La batalla judicial entre NSO Group, fabricante de Pegasus, y WhatsApp da un paso más con una sentencia que marca punto importante en la lucha por la privacidad y seguridad en internet. WhatsApp ha obtenido una victoria legal significativa contra el Grupo NSO de Israel al tener este que revelar el funcionamiento completo de Pegasus.
La decisión de la jueza de distrito estadounidense, Phyllis Hamilton, de obligar al Grupo NSO a entregar el código de Pegasus y otros productos de software espía a WhatsApp, representa un giro decisivo en un conflicto que se remonta a 2019. En ese entonces, WhatsApp razonó que 1.400 de sus usuarios fueron sometidos a vigilancia mediante este software espía, el cual accedió a sus datos sensibles, incluidos mensajes cifrados, durante un periodo de dos semanas.
La jueza Hamilton ordenó al Grupo NSO producir «todo el software espía relevante» entre el 29 de abril de 2018 y el 10 de mayo de 2020, abarcando el periodo antes y después del ataque citado. Asimismo, dictaminó que NSO debe entregar información sobre la «funcionalidad completa» de Pegasus, aunque la compañía replicó que solo debería ser requerida para entregar información sobre la capa de instalación de Pegasus. En un consuelo para NSO, Hamilton también decidió que no es necesario proporcionar los nombres de sus clientes ni divulgar información sobre su arquitectura de servidores.
Esta decisión ha causado preocupación dentro del aparato de defensa de Israel, ya que el código de Pegasus y otros productos de vigilancia es un secreto de Estado muy bien guardado, y cualquier licencia vendida a gobiernos extranjeros debe ser previamente aprobada por el Ministerio de Defensa del país.
Pegasus y su sistema espía de dispositivos
Pegasus se ha hecho evidente a nivel mundial por su capacidad para hackear dispositivos considerados seguros. Permite a sus usuarios tomar control del dispositivo, accediendo a todo en él mediante privilegios administrativos. Esto se logra a través de exploits de cero clics, que se aprovechan de bugs en aplicaciones como iMessage, WhatsApp y FaceTime.
Gobiernos de todo el mundo han utilizado Pegasus para dirigirse contra disidentes políticos, periodistas y activistas de derechos humanos. En 2021, Estados Unidos incluyó a NSO en una lista negra por supuestamente difundir «herramientas digitales utilizadas para la represión».
Esta decisión judicial permite a WhatsApp avanzar con su principal reclamación legal: Pegasus puede «interceptar comunicaciones enviadas desde y hacia un dispositivo, incluidas las comunicaciones a través de iMessage, Skype, Telegram, WeChat, Facebook Messenger, WhatsApp y otros», y que también podría ser «personalizado para diferentes propósitos, incluido interceptar comunicaciones, capturar capturas de pantalla y exfiltrar el historial del navegador«. Para probar la denuncia, WhatsApp necesitaba acceso a la funcionalidad completa de Pegasus, lo cual fue concedido por la jueza americana.
Otras organizaciones tras los secretos de Pegasus
WhatsApp no es la única entidad que persigue a Pegasus y los secretos que podría contener. Amnistía Internacional afirma que encontró evidencia de que Pegasus ha estado espiando a personas desde 2014. Este organismo inició su propia investigación tras descubrir que un miembro de Amnistía Internacional y el activista saudí, Yahya Assiri, habían sido objetivos en 2018. Esto dio lugar a una investigación colaborativa que involucró a más de 80 periodistas de 17 organizaciones mediáticas en 10 países, con el apoyo técnico del Laboratorio de Seguridad de Amnistía Internacional.
Sin embargo, esto no pareció detener las actividades del software espía. En 2023, Citizen Lab, con sede en la Universidad de Toronto en Canadá, informó que Pegasus podía afectar a iPhones que ejecutaban iOS 15 y versiones de iOS 16. Los investigadores advirtieron a Apple sobre las vulnerabilidades el año anterior.
Apple, posteriormente, advirtió a varios periodistas rusos el año pasado de que eran objetivos de ciberataques patrocinados por el estado, probablemente por Rusia, tras descubrir que Pegasus había sido instalado en el iPhone de la periodista rusa Galina Timchenko.
