El martes, un jurado federal de Estados Unidos ordenó al fabricante más conocido de software espía para gobiernos pagar la suma récord de 167 millones de dólares por hackear a más de 1.000 personas a través de mensajes de WhatsApp, culminando de manera sorprendente seis años de litigio.
El veredicto se alcanzó en el segundo día de deliberaciones durante la fase de determinación de daños del juicio en Oakland, California. En diciembre, la jueza de distrito Phyllis Hamilton concedió una moción de juicio sumario a WhatsApp contra NSO Group, con sede en Israel, al determinar que la empresa había violado la Ley de Fraude y Abuso Informático de Estados Unidos y una ley similar de California con su programa de espionaje conocido como Pegasus.
La indemnización del martes incluye 167.256.000 dólares en daños punitivos y 440.000 dólares en daños compensatorios, lo que constituye el golpe más significativo hasta la fecha contra la creciente industria del software espía.
Aunque Pegasus se comercializa a gobiernos como una herramienta para combatir el terrorismo y el crimen organizado, un flujo constante de investigaciones ha demostrado su uso contra líderes políticos, activistas pacíficos y periodistas en diversas partes del mundo.
“El veredicto de hoy en el caso de WhatsApp es un paso importante para la privacidad y la seguridad, siendo la primera victoria contra el desarrollo y uso de software espía ilegal que pone en peligro la seguridad y privacidad de todos”, declaró Meta, la empresa matriz de WhatsApp.
“La decisión del jurado de obligar a NSO, un notorio vendedor extranjero de software espía, a pagar daños es un elemento disuasorio clave para esta industria malintencionada y sus actos ilegales dirigidos contra empresas estadounidenses, así como contra la privacidad y seguridad de las personas a las que servimos”.
NSO afirmó que probablemente apelará.
“NSO sigue plenamente comprometida con su misión de desarrollar tecnologías que protejan la seguridad pública, reforzando continuamente nuestro marco de cumplimiento líder en la industria y garantizando que nuestra tecnología se utilice únicamente para sus fines legítimos y autorizados por gobiernos soberanos legítimos”, declaró Gil Lanier, portavoz de la empresa.
Meta afirmó que, si logra cobrar el dinero de la compañía israelí, lo donará a organizaciones de derechos digitales que han desempeñado un papel crucial en la detección y análisis de los ataques con software espía.
“Tenemos un largo camino por recorrer para cobrar los daños otorgados a NSO y planeamos hacerlo”, afirmó Meta. “En última instancia, nos gustaría realizar una donación a organizaciones de derechos digitales que trabajan para defender a las personas frente a este tipo de ataques en todo el mundo. Nuestro siguiente paso es asegurar una orden judicial que impida a NSO dirigirse nuevamente contra WhatsApp”.
El fallo de diciembre de Hamilton responsabilizó a NSO por hackear los sistemas de la unidad de Meta al enviar software malicioso a través de sus servidores a alrededor de 1.400 teléfonos seleccionados, los cuales, según Meta, pertenecían a funcionarios gubernamentales, periodistas, activistas de derechos humanos y disidentes en decenas de países.
Hamilton también determinó que WhatsApp tenía derecho a imponer sanciones a NSO por negarse a entregar el código fuente del software durante el proceso de descubrimiento, aunque la multa correspondiente sería determinada en una etapa posterior. Asimismo, resolvió que, con las cuestiones legales principales ya resueltas, el caso solo debería avanzar al juicio para determinar cuánto debía pagar la empresa en concepto de daños civiles.
El caso incluyó el primer testimonio en Estados Unidos de ejecutivos de NSO, quienes durante mucho tiempo han evitado aparecer públicamente.
El fallo del jurado es, con mucho, el resultado más significativo de decenas de demandas en una industria que se encuentra en el centro de disputas globales sobre los poderes de vigilancia gubernamental y las libertades individuales. Que el caso haya tardado tanto en llegar a juicio, después de una apelación que llegó a la Corte Suprema de los Estados Unidos, subraya lo que está en juego y los intereses nacionales involucrados.
El gobierno de los Estados Unidos sancionó a NSO y a un puñado de otras empresas e individuos después de determinar que operaban en oposición a los intereses estadounidenses. La mayoría de los aliados estadounidenses han sido lentos en seguir su ejemplo.
