológica actual y la delgada línea entre la innovación y la explotación.

Shohat mencionó que NSO ocupa los cinco pisos superiores del edificio, mientras que Apple ocupa el resto. Esta proximidad geográfica ha suscitado debates sobre la responsabilidad que tienen las empresas tecnológicas en la lucha contra el uso indebido de sus productos.

La continuación de los ataques tras la demanda

Uno de los aspectos más preocupantes revelados durante el juicio fue que, a pesar de que WhatsApp había presentado una demanda contra NSO Group, la empresa continuó atacando a los usuarios de WhatsApp. Tamir Gazneli, vicepresidente de investigación y desarrollo de NSO Group, admitió que una de las versiones del vector de ataque, conocida como "Erised", se utilizó desde finales de 2019 hasta mayo de 2020, incluso después de que la demanda había sido presentada.

Este hecho pone de manifiesto la falta de escrúpulos de NSO Group y su disposición a seguir operando al margen de la ley, poniendo en riesgo la seguridad de miles de usuarios.

Los otros vectores de ataque, llamados "Eden" y "Heaven", formaban parte de una serie de herramientas que NSO utilizó para llevar a cabo sus operaciones de espionaje. La revelación de que estos ataques continuaron a pesar de las acciones legales en su contra pone en evidencia la urgencia de establecer regulaciones más estrictas sobre el uso de tecnologías de vigilancia.

Implicaciones del fallo judicial

El fallo judicial que obliga a NSO Group a pagar una suma significativa a WhatsApp es un claro mensaje de que el uso indebido de tecnologías de espionaje no será tolerado. Sin embargo, el caso también plantea preguntas sobre la efectividad de las leyes actuales en la protección de la privacidad de los ciudadanos.

A medida que la tecnología avanza, también lo hacen las tácticas de vigilancia, lo que requiere una revisión constante de las regulaciones y políticas para asegurar que la privacidad de los usuarios esté protegida.

El impacto de este juicio podría sentar un precedente para futuros casos relacionados con la vigilancia y el uso de spyware. A medida que más empresas y gobiernos se ven involucrados en la carrera por la tecnología de vigilancia, la necesidad de un marco regulatorio claro y ético se vuelve cada vez más apremiante.

El caso entre WhatsApp y NSO Group es un recordatorio de que la lucha por la privacidad en la era digital es una batalla constante, y que las implicaciones de este tipo de tecnología pueden ser profundas y duraderas.