Multa récord para los creadores de Pegasus. WhatsApp abrió la puerta a la vigilancia telefónica

• WhatsApp ganó una demanda histórica contra NSO Group, obteniendo 168 millones de dólares en daños por espionaje ilegal a usuarios a través del software Pegasus.
• Pegasus permitió la interceptación encubierta de datos de los teléfonos, incluido el encendido del micrófono y la cámara sin el conocimiento del usuario; Fue utilizado, entre otros, por los servicios polacos. La comisión de investigación parlamentaria deberá determinar si el software fue adquirido legalmente.
• El juicio reveló la historia interna de las operaciones de NSO, incluido el desarrollo de exploits, redes que enmascaran datos de los clientes y cómo WhatsApp infectó dispositivos sin el conocimiento de los usuarios; La empresa operó sin consentimiento y violó la ley estadounidense.

- Nuestro caso pasará a la historia como la primera victoria en la lucha contra el spyware ilegal que amenaza la seguridad y la privacidad, anunció Meta. El juicio de cinco años contra la empresa israelí NSO Group finalizó el martes.

Los jurados dictaminaron que la mujer debe pagarle al gigante más de 167 millones de dólares. Compensación por hackeo mediante software Pegasus vía WhatsApp. La empresa también ganó 400.000 PLN adicionales. agujero. compensación por el tiempo que los empleados de la empresa tuvieron que dedicar a investigar el caso Pegasus.

WhatsApp abrió la puerta a la vigilancia telefónica

¿De qué se trata? WhatsApp, una subsidiaria de Meta Group, acusó a NSO Group de utilizar su aplicación espía Pegasus como puerta de entrada para acceder a los teléfonos de alrededor de 1.400 personas. personas, incluidos disidentes, activistas de derechos humanos y periodistas. Esto permitió a los servicios estatales que compraron la licencia del software espiar a estas personas.

Pegasus es una herramienta muy invasiva: permite recopilar datos de todas las aplicaciones instaladas, incluida información financiera, ubicación, correos electrónicos y mensajes SMS . Además, el programa puede encender de forma remota el micrófono y la cámara del dispositivo.

Para investigar las actividades de NSO Group, WhatsApp colaboró ​​con la organización Citizen Lab. Confirmó cinco casos de uso de Pegasus en Polonia: contra Krzysztof Brejza, Roman Giertych, Ewa Wrzosek, Michał Kołodziejczak y Tomasz Szwejgiert . Según la información divulgada por el ministro de Justicia, Adam Bodnar, en los años 2017-2022 hubo 578 personas que fueron sometidas a vigilancia mediante este software o software similar de esta clase.

La compra de Pegasus para la Oficina Central Anticorrupción se mantuvo en secreto, el dinero para este fin provino del Fondo de Justicia. Se está llevando a cabo una investigación para determinar si la compra del software fue legal, así como si era legal utilizarlo contra personas específicas (en Polonia, el consentimiento para el control operativo debe ser emitido por un tribunal). La comisión de investigación parlamentaria se está ocupando de este asunto.

I+D buscó vulnerabilidades en el mensajero WhatsApp

Lo más interesante del juicio estadounidense no es el veredicto en sí, sino las actas no oficiales de los interrogatorios a empleados clave del Grupo NSO divulgadas por Meta. - Esta es la primera vez que los investigadores han tenido un acceso tan amplio a la información sobre las actividades de NSO, desde el desarrollo de exploits hasta las operaciones operativas y los asuntos financieros - concluyó John Scott Railton de Citizen Lab.

El testimonio se centra en cómo se instaló Pegasus y su función de recopilación encubierta de datos.

Las declaraciones de testigos muestran que NSO utilizó exploits, o vulnerabilidades de software, en WhatsApp. Permitieron que ciertas acciones se realizaran de maneras que los desarrolladores de la aplicación no habían previsto. Fueron utilizados de tal manera que el objetivo del ataque no tenía que hacer clic en enlaces o abrir archivos adjuntos para que su teléfono fuera infectado.

Había un departamento de I+D en NSO Group que trabajaba en actualizaciones rápidas de los vectores de instalación para responder a las actualizaciones del software de WhatsApp. Generalmente tardaba entre dos y tres días. El mismo departamento también fue responsable de encontrar nuevos agujeros de seguridad en la aplicación. La empresa israelí también fue responsable de crear una red de transmisión de datos para los clientes para que permanecieran anónimos.

Próximo paso: prohibición judicial del uso de WhatsApp

NSO adoptó una línea de defensa interesante. Yaron Shotat, director general de la compañía, cuando se le preguntó si alguna vez habían intentado obtener permiso de la empresa para utilizar WhatsApp, respondió que no, porque al enviar un mensaje a través del mensajero tampoco se necesita el permiso de su propietario.

Al mismo tiempo , durante la audiencia, admitió que la capacidad de infectar dispositivos a través de WhatsApp era una ventaja de mercado para NSO Group : gracias a ella, la compañía obtuvo acceso potencial a todos los teléfonos con sistema operativo Android. No tuvo que romper las medidas de seguridad de los fabricantes.

El caso de NSO Group concluyó en diciembre de 2024. La jueza Phyllis Hamilton dictaminó que la empresa había violado las leyes federales y estatales y los términos de servicio de WhatsApp, que prohíben el uso de la aplicación. El jurado decidió el monto de la multa. El portavoz del Grupo NSO, Gil Lainerz, anunció una apelación.

En un comunicado de prensa del martes, Meta dijo que planea hacer una donación a organizaciones de derechos digitales que trabajan para proteger a las personas del software espía. La compañía también anunció que el siguiente paso será obtener una orden judicial que impida que NSO vuelva a atacar a WhatsApp.