· Jonathan Izquierdo · Noticias seguridad ·
NSO Group multado con 167 millones USD por ataques Pegasus a 1,400 usuarios WhatsApp
Jurado federal de EEUU dicta sentencia histórica contra NSO Group por hackear WhatsApp de periodistas y activistas con Pegasus. Precedente legal clave para casos de spyware.
El 6 de mayo de 2025, un jurado federal de Estados Unidos dictó una sentencia histórica: NSO Group, la empresa israelí creadora del spyware Pegasus, deberá pagar 167,25 millones de dólares a WhatsApp (Meta) por hackear a más de 1,400 usuarios de la plataforma. Esta decisión marca un precedente legal sin precedentes en la lucha contra la industria del spyware comercial.
Como perito informático forense, analizo las implicaciones de esta sentencia para futuros casos judiciales en España y Europa.
Contexto del caso: seis años de batalla legal
Cronología del litigio
| Fecha | Acontecimiento |
|---|---|
| Mayo 2019 | WhatsApp descubre vulnerabilidad explotada por Pegasus |
| Octubre 2019 | Meta demanda a NSO Group en tribunal federal de EEUU |
| 2020-2023 | Múltiples intentos de NSO de desestimar el caso |
| Diciembre 2024 | Juez determina que NSO violó leyes federales |
| Mayo 2025 | Jurado otorga 167,25 millones USD en daños |
Daños desglosados
El jurado otorgó 167.254.000 USD en daños punitivos diseñados para castigar a NSO Group y disuadir conductas similares, más una cantidad simbólica adicional en daños compensatorios directos a WhatsApp.
La vulnerabilidad explotada
En 2019, NSO Group explotó una vulnerabilidad zero-click en WhatsApp que permitía instalar Pegasus mediante una simple llamada de voz:
Atacante → [Llamada WhatsApp] → Víctima (no necesita responder)
↓
Explotación de buffer overflow
↓
Instalación silenciosa de Pegasus
↓
Control total del dispositivoNo era necesario que la víctima respondiera la llamada: el mero proceso de conexión era suficiente para ejecutar el exploit.
¿Qué es Pegasus?
Pegasus es el spyware más sofisticado conocido públicamente, desarrollado y vendido por NSO Group exclusivamente a gobiernos y agencias de inteligencia.
Capacidades documentadas
| Categoría | Acceso obtenido |
|---|---|
| Mensajería | WhatsApp, Signal, Telegram, iMessage, SMS |
| Comunicaciones | Grabación de llamadas, interceptación en tiempo real |
| Localización | GPS en tiempo real e histórico |
| Multimedia | Activación remota de cámara y micrófono |
| Credenciales | Keylogger, contraseñas almacenadas |
| Archivos | Acceso completo a documentos, fotos, vídeos |
| Cifrado | Bypass de cifrado end-to-end (lectura en dispositivo) |
Bypass del cifrado end-to-end
Pegasus no rompe el cifrado de WhatsApp. En su lugar, lee los mensajes después de que son descifrados en el dispositivo de la víctima. El cifrado end-to-end no protege contra spyware instalado en el terminal.
Modelo de negocio de NSO
NSO Group opera bajo la premisa de vender únicamente a:
- Gobiernos soberanos
- Agencias de inteligencia
- Fuerzas de seguridad
Sin embargo, la investigación reveló que Pegasus fue usado contra:
- Periodistas investigando corrupción gubernamental
- Defensores de derechos humanos
- Abogados de casos sensibles
- Disidentes políticos
- Familiares de periodistas asesinados (caso Khashoggi)
Detalles de la sentencia
Fundamentos legales
El tribunal determinó que NSO Group violó:
Computer Fraud and Abuse Act (CFAA): Acceso no autorizado a sistemas informáticos
California Comprehensive Computer Data Access and Fraud Act: Ley estatal de California sobre fraude informático
Términos de servicio de WhatsApp: Violación contractual por uso de ingeniería inversa y explotación de vulnerabilidades
Argumentos de NSO (rechazados)
NSO intentó argumentar:
| Argumento | Razón del rechazo |
|---|---|
| Inmunidad soberana | NSO es empresa privada, no gobierno |
| Responsabilidad del cliente | NSO operaba los servidores de C2 |
| Uso legítimo | No justifica hackear plataforma de terceros |
| Jurisdicción | Servidores de WhatsApp en California |
Declaraciones relevantes
El juez Phyllis Hamilton señaló en su fallo de diciembre 2024:
“NSO Group no puede escudarse en que vendía herramientas a gobiernos cuando era la propia empresa la que operaba la infraestructura de ataque y seleccionaba activamente las vulnerabilidades a explotar.”
