Un jurado ha otorgado a WhatsApp $ 167 millones en daños punitivos en un caso que la compañía presentó contra el grupo NSO con sede en Israel por explotar una vulnerabilidad de software que secuestró los teléfonos de miles de usuarios.
El veredicto, alcanzado el martes, se produce como una gran victoria no solo para WhatsApp de meta, sino también para los defensores de los derechos de privacidad y seguridad que han criticado durante mucho tiempo las prácticas de NSO y otros vendedores de explotación. El jurado también otorgó a WhatsApp $ 444 millones en daños compensatorios.
Explotación sin clic
WhatsApp demandó a NSO en 2019 por un ataque que se dirigió a aproximadamente 1,400 teléfonos móviles que pertenecen a abogados, periodistas, activistas de derechos humanos, disidentes políticos, diplomáticos y altos funcionarios del gobierno extranjero. NSO, que trabaja en nombre de los gobiernos y las autoridades de aplicación de la ley en varios países, explotó una vulnerabilidad crítica de WhatsApp que le permitió instalar el spyware patentado de NSO Pegasus en dispositivos iOS y Android. El exploit sin clic funcionó colocando una llamada a la aplicación de un objetivo. Un objetivo no tuvo que responder a la llamada para infectarse.
“El veredicto de hoy en el caso de WhatsApp es un importante paso adelante para la privacidad y la seguridad como la primera victoria contra el desarrollo y el uso de spyware ilegal que amenaza la seguridad y la privacidad de todos”, dijo WhatsApp en un comunicado. “Hoy, la decisión del jurado de forzar a NSO, un notorio comerciante de spyware extranjero, a pagar daños es un elemento disuasorio crítico para esta industria maliciosa contra sus actos ilegales dirigidos a las empresas estadounidenses y la privacidad y la seguridad de las personas a las que atendemos”.
NSO creó cuentas de WhatsApp en 2018 y las usó un año después para iniciar llamadas que explotaron la vulnerabilidad crítica en los teléfonos, que, entre otros, incluían 100 miembros de la “sociedad civil” de 20 países, según un grupo de investigación de investigación Citizen Lab realizado en nombre de WhatsApp. Las llamadas pasaron a través de servidores de WhatsApp e inyectaron código malicioso en la memoria de los dispositivos específicos. Los teléfonos dirigidos usarían los servidores de WhatsApp para conectarse a servidores maliciosos mantenidos por NSO.
