Estados Unidos multa al fabricante de Pegasus con 167 millones de dólares por 'hackear' WhatsApp

Duro revés judicial para el fabricante de Pegasus. Un jurado federal de Estados Unidos dictaminó ayer que la firma tecnológica israelí NSO Group deberá pagar una multa de 167 millones de dólares a Meta por haber 'hackeado' las conversaciones privadas de más de 1.000 personas en WhatsApp.

Tras seis años de litigio entre ambas compañías, el veredicto ha dado la razón al gigante tecnológico antes conocido como Facebook, que denunció que el programa de espionaje Pegasus explotó una vulnerabilidad desconocida de su aplicación de mensajería instantánea que le permitió infiltrarse en los dispositivos móviles de más de un millar de víctimas en todo el mundo.

"El veredicto de hoy en el caso de WhatsApp es un importante paso adelante para la privacidad y la seguridad como la primera victoria contra el desarrollo y el uso de software espía ilegal que amenaza la seguridad y la privacidad de todos", ha celebrado Meta en un comunicado en el que denuncia que Pegasus es "una amenaza para toda la industria".

Artur Mas fue el primer espiado con Pegasus en España y el segundo en el mundo, según Citizen Lab

Golpe al ciberespionaje

De esta manera, NSO Group deberá pagar 167.256.000 dólares en daños punitivos y otros 440.000 dólares en daños compensatorios, lo que supone el mayor golpe asestado nunca contra la floreciente industria del software espía. El elevado volumen de la multa podría amenazar con llevar a NSO Group a la bancarrota.

"Se sienta un precedente porque desestabiliza los incentivos y negocios de las empresas de spyware y las obligará a vigilar más a qué países venden estos sistemas", explica a EL PERIÓDICO el ingeniero informático Elies Campo, investigador del centro canadiense Citizen Lab —que ha destapado los abusos de Pegasus— y exempleado de WhatsApp.

Revelaciones inéditas

Pegasus es el arma de ciberespionaje más conocida del mundo. Este programa, envuelto en secretismo, es capaz de infiltrarse en móviles, recoger información de cualquier aplicación instalada en el dispositivo e incluso activar de forma remota tanto la cámara como el micrófono para usarlos para la vigilancia. Todo eso sin que las víctimas lo sepan ni lo autoricen.

El juicio contra NSO Group ha expuesto información hasta ahora desconocida sobre cómo funciona exactamente Pegasus. La empresa, fundada por exsoldados y exespías de Israel, ha admitido en los tribunales que entre 2018 y 2020 cobró a sus clientes europeos —entre los que estaría España— un "precio estándar" de 7 millones de dólares por el uso de su programa espía para piratear 15 dispositivos a la vez, con un complemento de 1 o 2 millones si la víctima estaba en otro país. Así se desprende de la declaración de Sarit Bizinsky Gil, vicepresidenta de operaciones comerciales globales de NSO, cuya transcripción ha compartido Meta.

'Surveilled': el documental sobre Pegasus que expone a España por el espionaje contra el independentismo en Catalunya

La firma israelí también ha admitido que gasta decenas de millones de dólares cada año para desarrollar nuevos métodos para implantar su programa espía tanto en dispositivos iOS como Android. "Lo que requiere una mayor inversión es detectar nuevas vulnerabilidades de las compañías tecnológicas o comprarlas en el mercado negro", explica Campo. Gigantes como Apple o Google ofrecen recompensas cada vez más altas a los investigadores en ciberseguridad para que identifiquen posibles brechas y les avisen antes de acudir a ese mercado negro.

Espionaje global (también en España)

NSO Group asegura que vende Pegasus como una herramienta para que los gobiernos puedan combatir el terrorismo y el crimen organizado. Sin embargo, múltiples investigaciones lideradas por el centro de investigación canadiense Citizen Lab han destapado su uso en países como México, Arabia Saudí o Hungría para vigilar y reprimir a políticos de la oposición, activistas humanitarios, diplomáticos y periodistas incómodos. Aunque EEUU puso a NSO en su lista negra en 2021, la CIA y el FBI pagaron colectivamente 7,6 millones de dólares para testear los servicios de Pegasus, según muestran los registros judiciales.

Una investigación identifica a tres responsables del espionaje con Pegasus y los lleva ante la justicia

Es también el caso de España, que se sirvió de Pegasus para espiar legal e ilegalmente a al menos 67 miembros destacados del movimiento independentista en Catalunya, desde presidentes de la Generalitat hasta abogados o activistas civiles. El Centro Nacional de Inteligencia (CNI), dependiente del Gobierno español, reconoció haber vigilado tan solo a 18 personas con previa autorización judicial del Tribunal Supremo. Un nuevo informe de Citizen Lab desveló el lunes que Artur Mas fue la segunda víctima de Pegasus a nivel mundial. El pasado noviembre, la asociación catalana en defensa de los derechos civiles y políticos Irídia identificó a tres responsables del espionaje del llamado CatalanGate y solicitó su imputación penal.