Un tribunal de California, Estados Unidos, dio luz verde al avance de una demanda presentada por el servicio de mensajería WhatsApp, de propiedad de Facebook Inc, contra el grupo israelí NSO Group, por un multitudinario hackeo registrado entre abril y mayo de 2019. Más allá de las sanciones contra la firma israelí, en este caso hay muchos otros elementos en juego para Mark Zuckeberg, el propietario de Facebook.
El escándalo que afectó a políticos, diplomáticos, empresarios, activistas de derechos humanos, abogados y periodistas, entre otros, estalló públicamente en julio de 2019, cuando una investigación conjunta de los diarios The Guardian del Reino y El País de España descubrió que los teléfonos disidentes catalanes habían sido infiltrados con el programa espía Pegasus, presuntamente creado por NSO Group.
Sin embargo, Facebook había descubierto el agujero casi dos meses antes. El 13 de mayo de 2019 publicó la advertencia de seguridad CVE-2019-3568, en la que alertaba que una vulnerabilidad permitía a atacantes tomar el control remoto de los teléfonos móviles.
Cómo operó Pegasus en WhatsApp
NSO Group asegura que provee tecnología a gobiernos extranjeros para ayudarlos a combatir el terrorsimo y el crimen. En ese contexto, está acusado de haber usado la aplicación Pegasus, que permite un monitoreo remoto de teléfonos móviles, para espiar a cerca de 1,400 personas de distintos países, muchos activistas de derechos humanos y periodistas.
Según la demanda, enero de 2018 y mayo de 2019 la firma israelí creó múltiples cuentas en Facebook y WhatsApp en Chipre, Israel, Brasil, Indonesia, Suecia y Holanda, entre otros. El propósito era utilizarlas para canalizar el programa espía a los teléfonos móviles. Posteriormente, arrendó servidores de empresas como Choopa, Quadranet y Amazon Web Service.
Aunque no se trató de un hackeo, NSO Group diseñó una aplicación emulaba ser una llamada originada WhatsApp. Solo bastaba eso para instalar el software espía en el teléfono atacado, ya que la víctima ni siquiera tenía que contestar la llamada entrante.
Entre abril y mayo de 2019. el programa llegó a los dispositivos unas 1.400 personas, cuyos mensajes, correos electrónicos, conservaciones, datos de ubicación, fotografías, grabaciones de video y audio, quedaron en manos de los atacantes.
Indemnización, credibilidad y más…
Lo que está en juego en este caso es más que la indemnización que Facebook pudiera obtener de parte de NSO Group, sino que también la credibilidad de la compañía -golpeada ahora también por las cuestionadas prácticas de tolerancia-: WhatsApp es usada por 1.500 millones de personas de 180 países.
Pero además podría exponer a los gobiernos que contrataron los servicios de la firma israelí para espiar a sus propios ciudadanos.
Según consigna el diario El País, que el tribunal californiano haya dado luz verde a la demanda obligará a que NSO dé explicaciones: deberá probar que no hackeó los teléfonos, dejando al descubierto a sus clientes. De hecho, Facebook está pidiendo «toda la información sobre clientes y servidores de NSO».
Con el objetivo de acogerse a la Ley FSIA (Ley de Inmunidad Soberana Extranjera), NSO argumentó en la cuestión previa que sus tratos comerciales eran con gobiernos extranjeros que usaban su tecnología para combatir el terrorismo y otros delitos graves.
«Estamos satisfechos con la decisión del Tribunal que nos permite seguir adelante con nuestros reclamos de que NSO participó en una conducta ilegal. La decisión también confirma que WhatsApp podrá obtener documentos relevantes y otra información sobre las prácticas de NSO», dijo Facebook en una declaración a TechCrunch.
