Zuckerberg avanza en la batalla legal contra la empresa vinculada al espionaje a Torrent

Los secretos de la empresa israelí que está detrás del espionaje a los líderes independentistas catalanes están un paso más cerca de ser públicos tras la decisión, este jueves, de una jueza de San Francisco. Allí, el gigante Facebook, propietario de Whatsapp, presentó una denuncia con la que intenta que una sanción ejemplarizante acabe con la empresa de software de espionaje NSO Group y sirva de advertencia a otros. Pero más importante en el nivel político es que la denuncia amenaza con poner al descubierto los negocios de NSO con los Gobiernos que la contrataron para espiar a sus propios ciudadanos. El jueves, la jueza Phyllis Hamilton rechazó las cuestiones previas de NSO sobre la legalidad del proceso y decidió que la denuncia puede seguir adelante.

NSO Group es la propietaria de Pegasus, el programa espía con el que supuestamente se invadieron los teléfonos móviles del presidente del Parlament catalán, Roger Torrent, y del exconseller de ERC Ernest Maragall, según una investigación de EL PAÍS y The Guardian. La intrusión en el teléfono de los dirigentes independentistas catalanes se realizó a través de un fallo de seguridad de WhatsApp entre abril y mayo de 2019 y que permitió introducir el programa en sus terminales y en los de unas 1.400 personas. En el caso de los políticos independentistas será muy complicado conocer la identidad de quien instaló los sistemas de espionaje en sus teléfonos, pero sí se sabe que los servicios de información españoles disponen de este programa.

Facebook se refiere a ese fallo de seguridad como CVE-2019-3568, el nombre de la advertencia de seguridad que publicó el 13 de mayo, cuando descubrió que alguien estaba hackeando teléfonos móviles a través de la aplicación WhatsApp, propiedad de la empresa de Mark Zuckerberg. Para los 1.400 afectados, detrás de ese nombre técnico están todos sus mensajes, emails, conversaciones, contactos, fotos, grabaciones, datos de localización y cualquier cosa que hayan apuntado con su cámara. Todo acabó en manos de los espías.

Según el relato de la denuncia, NSO Group creó entre enero de 2018 y mayo de 2019 varias cuentas de Facebook y WhatsApp con el objetivo de utilizarlas como vehículo para su programa espía de teléfonos móviles. Las cuentas se crearon con números de teléfono de varios países, entre los que se cita a Chipre, Israel, Brasil, Indonesia, Suecia y Holanda. Después, NSO alquiló servidores en varios países, incluido Estados Unidos. Los servidores estaban en las empresas Choopa, Quadranet y Amazon Web Services.

De alguna forma, NSO consiguió desmontar el código de la aplicación y creó un programa que emulaba una llamada de WhatsApp. Eso es lo que vieron las víctimas. Una llamada que “aparentaba estar originada en WhatsApp”. Una llamada perdida y el programa espía de NSO quedaba instalado en sus móviles. No hacía falta siquiera contestar. Entre los afectados hay abogados, periodistas, activistas de derechos humanos, disidentes políticos, diplomáticos, altos cargos y, según confirmó esta semana EL PAÍS, al menos dos líderes de Esquerra Republicana de Catalunya.

Cuando Facebook identificó el agujero, lo cerró y publicó el fallo de seguridad en su web, el 13 de mayo de 2019. Un empleado de NSO al que la denuncia no identifica, dijo: “Nos acabáis de cerrar nuestro punto remoto más grande para móviles… Ha salido en las noticias en todo el mundo”. En la denuncia no queda claro cuántos días estuvo abierta esa puerta.

A partir de aquí, todo son preguntas. NSO afirma que ellos no espían a nadie, que lo único que hacen es vender su programa espía a Gobiernos para combatir el crimen y el terrorismo, en ningún caso para perseguir disidentes. A cuántos Gobiernos les vendió ese programa, cuáles eran, cómo eran los términos del contrato, cuánto pagaron, quiénes son los 1.400 individuos, son todavía incógnitas más de un año después de los hechos.

Prestigio y una indemnización ejemplar

Aquí es donde entra en juego la denuncia de Facebook y WhatsApp. Se presentó el 29 de octubre de 2019 en los juzgados federales del norte de California, con sede en San Francisco. La empresa de Mark Zuckerberg pide una orden cautelar que prohíba a NSO el acceso a todas sus plataformas, lo que la privaría de la mayor red de comunicación del mundo. También pide a la juez que condene a NSO a una indemnización ejemplar por el daño causado.

Para las empresas es una importante cuestión de prestigio. WhatsApp ofrece a sus usuarios uno de los sistemas de privacidad más seguros del mundo, con encriptación de punta a punta (los mensajes salen encriptados del emisor y los descodifica el receptor; nadie entre medias puede ver qué dicen). Lo utilizan 1.500 millones de personas en 180 países. El programa espía no penetró en WhatsApp estrictamente, lo que hizo fue instalarse en los móviles utilizando WhatsApp y robar la información del aparato. Pero el daño de imagen para la compañía de Zuckerberg es difícil de calcular.

Pero la importancia de la demanda reside en que, por lo menos, va a obligar a NSO a dar explicaciones. Si la compañía israelí quiere argumentar que ellos no son los que hackean los móviles, debe probarlo, lo que le obligaría en principio a señalar a sus clientes. Al judicializar el asunto, Facebook puede acabar obligando a NSO a revelar tanta información sobre sus actividades que acabe fuera de juego. Y, de paso, el mundo entero vea muchas de sus preguntas contestadas. En una reciente moción de la fase previa, Facebook le dice a la juez que NSO debe revelar quién llevó a cabo cada uno de los 1.400 ataques (es decir, qué Gobierno) y que puede pedir “toda la información sobre clientes y servidores de NSO”. Este jueves, tras la decisión de la juez en favor de WhatsApp, sus portavoces reaccionaron recordando que ahora van a poder pedir “importantes documentos” sobre las actividades de NSO.

Desde octubre, las partes estaban enfrascadas en una batalla de cuestiones previas en las que NSO discutía toda la denuncia. Para empezar, negaba el supuesto perjuicio a WhatsApp. Afirmaba que no había lugar a la prohibición de usar el servicio puesto que, si WhatsApp ha tapado el agujero, ya no hay posibilidad de continuar el supuesto perjuicio. En un momento de su argumentación, los israelíes disparan con ironía a los californianos. “WhatsApp vuelve a ser seguro de nuevo y sus usuarios pueden enviar con seguridad mensajes encriptados (y planear ataques terroristas e intercambiar pornografía infantil) sin riesgo de que los detecte la policía o las agencias de inteligencia”, decía NSO en una de sus mociones de esta fase preliminar.

NSO también discute la jurisdicción federal y californiana sobre el caso y pelea para que cualquier queja contra ella se dirima ante la justicia israelí. Allí, esta misma semana un tribunal de Tel Aviv le ha dado la razón y ha desestimado una denuncia de Amnistía Internacional que pedía que se suspendiera la licencia para exportar sus productos a Gobiernos extranjeros. Facebook, por su parte, argumenta que fueron atacados servidores que están en California, algunas de las víctimas del espionaje también están en el Estado y, además, al crear cuentas de Facebook o de WhatsApp los términos del contrato estipulan que los conflictos se someten a la justicia federal y californiana.

De esta batalla judicial depende, según la denuncia, que se repare el supuesto perjuicio económico y de reputación de WhatsApp. Pero más que eso, lo que está en el aire es el futuro de NSO, el mercado de programas espía y, sobre todo, la posible revelación de toda la información que tenga esa empresa sobre los gobiernos que los utilizan.