Un tribunal federal del Distrito Norte de California concedió a WhatsApp (propiedad de Meta) una orden judicial permanente contra NSO Group, desarrollador israelí del spyware Pegasus. La decisión prohíbe cualquier intento de ataque, interceptación o compromiso de usuarios de WhatsApp, así como acciones para descifrar mensajes protegidos por cifrado de extremo a extremo basado en el protocolo Signal. El fallo obliga además a eliminar todos los datos previamente obtenidos mediante campañas de intrusión y reduce la indemnización fijada por el jurado de 167 millones a 4 millones de dólares por errores en la metodología de cálculo.
Orden judicial: alcance, cifrado y protección de datos
La jueza Phyllis J. Hamilton estableció que NSO Group no puede dirigirse a cuentas de WhatsApp ni interferir con sus servicios, incluidas tentativas de vulnerar el cifrado punto a punto. El tribunal rechazó ampliar el veto a estados extranjeros no parte del proceso y a otros productos de Meta (como Facebook o Instagram), por falta de evidencia de campañas activas. El razonamiento central subraya que los servicios de mensajería “venden privacidad” y que el acceso no autorizado erosiona su modelo de negocio y la confianza de los usuarios.
Cómo operaron las intrusiones: de WIS/Heaven a Eden y el vector VoIP
Documentación judicial divulgada en 2024 detalla que hasta abril de 2018 se usaron un cliente modificado de WhatsApp (WIS) y el exploit Heaven, que facilitaban la instalación de spyware desde servidores controlados por NSO. Tras parches de WhatsApp en septiembre y diciembre de 2018, ese vector quedó cerrado.
En febrero de 2019 NSO introdujo el exploit Eden para sortear las nuevas medidas defensivas. En mayo de 2019, WhatsApp detectó intentos contra aproximadamente 1.400 dispositivos, que incluían abogados, periodistas, defensores de derechos humanos, disidentes, diplomáticos y funcionarios. En paralelo, se corrigió la crítica CVE-2019-3568 en el componente VoIP, un recordatorio de que las rutas de señalización y los codecs son objetivos frecuentes en ataques zero‑click cuando la validación de entrada es insuficiente (hallazgos consistentes con informes de Citizen Lab y análisis de WhatsApp publicados en 2019).
Objetivos de alto riesgo y consecuencias para los derechos humanos
Las categorías de víctimas muestran una doble amenaza: compromiso de datos personales y exfiltración estratégica de información. Para organizaciones con perfiles sensibles, esto exige controles reforzados, detección de anomalías en mensajería/VoIP y planes de respuesta orientados a ataques sin interacción del usuario.
Precedente legal y señales al mercado de exploits
La prohibición permanente a un proveedor comercial de spyware es infrecuente y refuerza la responsabilidad civil de la cadena de explotación. Pese a los argumentos de NSO sobre la viabilidad de su negocio, el tribunal ponderó que el perjuicio a la plataforma y a su base de usuarios prevalece. La reducción de la multa a 4 millones no cuestiona la ilicitud de las intrusiones ni la obligación de cesarlas, pero sí corrige el método indemnizatorio.
El fallo se suma a un entorno regulatorio más estricto para el sector: inclusión de NSO en la Entity List del Departamento de Comercio de EE. UU. (2021), restricciones de exportación y crecientes riesgos de cumplimiento y litigio para vendedores que operan con día cero, interceptación y recolección encubierta de datos. Las obligaciones de borrado de datos y la posibilidad de vetos a líneas de producto completas elevan el costo legal y reputacional de estas prácticas.
Medidas prioritarias de ciberseguridad para empresas y usuarios
– Refuerzo del entorno móvil: MDM/MAM, aislamiento de perfiles de trabajo, endurecimiento de políticas y telemetría de VoIP/mensajería para detectar patrones anómalos.
– Gestión de parches acelerada: priorizar actualizaciones de apps de comunicación y stacks multimedia, vectores frecuentes en zero‑click.
– Protección de colectivos de alto riesgo: formación específica, dispositivos dedicados, reducción de superficie (desactivar previsualizaciones/auto‑descargas), rotación ágil de terminales y claves, y canales de respuesta forense.
El caso WhatsApp vs. NSO Group confirma que los intentos de socavar el cifrado de extremo a extremo afrontan un escrutinio judicial creciente. Para mejorar la resiliencia, revise su modelo de amenazas móvil, acelere ciclos de actualización, monitorice vulnerabilidades en mensajería/VoIP y, ante indicios de compromiso, aísle el dispositivo e inicie un análisis forense sin demora.
