WhatsApp tendrá acceso al código de Pegasus, el software espía de NSO

Un tribunal estadounidense ha ordenado a la empresa israelí NSO entregar el código del software espía Pegasus a WhatsApp como parte del proceso judicial que enfrenta a ambas compañías. WhatsApp demandó a NSO en 2019 tras descubrir que Pegasus había sido utilizado contra 1.400 usuarios de la aplicación de Meta durante un período de dos semanas, pero la decisión de la jueza Phyllis Hamilton va más allá. NSO deberá facilitar "todo el software espía relevante" desde el 29 de abril de 2018 hasta el 10 de mayo de 2020, así como información "sobre la funcionalidad completa del software espía relevante".

"El reciente fallo judicial es un hito importante en nuestro objetivo de largo plazo de proteger a los usuarios de WhatsApp contra ataques ilegales. Las empresas de software espía y otros actores malintencionados deben entender que pueden ser atrapados y no podrán ignorar la ley", ha señalado un portavoz de WhatsApp al medio The Guardian.

NSO solicitó a la jueza que le eximiera de esta decisión alegando que está sometida a "varias restricciones estadounidenses e israelíes". Con su decisión, Hamilton se ha puesto del lado de WhatsApp, aunque no enteramente. La empresa israelí sí ha logrado no estar obligada a divulgar los nombres de sus clientes e información sobre la arquitectura de sus servidores.

WhatsApp ha alegado que Pegasus puede "interceptar comunicaciones enviadas hacia y desde un dispositivo, incluidas comunicaciones a través de iMessage, Skype, Telegram, WeChat, Facebook Messenger, WhatsApp y otros" y que también podría "personalizarse para diferentes propósitos, incluido interceptar comunicaciones, realizar capturas de pantalla y filtrar el historial del navegador".

Según la juez Hamilton, WhatsApp necesita acceso a "todo el software espía relevante", específicamente "cualquier software espía de NSO dirigido a servidores de WhatsApp o que utilice WhatsApp de cualquier manera para acceder a los dispositivos de destino", durante "un período de un año antes del presunto ataque a un año después del presunto ataque".

Pegasus es una de las herramientas de espionaje más sofisticadas que han saltado a la luz pública. NSO está fuertemente controlado por el Ministerio de Defensa de Israel, que debe autorizar su venta a gobiernos extranjeros. En el pasado, el software se ha demostrado capaz de explotar vulnerabilidades que le permitían infectar un dispositivo con solo recibir una llamada de WhatsApp, sin que fuera necesario siquiera descolgarla, o a un iPhone con recibir un mensaje. Ambas vulnerabilidades ya fueron solucionadas por Meta y Apple, respectivamente.

En España, el nombre de Pegasus saltó a los titulares después de que el móvil de Pedro Sánchez fuera infectado con el software espía y, según el juez José Luis Calama de la Audiencia Nacional, se extrajeran 2,57 GB de datos entre octubre de 2020 y diciembre de 2021. Por lo que, en principio, su uso en el móvil del presidente del Gobierno queda fuera de los plazos impuestos por Hamilton. Calama acordó el sobreseimiento de la causa ante la falta de colaboración de Israel en la investigación.

No sucede así con el caso de Pere Aragonés, presidente de la Generalidad de Cataluña, quien fue espiado con Pegasus por el CNI, con autorización del Tribunal Supremo, mientras fue vicepresidente en 2019 y 2020.