NSO Group reconoce haber cancelado contratos a 10 clientes por el uso indebido de su spyware Pegasus, según documentos judiciales revelados.

WhatsApp logró una victoria legal al conseguir que un juez federal estadounidense ordenara la divulgación pública de tres documentos judiciales que revelan aspectos internos sobre Pegasus, el software espía desarrollado por NSO Group, una empresa israelí de tecnología de vigilancia. Los documentos desclasificados incluyen información de testimonios de empleados de NSO durante el proceso legal, documentos internos de la compañía y mensajes de WhatsApp intercambiados entre empleados de NSO, obtenidos por WhatsApp a través de citaciones.

Entre las revelaciones, se destaca que NSO desconectó, en los últimos años, a diez clientes gubernamentales del acceso a Pegasus, alegando abusos en el uso de su servicio. Esta revelación forma parte de la demanda presentada por WhatsApp en 2019, en la que acusa a NSO de infringir la ley anti-hacking, el Computer Fraud and Abuse Act, así como de violar los términos de servicio de WhatsApp al acceder a sus servidores y atacar a usuarios individuales con spyware enviado a través de la aplicación de chat. Las acusaciones están basadas en ataques cibernéticos dirigidos a usuarios de WhatsApp, entre los que se incluyen periodistas, disidentes y defensores de derechos humanos.

Según un portavoz de WhatsApp, la evidencia revelada ilustra cómo las operaciones de NSO violentaron la ley estadounidense y facilitaron ataques cibernéticos contra periodistas y activistas. WhatsApp se comprometió a seguir trabajando para responsabilizar a NSO y proteger a sus usuarios.

Los documentos judiciales también destacan que NSO había creado un conjunto de herramientas de hackeo llamadas "Hummingbird", que permitía acceder a datos privados en los teléfonos de los objetivos. Este conjunto podía costar hasta 6.8 millones de dólares a los clientes gubernamentales de NSO en un año y generó al menos 31 millones de dólares en ingresos durante 2019. Se estima que NSO instaló Pegasus en “decenas de miles” de dispositivos gracias a estas herramientas.

Hasta ahora, no estaba claro quién enviaba realmente los mensajes maliciosos a través de WhatsApp. A pesar de que NSO había afirmado no tener conocimiento de las operaciones de sus clientes, los nuevos documentos judiciales plantean dudas sobre estas afirmaciones. WhatsApp argumentó que la intervención de los clientes de NSO era mínima, dado que solo necesitaban ingresar el número de teléfono objetivo y la instalación del software se realizaba de forma remota.

Un empleado de NSO reconoció que la decisión de emplear mensajes de WhatsApp para activar el spyware recaía en ellos. En respuesta, un portavoz de NSO reafirmó que el sistema es operado exclusivamente por sus clientes y que la empresa no tiene acceso a la inteligencia obtenida por sus herramientas.

Uno de los métodos utilizados por NSO para atacar a los usuarios de WhatsApp fue crear un "WhatsApp Installation Server", una versión modificada de la aplicación para enviar sus exploits. NSO admitió haber configurado cuentas reales de WhatsApp para sus clientes. WhatsApp logró neutralizar los exploits "Eden" y "Heaven" con actualizaciones de seguridad. Estos exploits estaban diseñados para redirigir dispositivos WhatsApp a un servidor de relé malicioso controlado por NSO.

Otro exploit, denominado "Erised", permitía comprometer un teléfono sin interacción del usuario. WhatsApp bloqueó su uso en mayo de 2020, meses después de interponer la demanda. Recientemente, se reveló que Pegasus fue utilizado contra la princesa Haya de Dubái, lo que llevó a NSO a desconectar el acceso a Pegasus para diez de sus clientes debido a abusos.

En este contexto, WhatsApp busca un juicio sumario en el caso mientras espera una decisión del juez. La información revelada podría ser valiosa para otras personas que han demandado a NSO en diferentes países, ya que podría ayudar a fortalecer sus casos contra la empresa.