El 20 de diciembre de 2024, el Tribunal de Distrito de EE.UU. para el Distrito Norte de California dictó una victoria legal contra NSO Group, fabricante israelí del software espía Pegasus. La jueza de distrito Phyllis Hamilton concluyó que NSO había violado las leyes contra el fraude y acceso ilegal a datos informáticos de EE.UU. y California, así como las condiciones de servicio de WhatsApp, al instalar Pegasus en sus servidores.
WhatsApp, la aplicación de mensajería instantánea propiedad de Meta, presentó una demanda en 2019 contra NSO Group alegando que la empresa explotó una vulnerabilidad de la aplicación que posteriormente utilizó para infectar a unos 1,400 celulares, incluyendo los dispositivos de personas periodistas, activistas de derechos humanos, disidentes políticas, diplomáticas y altas funcionarios de gobiernos extranjeros.
En México también se han documentado los abusos realizados con el software espía en contra de personas periodistas y defensoras de derechos humanos, quienes han sido espiadas de forma ilegal durante varios sexenios y cuyos casos siguen aún impunes. A partir de la investigación periodística de Forbidden Stories: Pegasus Project han surgido otra docena de casos judiciales e investigaciones penales en todo el mundo.
Lamentablemente, tres de los cinco casos llevados ante tribunales estadounidenses fueron desestimados por falta de jurisdicción personal y/o “foro no conveniente” –el promovido por los periodistas del diario salvadoreño El Faro, el del empresario italiano Francesco Corallo y el de la viuda del periodista egipcio Jamal Khashoggi–, en virtud de la ciudadanía o residencia de los demandantes.
Sin embargo, en este caso la jueza Hamilton determinó que, independientemente de dónde se encontraran los dispositivos infectados, NSO Group deliberadamente dirigió su conducta en contra de los servidores de WhatsApp, con un número significativo encontrándose en California, por lo que estaban sujetos a la jurisdicción de ese distrito.
Otra barrera en los litigios contra NSO Group ha sido la lucha contra un sinfín de mociones diseñadas para retrasar o eludir las órdenes por las que los jueces le solicitan que revele cualquier tipo de información sobre Pegasus. NSO Group tiende a argumentar diversas restricciones, principalmente provenientes del gobierno israelí.
De hecho, durante el juicio, el gobierno de Israel encubrió a NSO Group confiscando archivos y suprimiendo información de la empresa para evitar que se compartieran “secretos de Estado” en los procedimientos legales derivados de la demanda. Éste no fue el primer caso donde Israel intervino en investigaciones sobre el uso de Pegasus en el mundo. Por ejemplo, en 2023 se negó a cooperar en una investigación sobre los abusos del software espía en España.
Sin embargo, en el caso de Whatsapp el tribunal rechazó todas las mociones de NSO Group para ocultar evidencia y el 23 de febrero de 2024 obligó a la empresa a revelar «información suficiente para mostrar la funcionalidad completa» de Pegasus durante un período de «un año antes del supuesto ataque a un año después del supuesto ataque». Así, hizo explícita la necesidad de proporcionar el código fuente completo de Pegasus, de forma que fuera accesible y visualizable desde Estados Unidos, de presentar las comunicaciones internas sobre las vulnerabilidades de WhatsApp e información financiera.
Al no aportar dicha evidencia, la jueza Hamilton le impuso sanciones probatorias, concluyendo que NSO ha repetidamente omitido presentar pruebas pertinentes y no ha acatado las órdenes judiciales relativas a dichas pruebas, sobre todo el código fuente de Pegasus. Con esto, mandó un mensaje a empresas como NSO Group, que operan en la secrecía, de que ignorar las órdenes de presentación de pruebas es una estrategia legal fallida con consecuencias.
Por otro lado, otra de las principales estrategias de NSO Group para desincentivar cualquier litigio en su contra ha sido solicitar información que pondría en riesgo los programas de seguridad de los demandantes, como ocurrió en el caso de Apple, que llevó a que tuvieran que retirar su demanda en septiembre de 2024. En el caso de WhatsApp, NSO intentó que hiciera públicas sus comunicaciones con el laboratorio de investigación canadiense Citizen Lab, así como las comunicaciones relacionadas con sus investigaciones internas.
Por lo que, con tantos casos desestimados, y estrategias de empresas de software espía como NSO Group para desincentivar o hacer sumamente complicados los litigios en su contra, el éxito de WhatsApp es un respiro en el sentido contrario, demostrando que este tipo de litigios sí pueden resultar en un tipo de rendición de cuentas, presentando costos de recursos, tiempo y desgaste para una industria de espionaje que por mucho tiempo ha operado en completa impunidad.
En efecto, además de los costos legales, precedentes como el anterior aumentan la percepción de inversionistas de que dichas empresas son financieramente arriesgadas, generando un espacio para necesarios cambios con respecto a la regulación de spyware. En este sentido, Natalia Krapiva, abogada de la organización de derechos digitales Access Now, afirmó que “la sentencia tendrá al menos un efecto amedrentador” en lo que llamó “una industria de software espía comercial fuera de control, cuyos productos se han utilizado para vigilar a cientos de víctimas de la sociedad civil a pesar de las garantías de la industria de que sólo se permiten objetivos de aplicación de la ley y de inteligencia”.
En marzo comenzará el juicio por el que se determinará el costo de los daños y perjuicios que NSO Group debe a Whatsapp. Omri Lavie, co-fundador de NSO y dueño mayoritario desde 2023, adelantó en una entrevista ante un medio israelí de 24 de diciembre de 2024 que están listos para apelar la decisión.
Imagen: (CC-BY) Gibrán Aquino
