Documentos judiciales revelan los lugares de las víctimas de WhatsApp afectadas por el spyware de NSO.

Un reciente documento judicial reveló que el spyware Pegasus, desarrollado por NSO Group, se utilizó para atacar a 1,223 usuarios de WhatsApp en 51 países distintos durante una campaña de piratería en 2019. Esta información se divulgó el viernes en el contexto de una demanda presentada por WhatsApp, que es propiedad de Meta, contra NSO Group, acusando al fabricante de tecnología de vigilancia de aprovechar una vulnerabilidad en la aplicación de mensajería para dirigirse a cientos de usuarios, incluida más de una centena de activistas de derechos humanos, periodistas y otros miembros de la sociedad civil. En su momento, WhatsApp señaló que alrededor de 1,400 usuarios habían sido atacados.

El documento judicial proporciona detalles específicos sobre los países en los que se encontraban los 1,223 individuos cuando fueron alcanzados por el spyware. Entre los países con mayor número de víctimas se encuentran México, con 456 personas; India, con 100; Bahréin, con 82; Marruecos, con 69; Pakistán, con 58; Indonesia, con 54; e Israel, con 51. También se identificaron víctimas en países de Europa y otras regiones, como España (12), los Países Bajos (11), Hungría (8), Francia (7), el Reino Unido (2) y un caso en Estados Unidos. Este desglose de países ofrece una visión única de la actividad de los clientes de NSO Group y la localización de sus objetivos.

Runa Sandvik, experta en ciberseguridad, destacó que numerosos reportajes han documentado el uso de Pegasus en todo el mundo, pero a menudo falta claridad sobre la magnitud del problema y el número de víctimas que no fueron notificadas o que no compartieron sus historias públicamente. La revelación de 456 casos solo en México pone de relieve la extensión real del problema del spyware.

Además, la campaña de piratería dirigida a los usuarios de WhatsApp se llevó a cabo en un periodo breve de solo dos meses, específicamente entre abril y mayo de 2019. Es importante señalar que no se ha confirmado si el hecho de que haya una víctima en un determinado país indica que el gobierno de ese país fue el cliente que utilizó el spyware contra esas personas. En algunos casos, un cliente gubernamental podría haber dirigido Pegasus a individuos fuera de su país.

El número de víctimas también da pistas sobre quiénes son los clientes de mayor pago de NSO Group. Se ha reportado que México gastó más de 60 millones de dólares en el spyware, lo que podría explicar la cantidad de objetivos mexicanos en la lista. En el último año, WhatsApp logró un hito judicial al determinarse que NSO Group había violado las leyes de piratería de EE. UU. al atacar a sus usuarios, y se espera una audiencia que determinará las indemnizaciones que NSO deberá pagar.

Adicionalmente, el caso ha revelado que NSO Group desconectó a 10 clientes gubernamentales tras informes de abuso del spyware, y que la herramienta de hacking de WhatsApp producida por NSO Group tenía un costo de hasta 6.8 millones de dólares por una licencia anual, generando al menos 31 millones de dólares en ingresos para la empresa en 2019.