Un jurado federal de Estados Unidos ordenó al proveedor de software espía israelí NSO Group pagar a WhatsApp 167.254.000 dólares en daños punitivos y 444.719 dólares en daños compensatorios por una campaña de 2019 dirigida a 1.400 usuarios de la aplicación de comunicaciones.

El veredicto se considera un caso histórico por ser la primera vez que un proveedor de software espía es considerado responsable ante un tribunal y podría tener repercusiones en toda la industria del software espía comercial.

"El veredicto de hoy en el caso de WhatsApp es un importante paso adelante para la privacidad y la seguridad como la primera victoria contra el desarrollo y uso de software espía ilegal que amenaza la seguridad y la privacidad de todos", comentó Meta, propietario de WhatsApp, en un comunicado .

Hoy, la decisión del jurado de obligar a NSO, un conocido comerciante extranjero de software espía, a pagar una indemnización por daños y perjuicios constituye un elemento disuasorio crucial para esta industria maliciosa y para combatir sus actos ilegales contra las empresas estadounidenses y la privacidad y seguridad de las personas a las que servimos.

Las multas se derivan de una campaña de mayo de 2019 cuando NSO intentó infectar a 1.400 usuarios de WhatsApp con su software espía Pegasus utilizando una vulnerabilidad de día cero de WhatsApp.

Más tarde se reveló que la vulnerabilidad que NSO aprovechó durante esta operación fue CVE-2019-3568 , un desbordamiento de búfer en la pila VOIP de WhatsApp, que permite a los atacantes enviar paquetes RTCP especialmente diseñados a un número de teléfono objetivo para lograr la ejecución remota de código .

Cuando los destinatarios recibían estas llamadas, incluso si no respondían, la vulnerabilidad se explotaba automáticamente, permitiendo instalar Pegasus en los dispositivos.

Meta presentó la demanda contra NSO Group el 29 de octubre de 2019 en el Tribunal de Distrito de Estados Unidos para el Distrito Norte de California, alegando que NSO había explotado una vulnerabilidad en la función de llamadas de WhatsApp para entregar su software espía Pegasus a aproximadamente 1.400 usuarios.

Aunque NSO Group afirma que sus productos son utilizados por las fuerzas del orden para combatir delitos graves, Meta confirmó que entre los objetivos se encontraban activistas de derechos humanos, periodistas y diplomáticos.

El juicio, que incluyó los testimonios de ejecutivos de NSO, reveló que el proveedor de software espía está directamente involucrado en las operaciones de infección, por lo que tiene responsabilidad directa. Además, se vieron obligados a admitir que gastaron decenas de millones de dólares en desarrollar múltiples canales de infección además de WhatsApp.

Los documentos judiciales  también revelaron que NSO Group utilizó al menos una vulnerabilidad más de día cero en el software de WhatsApp para atacar a los usuarios con software espía incluso después de que se hubiera presentado la demanda de Meta.

El 23 de diciembre de 2024, la jueza Phyllis J. Hamilton dictaminó que NSO Group es responsable de violar las leyes de piratería informática de EE. UU. y los Términos de servicio de WhatsApp, otorgando un juicio sumario parcial a favor de WhatsApp y trasladando el caso a un juicio con jurado para determinar los daños.

Finalmente, WhatsApp recibió una compensación por daños punitivos de $167,254,000, más una compensación adicional de $444,719 por la investigación del incidente, la reparación de la vulnerabilidad y la notificación a los usuarios.

John Scott-Railton, investigador de CitizenLab, celebró la decisión del tribunal y advirtió a las empresas de software espía que ellas podrían ser las siguientes.

Para aquellos interesados ​​en profundizar en los detalles, Meta ha publicado las declaraciones transcritas de NSO Group ( 1 , 2 , 3 , 4 ).

Fuente: https://www.bleepingcomputer.com/news/legal/nso-group-fined-167m-for-spyware-attacks-on-1-400-whatsapp-users/