Un jurat federal va decidir dimarts que l‘NSO Group ha de pagar a WhatsApp, propietat de Meta, aproximadament 168 milions de dòlars en danys monetaris, més de quatre mesos després que un jutge federal dictaminés que l’empresa israeliana va violar les lleis dels Estats Units mitjançant l’explotació dels servidors de WhatsApp per desplegar programari espia Pegasus, per atacar més de 1.400 persones a tot el món.

WhatsApp va presentar originalment la demanda judicial contra NSO Group el 2019, acusant-lo de fer servir el Pegasus per atacar periodistes, activistes de drets humans i dissidents polítics.

Els documents judicials publicats com a part del judici han revelat que 456 mexicans van ser atacats durant la campanya, seguits de 100 víctimes a l’Índia, 82 a Bahrain, 69 al Marroc i 58 al Pakistan. En total, es va atacar persones de 51 països diferents.

Els atacs van aprofitar una vulnerabilitat de dia zero a la funció de trucades de veu de WhatsApp (CVE-2019-3568, puntuació CVSS: 9,8) per activar el desplegament del programari espia.

En una sentència emesa el desembre de 2024, la jutge de districte dels Estats Units Phyllis J. Hamilton va assenyalar que Pegasus es va enviar, a través dels servidors de WhatsApp ubicats a Califòrnia, 43 vegades durant el període de temps rellevant el maig de 2019.

«El nostre cas contra el desenvolupador de programari espia NSO va fer història quan el tribunal va decidir que van infringir les lleis federals i estatals als Estats Units al desembre», va dir  Will Cathcart, cap de WhatsApp de Meta, en una declaració a X.

«I el veredicte del jurat d’avui per castigar NSO és un element dissuasiu crític per a la indústria del programari espia contra els seus actes il·legals que tenen com a objectiu les empreses nord-americanes i als nostres usuaris a tot el món».

Cathcart va afegir que el següent pas de l’empresa és aconseguir una ordre judicial per evitar que NSO torni a atacar WhatsApp, i va afegir que farà una donació a organitzacions de drets digitals que treballen per defensar les persones contra aquests atacs a tot el món.

A més dels 167.254.000 dòlars en danys punitius, el jurat va determinar que NSO Group ha de pagar a WhatsApp 444.719 dòlars en danys compensatoris pels esforços importants que els enginyers de WhatsApp van fer per bloquejar els vectors d’atac.

El desenvolupament és una gran victòria per als defensors de la privadesa i les organitzacions de drets humans, que han cridat l’atenció repetidament a NSO Group per llicenciar el seu potent programari de vigilància als clients per vigilar els membres de la societat civil.

Tot i que NSO Group va intentar eludir la responsabilitat al·legant que no té visibilitat del que fan els seus clients amb Pegasus, el jutge Hamilton va assenyalar que no pot afirmar que «la seva intenció és ajudar els seus clients a lluitar contra el terrorisme i l’explotació infantil, i, d’altra banda, dir que no té res a veure amb el que fa el seu client amb la tecnologia, a part d’assessorament i suport.»

«NSO es va veure obligat a admetre que gasta desenes de milions de dòlars anuals per desenvolupar mètodes d’instal·lació de programari maliciós, fins i tot mitjançant missatgeria instantània, navegadors i sistemes operatius, i que el seu programari espia és capaç de comprometre els dispositius iOS o Android fins al dia d’avui», va dir Meta.

En un comunicat compartit amb Courthouse News i POLÍTICS, NSO Group va dir que la seva tecnologia juga un paper crucial en la prevenció de delictes greus i el terrorisme, i que té la intenció de buscar els recursos legals adequats. L’empresa va ser sancionada pel govern dels Estats Units el 2021 per participar en «activitats cibernètiques malicioses».

Apple, que va presentar una demanda similar contra NSO Group, va retirar-la el setembre del 2024, adduint que si continuava podrien veure’s compromesos detalls delicats del seu programa de seguretat.