Implicaciones forenses de la sentencia
Como perito informático, identifico cuatro consecuencias fundamentales para la práctica forense:
1. Precedente de responsabilidad del fabricante
Esta sentencia establece que los desarrolladores de spyware son responsables de los ataques perpetrados con sus herramientas, especialmente cuando:
- Operan la infraestructura de comando y control
- Proveen soporte técnico activo
- Conocen el uso contra objetivos protegidos
Aplicación en España
Este precedente, aunque de jurisdicción estadounidense, refuerza la posición de víctimas europeas que busquen responsabilizar a empresas de spyware bajo el RGPD y la normativa de protección de datos.
2. Validación de análisis forense
El caso WhatsApp vs. NSO validó metodologías forenses específicas:
| Técnica validada | Uso en el caso |
|---|---|
| Análisis de logs de servidor | Identificación de conexiones desde servidores NSO |
| Ingeniería inversa del exploit | Documentación del mecanismo de infección |
| Correlación de metadatos | Vinculación de ataques con infraestructura NSO |
| Análisis de dispositivos infectados | Extracción de artefactos de Pegasus |
3. Cadena de custodia en casos de spyware
La sentencia refuerza la importancia de:
Preservación inmediata: No reiniciar ni actualizar dispositivos sospechosos
Imagen forense completa: Adquisición bit a bit del almacenamiento
Análisis de artefactos específicos: Buscar indicadores conocidos de Pegasus
Documentación de timeline: Correlacionar infección con eventos relevantes
Preservación de evidencia de red: Logs de conexiones a servidores C2
4. Defensa en casos con evidencia comprometida
Si un dispositivo estuvo infectado con Pegasus durante el periodo relevante de un litigio:
- Integridad cuestionable: El spyware tenía acceso root
- Posible manipulación: Mensajes pudieron ser leídos, copiados o alterados
- Vigilancia de estrategia legal: Comunicaciones cliente-abogado expuestas
- Atribución del atacante: Ahora hay precedente para investigar a NSO
Casos de aplicación en España
Escenario 1: Periodista con fuentes comprometidas
Un periodista sospecha que su teléfono fue infectado durante investigación de corrupción:
Análisis forense del dispositivo para detectar artefactos de Pegasus
Identificación del periodo de infección mediante timeline de artefactos
Evaluación de fuentes comprometidas durante ese periodo
Documentación pericial para posible denuncia
Referencia al precedente NSO para fortalecer la demanda
Escenario 2: Defensa en proceso penal
Acusado alega que evidencias de WhatsApp fueron obtenidas mediante spyware ilegal:
| Investigación requerida | Objetivo |
|---|---|
| Análisis del dispositivo | Detectar rastros de infección |
| Verificación de integridad | ¿Fueron manipulados los mensajes? |
| Timeline de compromiso | ¿Coincide con evidencias presentadas? |
| Identificación del atacante | ¿Quién ordenó la vigilancia? |
Escenario 3: Espionaje corporativo
Empresa sospecha filtración de secretos comerciales:
- Análisis de dispositivos de directivos clave
- Correlación con momentos de fuga de información
- Documentación para demanda civil
- Precedente NSO: base para responsabilizar al proveedor de spyware
Caso Cataluña
El escándalo CatalanGate (2022) documentó el uso de Pegasus contra más de 60 políticos, abogados y activistas catalanes. La sentencia NSO refuerza las vías legales para estos afectados.
