- Una jueza federal impone una orden judicial permanente contra NSO Group en WhatsApp.
- Los daños punitivos se reducen de más de 167 millones a unos 4 millones de dólares.
- El tribunal aprecia daño irreparable y una conducta continuada para sortear defensas técnicas.
- El fallo marca un precedente para proveedores de spyware y refuerza la protección de usuarios.
Una corte federal de Estados Unidos ha dictado una orden judicial permanente que impide a la empresa israelí NSO Group volver a atacar la infraestructura y a los usuarios de WhatsApp. La decisión, esperada desde hace años, se considera un punto de inflexión en la supervisión judicial del uso de software espía contra servicios de mensajería cifrada, con especial impacto para la privacidad y la seguridad de las comunicaciones.
Junto a la prohibición definitiva, la jueza redujo de forma notable los daños punitivos fijados por un jurado a principios de año: de más de 167 millones de dólares a alrededor de 4 millones. El caso se remonta a la campaña de 2019 en la que, según WhatsApp (propiedad de Meta), se intentó comprometer a unos 1.400 usuarios, incluidos periodistas, activistas y abogados.
¿Qué ha decidido exactamente el tribunal?
La resolución concede a Meta una interdicción judicial permanente que prohíbe a NSO Group, sus afiliadas y quienes actúen en su nombre dirigirse a usuarios de WhatsApp, intentar acceder a sus sistemas, realizar ingeniería inversa del servicio o eludir sus medidas de seguridad de cualquier manera. La prohibición tiene alcance global y busca cortar de raíz nuevos intentos de intrusión.
- Orden permanente: veta a NSO Group de atacar o interferir con WhatsApp en el futuro.
- Ajuste económico: los daños punitivos se limitan a cerca de 4 millones de dólares.
La jueza consideró acreditado un daño irreparable y una conducta continuada para rediseñar el malware con el fin de esquivar controles, pero apreció que no había base suficiente para sostener que el comportamiento fuese «particularmente atroz» a efectos de mantener la cifra punitiva original. De ahí que aplicase una proporción máxima de 9 a 1 en relación con los daños compensatorios.
¿Cómo se llegó hasta aquí?
La demanda, presentada en 2019, acusaba a NSO Group de explotar una vulnerabilidad en WhatsApp para distribuir su spyware Pegasus mediante llamadas y otras tácticas de infección sigilosa. Entre los afectados se encontraban usuarios de alto riesgo, como defensores de derechos humanos y reporteros en distintos países.
Según el expediente, los operadores del software espía practicaron ingeniería inversa sobre componentes de WhatsApp y rediseñaron su código en repetidas ocasiones para evadir la detección y contramedidas del servicio. La corte calificó ese acceso a datos de los usuarios como ilegal, subrayando la persistencia de los intentos para franquear las barreras técnicas.
Al comprometer dispositivos objetivo, los atacantes podían leer contenido una vez descifrado en destino, activar cámaras y micrófonos y extraer ubicaciones, lo que ampliaba de forma significativamente el alcance del espionaje sobre las comunicaciones.
NSO Group y Pegasus: qué hay detrás del nombre
NSO Group es una firma israelí de ciberinteligencia fundada en 2010, con sede en el área de Herzliya, conocida por desarrollar Pegasus, un software espía de alto perfil capaz de infiltrarse en smartphones, afectando la seguridad en Android, sin interacción del usuario («zero-click») y operar con privilegios profundos.
La empresa sostiene que licencia su tecnología a gobiernos para luchar contra el crimen y el terrorismo, mientras expertos independientes han documentado abusos contra periodistas y activistas en varios países. En paralelo, se ha informado de movimientos accionariales recientes con inversores estadounidenses tomando posiciones en la compañía.
Reacciones de las partes
Desde WhatsApp, su responsable Will Cathcart celebró que la orden impide reincidir a NSO en ataques contra la plataforma y sus usuarios a escala global, destacando el valor de seis años de litigio para exigir responsabilidades por las intrusiones.
Por su parte, NSO Group recibió con alivio la rebaja de la multa y aseguró que estudiará los próximos pasos. Además, la compañía ha afirmado que la prohibición judicial no afecta al uso que hagan sus clientes gubernamentales de la tecnología, una interpretación que previsiblemente seguirá bajo escrutinio.
Impacto para startups, empresas y el sector tecnológico
El fallo envía un mensaje claro: los proveedores de spyware extranjeros pueden ser perseguidos y limitados ante tribunales estadounidenses cuando vulneran servicios y derechos de usuarios. La decisión refuerza la confianza en la mensajería cifrada e impulsa la mejora de controles de seguridad por parte de las plataformas.
- Precedente legal: se consolida la posibilidad de exigir responsabilidad civil a actores de spyware.
- Protección de usuarios: se blinda el entorno de comunicaciones empresariales y personales en WhatsApp.
- Señal al sector: eludir defensas puede acarrear consecuencias financieras y judiciales significativas.
Recomendaciones prácticas para organizaciones
En un contexto de amenazas avanzadas, conviene revisar políticas y controles con un enfoque de ciberresiliencia continuo, combinando medidas técnicas y de gobernanza.
- Auditar y reforzar protocolos de seguridad en dispositivos y aplicaciones críticas.
- Establecer canales de comunicación segura para información sensible.
- Monitorizar inteligencia de amenazas y aplicar parches con rapidez.
- Formar a empleados clave en riesgos de spyware y buenas prácticas.
La decisión judicial no solo veta a NSO Group en el ecosistema de WhatsApp, también reequilibra el terreno entre plataformas y proveedores de vigilancias intrusivas, al tiempo que reduce la exposición económica de la sancón. Quienes desarrollan, operan o usan tecnología de comunicación deberían tomar nota y elevar sus estándares de seguridad para anticiparse al siguiente ciclo de amenazas.
