El veredicto emitido hoy en el caso de WhatsApp representa un avance significativo en la lucha por la privacidad y la seguridad, marcando una victoria inicial contra el uso de spyware ilegal que pone en riesgo tanto la seguridad de los ciudadanos como su privacidad. La decisión del jurado de condenar a NSO, reconocido por desarrollar software espía, a indemnizar es un importante aviso para la industria que se dedica a estas prácticas ilícitas dirigidas a empresas estadounidenses y a la protección de los datos de sus usuarios.

Este caso revive un incidente de hace seis años, cuando los ingenieros de WhatsApp detectaron y detuvieron un ataque de NSO mediante su herramienta de spyware Pegasus, la cual intentó apuntar a más de mil usuarios, entre ellos activistas de derechos humanos, periodistas y diplomáticos. En aquella ocasión, WhatsApp colaboró con Citizen Lab para investigar el ataque y notificar a los potenciales objetivos sobre las amenazas y cómo proteger sus dispositivos.

Operaciones de NSO y sus implicaciones

Durante este juicio, por primera vez se llevó a la sala de audiencias a ejecutivos de spyware, revelando la opacidad de sus sistemas de vigilancia. Pegasus está diseñado para infiltrarse clandestinamente en los dispositivos móviles, recopilando información de aplicaciones instaladas, lo que incluye datos financieros, ubicaciones, correos electrónicos y mensajes de texto. NSO incluso admitió que su software puede activar de forma remota el micrófono y la cámara del teléfono sin que el usuario lo sepa o autorice.

El juicio también puso de manifiesto que WhatsApp no fue la única plataforma atacada por NSO. Aunque se logró neutralizar el vector de ataque que utilizaba el sistema de llamadas en 2019, Pegasus posee múltiples métodos de infiltración, utilizando tecnologías de otras empresas para inyectar código malicioso. NSO reconoció que destina decenas de millones de dólares anuales en desarrollar técnicas de instalación de malware a través de mensajería instantánea, navegadores y sistemas operativos, confirmando que sus herramientas aún pueden comprometer dispositivos iOS y Android.

Compromiso continuo de WhatsApp y pasos a seguir

Dada la cantidad de información sensible a la que acceden los usuarios a través de aplicaciones de mensajería cifrada como WhatsApp y Signal, la empresa reiteró su compromiso de perseguir a los proveedores de spyware que amenazan a la población global. La reciente decisión judicial envía un claro mensaje a estas compañías, subrayando que sus acciones ilícitas en perjuicio de la tecnología estadounidense no serán toleradas.

WhatsApp también es consciente del largo camino que queda por recorrer para recaudar las indemnizaciones otorgadas a NSO y se compromete a hacerlo. A futuro, la empresa desea donar a organizaciones de derechos digitales que luchan contra ataques similares en todo el mundo. Además, planea solicitar una orden judicial que prevenga a NSO de volver a dirigir ataques a WhatsApp.

Para finalizar, la compañía anima a los investigadores en seguridad a reportar vulnerabilidades a través de su programa de recompensas, con el fin de abordarlas rápidamente y proteger a los usuarios. Además, planea hacer públicos los transcripciones no oficiales de los videos de declaración mostrados en tribunal para que sean accesibles a investigadores y periodistas que estudian estas amenazas y trabajan en la defensa del público. Se añadirán transcripciones oficiales una vez estén disponibles.