Implicaciones para víctimas de spyware
Vías legales ahora disponibles
La sentencia abre nuevas posibilidades:
Demandas civiles contra fabricantes de spyware: Ya no solo contra los gobiernos que lo usan
Acción conjunta de víctimas: Class actions más viables con precedente establecido
Responsabilidad por daños punitivos: 167 millones USD demuestra potencial de indemnizaciones significativas
Descubrimiento judicial forzado: NSO fue obligada a revelar código fuente de Pegasus
Limitaciones a considerar
| Limitación | Implicación |
|---|---|
| Jurisdicción | Sentencia en EEUU, aplicabilidad en España requiere análisis |
| Identificación del cliente | NSO no revela qué gobierno ordenó cada ataque |
| Recursos de NSO | Empresa puede apelar o declararse insolvente |
| Otros fabricantes | Candiru, Intellexa, etc. no están cubiertos directamente |
Indicadores de infección por Pegasus
Para verificación básica
Si sospechas infección, observa:
- Consumo de batería: Drenaje inexplicable
- Datos móviles: Uso anómalo en segundo plano
- Rendimiento: Ralentización sin causa aparente
- Comportamiento del dispositivo: Reinicios espontáneos
Herramientas de detección
| Herramienta | Desarrollador | Disponibilidad |
|---|---|---|
| Mobile Verification Toolkit (MVT) | Amnistía Internacional | Open source |
| iVerify | Trail of Bits | iOS (comercial) |
| Análisis forense profesional | Peritos especializados | Servicio |
No comprometas evidencias
Si sospechas infección y contemplas acciones legales, no ejecutes herramientas de detección que puedan alterar el dispositivo. Consulta primero con un perito forense para preservar la cadena de custodia.
Reacciones y consecuencias
Declaración de WhatsApp/Meta
Will Cathcart, director de WhatsApp, declaró:
“Esta victoria es un paso importante para la privacidad y seguridad. Las empresas de spyware deben entender que sus acciones ilegales tienen consecuencias.”
Posición de NSO Group
NSO Group indicó que estudiará las opciones legales, incluyendo apelación. La empresa mantiene que:
- Solo vende a gobiernos autorizados
- No tiene visibilidad sobre objetivos específicos
- Sus herramientas se usan para combatir terrorismo y crimen organizado
Impacto en la industria del spyware
| Efecto | Descripción |
|---|---|
| Desinversión | Fondos de inversión ya habían huido de NSO |
| Sanciones previas | EEUU había incluido a NSO en lista de entidades sancionadas (2021) |
| Competidores alertados | Otras empresas de spyware reconsiderarán riesgos |
| Demandas adicionales | Apple también demandó a NSO (caso pendiente) |
Conclusiones para la práctica pericial
Esta sentencia histórica tiene cinco implicaciones clave para peritos informáticos:
Validación de metodologías: Las técnicas forenses usadas en el caso son ahora precedente judicial
Responsabilidad del fabricante: Los desarrolladores de spyware pueden ser demandados directamente
Cadena de custodia crítica: La preservación adecuada de dispositivos infectados es esencial para litigios
Nuevo estándar probatorio: El caso establece qué evidencias son necesarias para responsabilizar a fabricantes de spyware
Precedente internacional: Aunque estadounidense, influirá en tribunales europeos y españoles
Como perito, incorporaré la verificación de infección por Pegasus y otros spyware como protocolo estándar en casos que involucren:
- Periodistas y activistas
- Litigios de alto perfil
- Disputas donde la integridad de comunicaciones sea cuestionada
- Cualquier sospecha de vigilancia ilegal
¿Sospechas que tu dispositivo fue infectado con Pegasus?
Ofrezco análisis forense especializado para detectar rastros de Pegasus y otros spyware, documentar el compromiso y preparar informes periciales para procedimientos judiciales. La sentencia contra NSO Group fortalece las opciones legales de las víctimas.
Solicitar análisis forenseFuentes consultadas:
- Sentencia del Tribunal de Distrito de EEUU para el Distrito Norte de California (mayo 2025)
- Documentación judicial del caso WhatsApp Inc. v. NSO Group Technologies Ltd.
- Informes de Citizen Lab sobre Pegasus
- Amnistía Internacional - Proyecto Pegasus
- Comunicados oficiales de Meta/WhatsApp
Sobre el autor: Jonathan Izquierdo es perito informático forense especializado en análisis de dispositivos móviles y certificación de comunicaciones digitales para procedimientos judiciales.
Última actualización: Mayo 2025
