A mediados del mes de mayo apareció la noticia. Una vulnerabilidad en el sistema de llamadas de WhatsApp había dejado la puerta abierta a un spyware industrial que fue utilizado para monitorizar las comunicaciones de aproximadamente 1.400 teléfonos móviles utilizados por abogados, diplomáticos, periodistas, activistas de derechos humanos, autoridades religiosas y disidentes políticos. Ahora, WhatsApp ha decidido tomar medidas legales.
El software en cuestión, conocido por el nombre Pegasus, fue desarrollado por NSO Group, una firma especializada en proporcionar software de espionaje y malware industrial a entidades gubernamentales con el propósito de "prevenir e investigar el terrorismo y el crimen". Pegasus funcionaba tanto en dispositivos iOS como Android y se activaba cuando el atacante realizaba una llamada de vídeo. La víctima ni siquiera tenía que responder o realizar cualquier otra operación.
Según NSO, la compañía se limita a proporcionar sus herramientas de espionaje y dejan en manos de estos su funcionamiento. No es lo que cree WhatsApp. En una columna de opinión publicada en el Washington Post, Will Cathart, máximo responsable de WhatsApp, afirma tener evidencias de que NSO participó de forma directa en los ataques, por lo que ahora intentarán que "NSO sea responsable bajo las leyes estatales y federales de Estados Unidos, incluyendo la Ley de Fraude y Abuso Informático".
La clave en todo este asunto es que NSO no utilizó exclusivamente herramientas propias, puesto que Pegasus se valía de cuentas de WhatsApp y de los propios servidores de WhatsApp para lanzar unos ataques que hacían posible extraer información personal como contraseñas, contactos, agendas, mensajes de texto y cortes de audio, así como activar la cámara o realizar un seguimiento mediante GPS. Según Cathart, el ataque era sofisticado, pero NSO no lo fue tanto a la hora de tapar sus huellas.
En su demanda, WhatsApp pide medidas judiciales para evitar que NSO vuelva a cometer este tipo de prácticas, así como una indemnización. NSO, por su parte, asegura "con la máxima firmeza" que las acusaciones de WhatsApp no son ciertas y que "luchará vigorosamente" para demostrarlo.
