Ciberseguridad 360 | Multan a NSO Group con 167 millones por ataques de spyware a 1.400 usuarios de WhatsApp

Un jurado federal estadounidense ha condenado al proveedor israel� de programas esp�a NSO Group a pagar a WhatsApp 167.254.000 d�lares en concepto de da�os punitivos y 444.719 d�lares en concepto de da�os compensatorios por una campa�a de 2019 dirigida a 1.400 usuarios de la aplicaci�n de comunicaci�n.

El veredicto se considera un caso hist�rico por ser la primera vez que un proveedor de software esp�a rinde cuentas ante un tribunal, y podr�a enviar ondas a trav�s de la industria del software esp�a comercial.

"El veredicto de hoy en el caso de WhatsApp es un importante paso adelante para la privacidad y la seguridad, ya que supone la primera victoria contra el desarrollo y el uso de programas esp�a ilegales que amenazan la seguridad y la privacidad de todos", coment� Meta, propietaria de WhatsApp, en un comunicado.

"Hoy, la decisi�n del jurado de obligar a NSO, un notorio comerciante de spyware extranjero, a pagar da�os y perjuicios es un elemento disuasorio cr�tico para esta industria maliciosa contra sus actos ilegales dirigidos a las empresas estadounidenses y la privacidad y seguridad de las personas a las que servimos."

Las multas se derivan de una campa�a de mayo de 2019, cuando NSO intent� infectar a 1.400 usuarios de WhatsApp con su spyware Pegasus utilizando una vulnerabilidad de d�a cero de WhatsApp.

M�s tarde se revel� que la vulnerabilidad que NSO aprovech� durante esta operaci�n fue CVE-2019-3568, un desbordamiento de b�fer en la pila VOIP de WhatsApp, que permit�a a los atacantes enviar paquetes RTCP especialmente dise�ados a un n�mero de tel�fono objetivo para lograr la ejecuci�n remota de c�digo.

Cuando los destinatarios recib�an estas llamadas, aunque no contestaran, la vulnerabilidad se explotaba autom�ticamente, lo que permit�a instalar Pegasus en los dispositivos.

Meta present� la demanda contra NSO Group el 29 de octubre de 2019 ante el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California, alegando que NSO hab�a explotado una vulnerabilidad en la funci�n de llamadas de WhatsApp para entregar su software esp�a Pegasus a aproximadamente 1400 usuarios.

Aunque NSO Group afirma que sus productos son utilizados por las fuerzas de seguridad para hacer frente a delitos graves, Meta confirm� que entre los objetivos hab�a activistas de derechos humanos, periodistas y diplom�ticos.

El juicio, que incluy� los testimonios de ejecutivos de NSO, revel� que el proveedor de programas esp�a est� directamente implicado en las operaciones de infecci�n, por lo que tiene responsabilidad directa. Adem�s, se vieron obligados a admitir que gastaron decenas de millones de d�lares estadounidenses para desarrollar m�ltiples canales de infecci�n adem�s de WhatsApp.

Los documentos judiciales tambi�n revelaron que NSO Group utiliz� al menos otra vulnerabilidad de d�a cero en el software de WhatsApp para atacar a los usuarios con programas esp�a incluso despu�s de que se hubiera presentado la demanda de Meta.

El 23 de diciembre de 2024, la juez Phyllis J. Hamilton dictamin� que NSO Group es responsable de violar las leyes de pirater�a inform�tica de Estados Unidos y las condiciones de servicio de WhatsApp, concediendo un juicio sumario parcial a favor de WhatsApp y trasladando el caso a un juicio con jurado para determinar los da�os y perjuicios.

Por �ltimo, se concedi� a WhatsApp una indemnizaci�n por da�os punitivos de 167.254.000 d�lares, adem�s de una compensaci�n extra de 444.719 d�lares por la investigaci�n del incidente, la aplicaci�n de parches a las vulnerabilidades y la notificaci�n a los usuarios.

El investigador de CitizenLab John Scott-Railton celebr� la decisi�n del tribunal y advirti� a las empresas de software esp�a que podr�an ser las siguientes.

Fuente: bleepingcomputer