WhatsApp, de Meta, obtuvo un fallo favorable en el tribunal del Distrito Norte de California, Estados Unidos, en su demanda contra NSO Group, el desarrollador israelí del software espía Pegasus. Esto, después de que la corte determinara que la compañía violó leyes estadounidenses al utilizar la infraestructura de WhatsApp para distribuir su malware a miles de dispositivos, sin autorización de la plataforma.
De acuerdo con la demanda, NSO Group envió archivos maliciosos desde servidores ubicados en Estados Unidos, lo que facilitó la entrega del spyware Pegasus. Este software permite el acceso remoto a teléfonos móviles sin que el usuario lo note, incluso tomando control de la cámara, micrófono y otras funciones del dispositivo. En este caso, WhatsApp identificó que al menos 1.400 dispositivos fueron atacados entre abril y mayo de 2019.
El juez del caso, tras revisar las pruebas, concluyó que NSO incurrió en violaciones a la Ley de Fraude y Abuso Informático (CFAA), a la Ley de Protección de Datos de California, y también incumplió los términos de servicio de WhatsApp. Además, el tribunal sancionó a NSO Group por no proporcionar información clave durante el proceso judicial, como el código fuente completo de Pegasus, lo que afectó su defensa.
La próxima fase del proceso judicial en Estados Unidos se centrará en la determinación del monto de daños a pagar por NSO, mientras continúan otros procedimientos relacionados con sanciones y medidas cautelares.
La respuesta de Meta
La plataforma de Meta por su parte, reiteró durante el tiempo que duró el juicio que continuará su lucha legal para evitar que plataformas como la suya sean utilizadas con fines de vigilancia ilegal. Asimismo, Will Cathcart, CEO de WhatsApp, señaló que esta resolución hizo historia; añadió que el veredicto es un elemento disuasorio fundamental para la industria del software espía contra sus actos ilegales dirigidos contra las empresas estadounidenses y los usuarios de la app en todo el mundo.
“Este juicio también puso de manifiesto que WhatsApp no era ni mucho menos el único objetivo de NSO: se trata de una amenaza que afecta a todo el sector y nos hará falta a todos para defendernos de ella”, recalcó Cathcart, mediante una publicación en su cuenta de X.
Al respecto, la plataforma detalló en un comunicado de prensa que Pegasus tiene otros métodos de instalación de spyware para explotar las tecnologías de otras empresas y manipular los dispositivos de las personas para que descarguen código malicioso y comprometan sus teléfonos. De hecho, NSO admitió que gasta decenas de millones de dólares al año para desarrollar métodos de instalación de malware, incluso a través de mensajería instantánea, navegadores y sistemas operativos. Además, su spyware es capaz de comprometer dispositivos iOS o Android hasta el día de hoy.
El siguiente paso para WhatsApp será obtener una orden judicial que impida a NSO Group volver a atacar su plataforma.
La tecnología de Pegasus también se usó en Latinoamérica
El fallo reaviva el debate internacional sobre el uso de Pegasus que ha sido relacionado con casos de vigilancia a periodistas, defensores de derechos humanos, líderes políticos y empresarios en distintos países. Según investigaciones del laboratorio Citizen Lab de la Universidad de Toronto y del consorcio Pegasus Project, liderado por Amnistía Internacional y Forbidden Stories, el software espía ha sido utilizado en más de 45 países.
México
Entre los casos más notorios figura el espionaje a periodistas en México, donde se detectaron más de 15.000 números telefónicos como posibles objetivos. Citizen Lab reveló que Pegasus fue adquirido por el gobierno federal y que se utilizó para monitorear a defensores de derechos humanos y periodistas críticos.
En 2022, el gobierno mexicano reconoció que el software seguía en uso, aunque con fines presuntamente limitados a la seguridad nacional, lo que generó polémica y reclamos de transparencia. Entre los casos más conocidos está el espionaje a los periodistas del medio liderado por la periodista Carmen Aristegui y a los abogados de los 43 estudiantes de Ayotzinapa.
El Salvador
También durante 2022, una investigación conjunta entre Access Now y Citizen Lab reveló que al menos 35 periodistas y miembros de la sociedad civil de El Salvador fueron espiados entre 2020 y 2021 con Pegasus. Entre los medios afectados destacan El Faro, Gato Encerrado y La Prensa Gráfica, de acuerdo con el reporte. Los ataques se realizaron mientras estos medios investigaban presuntos pactos entre el gobierno y pandillas.
Colombia
Aunque no se han identificado tantas víctimas como en México o El Salvador, Citizen Lab señaló que hubo intentos de infección por Pegasus relacionados con números en Colombia durante el mandato de Iván Duque. El contexto apunta a posibles usos por parte de agencias de seguridad en investigaciones contra el narcotráfico o la oposición política.
De hecho, el actual presidente de Colombia, Gustavo Petro, detalló en septiembre de 2024 que la compra se realizó de manera clandestina, involucrando el transporte de 11 millones de dólares en efectivo vía aérea desde Bogotá, Colombia, a Tel Aviv, Israel, el 27 de junio del 2021. El dinero fue declarado a la aduana israelí y depositado en la cuenta de la empresa el 30 de junio del 2021.
Panamá
En este caso, exfuncionarios del gobierno del expresidente Ricardo Martinelli enfrentaron procesos judiciales por la compra y uso de software de espionaje, incluyendo Pegasus. Aunque el gobierno panameño negó su utilización, surgieron documentos que indicaban negociaciones con NSO Group. Pegasus entró al país en 2012 y se usó hasta mayo de 2014, de acuerdo con información del Ministerio Público de Panamá.
La imagen de arriba fue creada por Mobile Time con inteligencia artificial.
