El notorio spyware Pegasus del Grupo NSO se utilizó para atacar a 1,223 usuarios de WhatsApp en 51 países diferentes durante una campaña de hackeo en 2019, según un nuevo documento judicial.
El documento se publicó el viernes como parte de la demanda que WhatsApp, propiedad de Meta, presentó contra el Grupo NSO en 2019, acusando al fabricante de tecnología de vigilancia de explotar una vulnerabilidad en la aplicación de chat para atacar a cientos de usuarios, incluidos más de 100 activistas de derechos humanos, periodistas y "otros miembros de la sociedad civil".
En ese momento, WhatsApp dijo que alrededor de 1,400 usuarios habían sido atacados. Ahora, un anexo publicado en el documento judicial muestra exactamente en qué países se encontraban los 1,223 víctimas específicas cuando fueron atacadas con el spyware Pegasus del Grupo NSO.
Desglose por países que ofrece una idea rara de qué clientes del Grupo NSO pueden ser más activos y dónde se encuentran sus víctimas y objetivos.
Los países con más víctimas de esta campaña son México, con 456 individuos; India, con 100; Bahrein con 82; Marruecos, con 69; Pakistán, con 58; Indonesia, con 54; e Israel, con 51, según un gráfico titulado "Recuento de víctimas por país", que WhatsApp presentó como parte del caso.
También hay víctimas en países occidentales como España (12 víctimas), los Países Bajos (11), Hungría (8), Francia (7), Reino Unido (2) y una víctima en Estados Unidos.
El documento judicial con la lista de víctimas por país fue reportado por primera vez por el sitio de noticias israelí CTech.
"Numerosos artículos de noticias se han escrito a lo largo de los años documentando el uso de Pegasus para atacar a víctimas en todo el mundo," dijo Runa Sandvik, una experta en ciberseguridad que ha estado rastreando víctimas de spyware gubernamental durante años.
"Lo que a menudo falta en estos artículos es la verdadera escala del ataque: el número de víctimas que no fueron notificadas; que no revisaron sus dispositivos; que optaron por no compartir su historia públicamente. La lista que vemos aquí, con 456 casos en México solo, un país con víctimas de la sociedad civil documentadas y conocidas, habla mucho sobre la verdadera escala del problema del spyware," dijo Sandvik a TechCrunch.
Otro dato que muestra la magnitud del problema del spyware gubernamental es que la campaña de hackeo dirigida a los usuarios de WhatsApp ocurrió durante un período de solo dos meses, "entre abril de 2019 y mayo de 2019", como escribió WhatsApp en su queja original.
En otras palabras, en solo dos meses, los clientes gubernamentales del Grupo NSO apuntaron a más de mil usuarios de WhatsApp.
Es importante tener en cuenta que no está claro si el hecho de que haya una víctima ubicada en un determinado país significa que el gobierno de ese país específico era el cliente que utilizaba el spyware del Grupo NSO contra esas víctimas. Es posible que un cliente gubernamental esté utilizando Pegasus para atacar a alguien fuera del país.
Como señaló CTech, Siria aparece en la lista de víctimas, pero el Grupo NSO no puede exportar su tecnología a Siria, un país que está sancionado por países de todo el mundo.
El número de víctimas también da una idea de quiénes pueden ser los clientes que más pagan del Grupo NSO. Empresas como el Grupo NSO, y otros precursores como Hacking Team y FinFisher, determinan el precio que ofrecen por sus productos de vigilancia a sus clientes en parte por la cantidad de objetivos que pueden infectarse concurrentemente con el spyware.
Se informó que México, por ejemplo, gastó más de $60 millones en el spyware del Grupo NSO, según un artículo de The New York Times de 2023 que citó a funcionarios mexicanos, lo que podría explicar por qué hay tantos objetivos mexicanos en esta lista.
El año pasado, WhatsApp obtuvo una victoria histórica cuando el juez a cargo de la demanda dictaminó que el Grupo NSO había violado las leyes de hackeo de Estados Unidos al atacar a los usuarios de WhatsApp. El próximo paso en la demanda es una audiencia próxima que determinará los daños que el fabricante de spyware deberá pagar a WhatsApp.
Además de esta lista de víctimas, el caso judicial presentado por WhatsApp ha llevado a otras revelaciones, incluido el hecho de que el Grupo NSO desconectó a 10 clientes gubernamentales después de informes de que abusaron del spyware, y que la herramienta de hackeo de WhatsApp producida por el Grupo NSO costaba hasta $6.8 millones por una licencia de un año, lo que le reportó a la empresa "al menos $31 millones en ingresos en 2019."
El portavoz de WhatsApp, Zade Alsawah, se negó a hacer comentarios. El Grupo NSO no respondió a una solicitud de comentarios.
