El reciente veredicto en el caso de Meta (WhatsApp) contra NSO Group, el fabricante del software Pegasus, marca un hito sin precedentes que merece un análisis profundo desde la ciberseguridad y el derecho informático. Después de seis años de litigio, un jurado federal en California ha condenado a NSO Group a pagar una suma cercana a los 168 millones de dólares en daños, incluyendo más de 167 millones en daños punitivos y más de 444.000 dólares en daños compensatorios para WhatsApp.
Esta sentencia no es solo una cifra millonaria, es la primera vez que una empresa fabricante de spyware comercial es responsabilizada judicialmente en Estados Unidos por el uso ilegal de sus herramientas contra plataformas tecnológicas y usuarios civiles.
La Grieta Explotada
El origen de este caso se remonta a 2019, cuando WhatsApp detectó un ataque masivo que explotaba una vulnerabilidad crítica en su sistema de llamadas. Desde una perspectiva técnica, lo alarmante de este ataque era su método de entrega: el software espía Pegasus podía instalarse en los dispositivos afectados con una simple llamada de WhatsApp, incluso si el usuario no llegaba a responder. Esto demuestra una sofisticación en la explotación de protocolos de comunicación a nivel de aplicación, eludiendo la interacción del usuario final.
Las capacidades de Pegasus, confirmadas por NSO Group bajo juramento durante el juicio, son un manual de amenazas persistentes avanzadas (APT) orientadas a dispositivos móviles. Una vez instalado, Pegasus no es un simple malware; es un sistema de vigilancia integral capaz de comprometer silenciosamente “todo el contenido” de un teléfono. Esto incluye activar el micrófono y la cámara de forma remota, acceder a mensajes, correos electrónicos, datos de localización, información financiera y cualquier otro tipo de dato sensible del dispositivo. NSO Group admitió que gasta decenas de millones de dólares anuales en desarrollar métodos de instalación de malware a través de diversas superficies de ataque, incluyendo mensajería instantánea, navegadores y sistemas operativos, y que su spyware es capaz de comprometer dispositivos tanto iOS como Android incluso hoy en día.
La colaboración con Citizen Lab fue fundamental para la investigación inicial, ayudando a identificar a más de 1.400 usuarios afectados, incluyendo periodistas, activistas de derechos humanos y diplomáticos en al menos 20 países (otras fuentes elevan la cifra a más de 50 países). La capacidad de Pegasus para comprometer incluso aplicaciones con cifrado de extremo a extremo como Signal subraya que la fortaleza del cifrado a nivel de aplicación puede verse anulada si el sistema operativo subyacente está comprometido por un rootkit de nivel tan profundo.
El Precedente Legal
Desde la perspectiva del derecho informático este caso es monumental. La demanda de WhatsApp, presentada en 2019 argumentó que NSO Group había violado leyes federales y estatales de EE.UU. incluyendo la Ley de Fraude y Abuso Informático (Computer Fraud and Abuse Act – CFAA). En diciembre de 2024, una jueza federal en California dictaminó previamente que NSO Group había explotado ilegalmente un error en WhatsApp y era responsable de los ataques. Esto dejó al jurado la tarea de determinar únicamente el monto de los daños.
El argumento central de NSO Group, común en la industria del spyware, ha sido que su software es una herramienta legal vendida exclusivamente a gobiernos y agencias autorizadas para combatir el crimen grave y el terrorismo. Sin embargo, durante el juicio, la jueza Phyllis Hamilton redujo su intento de presentar pruebas sobre cómo su tecnología ayuda a los gobiernos a perseguir a criminales y terroristas. La razón fue que NSO Group se negó a proporcionar detalles sobre los objetivos específicos de sus clientes, lo que llevó a la jueza a afirmar que NSO no podía alegar que su intención es ayudar a combatir el terrorismo y la explotación infantil, mientras afirmaba no tener nada que ver con el uso que sus clientes dan a la tecnología. La jueza también criticó a NSO por fallar repetidamente en producir evidencia relevante y desobedecer órdenes judiciales.
La sentencia del jurado, con sus considerables daños punitivos, busca precisamente castigar y disuadir este tipo de conducta. El hecho de que sea la primera sentencia en EE.UU. en este contexto la convierte en un precedente legal crítico que podría abrir la puerta a acciones legales similares por parte de otras plataformas tecnológicas afectadas.
Es interesante contrastar este caso con el de Apple contra NSO Group. Apple también presentó una demanda en 2021 alegando el uso del exploit FORCEDENTRY para comprometer sus dispositivos. Sin embargo, Apple decidió retirarse del caso el año pasado, supuestamente por temor a que se expusiera información confidencial sobre su sistema de inteligencia de amenazas. Esto pone de manifiesto la complejidad inherente a estos litigios, donde la búsqueda de justicia debe ponderarse frente a los riesgos de seguridad que la revelación de ciertas informaciones podría acarrear para la protección de otros usuarios y sistemas.
Implicaciones y el Futuro de la Lucha Contra el Spyware
La victoria de Meta es celebrada por organizaciones de derechos digitales y humanos como una «victoria trascendental» en la lucha contra el abuso del spyware. La sentencia es vista como un fuerte elemento disuasorio para toda la industria del software espía. Meta ha indicado que planea donar los daños recaudados a organizaciones de derechos digitales y que buscará una orden judicial para impedir que NSO vuelva a atacar WhatsApp en el futuro. Además, WhatsApp planea publicar transcripciones de declaraciones bajo juramento de ejecutivos de NSO Group para ayudar a los investigadores a comprender el uso global del spyware.
Aunque NSO Group ha manifestado que examinará el veredicto y buscará recursos legales, incluyendo una posible apelación, el golpe a su reputación y modelo de negocio es significativo.
Si bien podemos señalar que NSO Group podría sufrir gravemente o incluso desaparecer, la tecnología de spyware y sus servicios probablemente continuarán existiendo bajo otros nombres.
Este caso subraya la necesidad de un enfoque híbrido, combinando la experiencia en ciberseguridad para entender y mitigar las amenazas técnicas con la aplicación rigurosa del derecho informático para establecer responsabilidades y sentar precedentes. La sentencia de Meta contra NSO Group es una señal clara de que las empresas tecnológicas y la sociedad civil están dispuestas a utilizar todos los medios disponibles, técnicos y legales, para defender la privacidad y la seguridad en el espacio digital contra actores maliciosos, ya sean estatales o privados.