Apple abandonó un caso similar contra NSO en septiembre, después de que las autoridades israelíes supuestamente confiscaron el código fuente de la compañía y NSO declaró que ya no podía producirlo. NSO ha estado estrechamente aliada con el gobierno israelí, del cual la empresa ha afirmado que necesita permiso para exportar sus productos.
NSO había argumentado que debería estar exenta de castigo legal porque solo vende a agencias gubernamentales, que son las que determinan a qué personas apuntar con los programas, pero los tribunales de apelación rechazaron esa defensa. Los ejecutivos de la empresa reconocieron en las deposiciones que determinan cómo se llevan a cabo los hackeos, en función del teléfono y el software que utiliza cada objetivo.
Pegasus y programas similares han explotado una serie de fallos de seguridad, incluidos aquellos en WhatsApp y el sistema operativo de Apple, para acceder a teléfonos y capturar fotos, correos electrónicos y mensajes de texto, incluso aquellos que están completamente cifrados durante su transmisión.
En algunos casos, esas vulneraciones no requieren ninguna interacción del usuario y dejan el software prácticamente indetectable.
Las pruebas presentadas en el caso demostraron cuán capaz y peligroso ha sido NSO, teniendo a 140 empleados buscando formas de explotar los iPhones de Apple y los teléfonos Android impulsados por Google, así como las aplicaciones que funcionan en ellos. Un ejecutivo de NSO testificó que el programa espía se había instalado a través de sistemas operativos, mensajeros instantáneos y navegadores.
Pegasus está programado con bloqueos técnicos para evitar espionaje dentro de Estados Unidos y en teléfonos con números estadounidenses físicamente ubicados en cualquier otra parte del mundo, según un abogado de NSO.
Sin embargo, los programas de espionaje creados por otros proveedores o por agencias nacionales no tienen tales limitaciones. Esta es una de las razones por las cuales los expertos en seguridad han mostrado alarma ante el uso de Signal y un programa de archivo para sus mensajes por parte de funcionarios de la Casa Blanca, incluidos Michael Waltz, que fue recientemente destituido como asesor de seguridad nacional, y el secretario de Defensa Pete Hegseth. Aunque Signal está cifrado de extremo a extremo, cualquier software espía que pueda tomar control de un teléfono puede acceder a todos esos mensajes.
El testimonio en el caso de WhatsApp mostró que NSO utilizó una sucesión de ataques contra la compañía entre 2018 y 2020, alterando su técnica cuando WhatsApp bloqueaba métodos anteriores. Una de esas modificaciones ocurrió después de que WhatsApp presentó la demanda, lo que reforzó el argumento de Meta de que NSO había actuado deliberadamente.
Meta informó a la corte que había pagado más de 400.000 dólares (aproximadamente 379.000 euros) en salarios a empleados mientras combatían contra NSO.
Sin embargo, el abogado de NSO, Joseph Akrotirianakis, dijo al jurado que esos salarios se habrían pagado de todos modos y que no se les pedía que consideraran los impactos en las víctimas finales de los hackeos, solo los costos para Meta.
“Esta demanda trata de publicidad”, dijo en sus argumentos finales. “Facebook quería generar titulares sobre cuán profundamente, firmemente y genuinamente cree en proteger la privacidad de sus usuarios, y vio demandar a NSO como una manera fácil de obtener esos buenos titulares”.
NSO enfatizó que había utilizado los servidores de WhatsApp solo para pasar mensajes contaminados a las víctimas.
“Pegasus no tomó nada de los servidores de WhatsApp”, dijo Akrotirianakis. “No dejó nada atrás. No ejecutó ningún código en los servidores de WhatsApp, ni eliminó, cambió o corrompió ningún dato”.
Para ganar daños punitivos bajo el estatuto de hackeo de California, Meta tuvo que demostrar con evidencia convincente que NSO era “culpable de opresión, fraude o malicia”.
Para transmitir al jurado la magnitud que tendría que tener una compensación para tener impacto, WhatsApp estableció, mediante un testimonio a veces combativo, que NSO gastaba alrededor de 50 millones de dólares (aproximadamente 47,3 millones de euros) al año en investigación y desarrollo.
El director ejecutivo de NSO, Yaron Shohat, testificó que NSO perdió 12 millones de dólares (aproximadamente 11,4 millones de euros) en 2024 y 9 millones de dólares (aproximadamente 8,5 millones de euros) en 2023 y que tendría dificultades para pagar daños significativos.
© 2025, The Washington Post.
