07.05.2025 - 09:28
|
Actualització: 07.05.2025 - 10:50
Un jurat federal dels Estats Units ha ordenat que el fabricant de programari espia NSO Group pagui 167 milions de dòlars per haver piratejat els mòbils de mil persones mitjançant missatges de WhatsApp, en una sentència històrica que culmina sis anys de litigis.
El veredicte ha arribat al segon dia de deliberacions sobre els danys i perjudicis en un judici fet a Oakland, Califòrnia. Al desembre, la jutgessa Phyllis Hamilton ja havia donat la raó a WhatsApp en considerar que NSO, amb seu a Israel, havia violat la llei de frau i abús informàtic dels EUA i una normativa similar de Califòrnia mitjançant el seu programari Pegasus.
BREAKING: jury awards massive $167 million in punitive damages against spyware company NSO Group.
Precedent-setting win against the notorious #Pegasus spyware maker.
Congratulations to @WhatsApp on sticking this case through since 2019. Some thoughts 1/
— John Scott-Railton (@jsrailton) May 6, 2025
La indemnització ordenada és de 167.256.000 dòlars en concepte de danys punitius i 440.000 més per danys compensatoris, la multa més elevada mai imposada a la indústria del programari espia.
Tot i que Pegasus es ven als governs com una eina per a combatre el terrorisme i el crim organitzat, nombroses investigacions han provat que s’havia emprat contra dirigents polítics, activistes pacífics i periodistes de tot el món.
“És un pas important per a la privadesa i la seguretat, la primera victòria contra l’ús de programari espia il·legal que amenaça tothom”, ha dit Meta, l’empresa matriu de WhatsApp.
Meta també ha destacat que la decisió del jurat era un advertiment clar per a la indústria del programari espia. L’empresa ha anunciat que, si arribava a cobrar la indemnització, la destinaria a organitzacions que defensen els drets digitals i que han estat clau per a detectar i analitzar els atacs.
NSO ha avançat que probablement presentaria un recurs contra la sentència. El seu portaveu, Gil Lanier, ha dit que continuaven compromesos amb la seva missió de protegir la seguretat pública i que l’ús de Pegasus era només per part de governs legítims amb finalitats autoritzades.
Citizen Lab, una entitat sense ànim de lucre amb seu a Toronto que ha estat pionera a revelar els abusos de Pegasus, ha elogiat la persistència de WhatsApp en el litigi i el seu paper clau per a notificar els atacs a les víctimes.
En la seva sentència del desembre, la jutgessa Hamilton ja havia declarat NSO responsable d’haver penetrat als sistemes de Meta mitjançant programari maliciós enviat a uns 1.400 telèfons, que pertanyien a funcionaris, periodistes, activistes i dissidents de desenes de països.
També va dictaminar que WhatsApp tenia dret de sancions addicionals per la negativa de NSO a lliurar el codi font durant el procés judicial, tot i que la multa per aquest fet encara s’ha de fixar.
Aquest cas és el primer en què han declarat davant la justícia nord-americana executius de NSO, que sempre havien evitat l’escrutini públic. La sentència és la més rellevant de totes les que s’han dictat en una indústria que està en el centre del debat global sobre vigilància estatal i llibertats individuals.
Els Estats Units ja havien sancionat NSO i altres empreses per operar contra els interessos nord-americans, però molts aliats dels EUA han trigat a seguir el mateix camí. Apple, per exemple, va retirar un litigi similar el setembre passat després que les autoritats israelianes confisquessin el codi font de NSO i aquesta admetés que ja no el podia produir.
NSO s’havia defensat al·legant que només ven programari als governs, que són qui decideixen a qui es dirigeixen els atacs, però els tribunals han rebutjat aquest argument. Els directius de l’empresa han reconegut que determinen com es fan els atacs segons el dispositiu i el programari de cada objectiu.
Pegasus ha aprofitat vulnerabilitats de seguretat de sistemes com WhatsApp i Apple per accedir als telèfons i capturar-hi fotografies, correus i missatges, fins i tot els que són xifrats de punta a punta. En alguns casos, aquests atacs no requereixen cap interacció de l’usuari i són pràcticament indetectables.
Segons les proves, NSO té uns 140 empleats dedicats a trobar maneres d’infiltrar-se en iPhones i telèfons Android. Un executiu va declarar que el seu programari s’havia inserit a través de sistemes operatius, aplicacions de missatgeria i navegadors.
Els advocats de NSO han afirmat que Pegasus té limitacions tècniques que impedeixen l’espionatge dins dels EUA i en telèfons amb números nord-americans ubicats a l’exterior. Però altres programes espia, tant d’empreses privades com d’agències estatals, no tenen aquests límits.
Durant el judici, es va demostrar que NSO va atacar repetidament WhatsApp entre el 2018 i el 2020, modificant les tècniques a mesura que l’aplicació de missatgeria les neutralitzava. Una d’aquestes modificacions va arribar quan la demanda ja era en curs, fet que reforçava l’acusació que NSO actuava de manera deliberada.
Meta va explicar al tribunal que havia gastat més de 400.000 dòlars en sous per gestionar l’amenaça de NSO. L’advocat de l’empresa israeliana, Joseph Akrotirianakis, ho va desestimar assegurant que aquells salaris s’haurien pagat igualment, i que el cas “només volia publicitat”.
“Facebook volia sortir als titulars defensant la privadesa dels usuaris, i demandar NSO era una manera fàcil d’aconseguir-ho”, va dir en els arguments finals. Així mateix, NSO va remarcar que Pegasus no havia tocat els servidors de WhatsApp. “No va executar cap codi, ni va esborrar, modificar o danyar cap dada”, va dir l’advocat.
Per aconseguir danys punitius sota la llei de Califòrnia, Meta havia de demostrar que NSO havia actuat amb opressió, frau o malícia. Per fer entendre al jurat l’impacte econòmic, WhatsApp va aportar dades que mostraven que NSO gastava uns 50 milions de dòlars anuals en recerca i desenvolupament.
El conseller delegat de NSO, Yaron Shohat, va testificar que l’empresa va perdre 12 milions de dòlars el 2024 i 9 milions el 2023, i que tindrà dificultats per pagar les indemnitzacions.
