Zuckerberg avanza en la batalla legal contra la empresa vinculada al espionaje a Torrent

Los secretos de la empresa israel¨ª que est¨¢ detr¨¢s del espionaje a los l¨ªderes independentistas catalanes est¨¢n un paso m¨¢s cerca de ser p¨²blicos tras la decisi¨®n, este jueves, de una jueza de San Francisco. All¨ª, el gigante Facebook, propietario de Whatsapp, present¨® una denuncia con la que intenta que una sanci¨®n ejemplarizante acabe con la empresa de software de espionaje NSO Group y sirva de advertencia a otros. Pero m¨¢s importante en el nivel pol¨ªtico es que la denuncia amenaza con poner al descubierto los negocios de NSO con los Gobiernos que la contrataron para espiar a sus propios ciudadanos. El jueves, la jueza Phyllis Hamilton rechaz¨® las cuestiones previas de NSO sobre la legalidad del proceso y decidi¨® que la denuncia puede seguir adelante.

NSO Group es la propietaria de Pegasus, el programa esp¨ªa con el que supuestamente se invadieron los tel¨¦fonos m¨®viles del presidente del Parlament catal¨¢n, Roger Torrent, y del exconseller de ERC Ernest Maragall, seg¨²n una investigaci¨®n de EL PA?S y The Guardian. La intrusi¨®n en el tel¨¦fono de los dirigentes independentistas catalanes se realiz¨® a trav¨¦s de un fallo de seguridad de WhatsApp entre abril y mayo de 2019 y que permiti¨® introducir el programa en sus terminales y en los de unas 1.400 personas. En el caso de los pol¨ªticos independentistas ser¨¢ muy complicado conocer la identidad de quien instal¨® los sistemas de espionaje en sus tel¨¦fonos, pero s¨ª se sabe que los servicios de informaci¨®n espa?oles disponen de este programa.

Facebook se refiere a ese fallo de seguridad como CVE-2019-3568, el nombre de la advertencia de seguridad que public¨® el 13 de mayo, cuando descubri¨® que alguien estaba hackeando tel¨¦fonos m¨®viles a trav¨¦s de la aplicaci¨®n WhatsApp, propiedad de la empresa de Mark Zuckerberg. Para los 1.400 afectados, detr¨¢s de ese nombre t¨¦cnico est¨¢n todos sus mensajes, emails, conversaciones, contactos, fotos, grabaciones, datos de localizaci¨®n y cualquier cosa que hayan apuntado con su c¨¢mara. Todo acab¨® en manos de los esp¨ªas.

Seg¨²n el relato de la denuncia, NSO Group cre¨® entre enero de 2018 y mayo de 2019 varias cuentas de Facebook y WhatsApp con el objetivo de utilizarlas como veh¨ªculo para su programa esp¨ªa de tel¨¦fonos m¨®viles. Las cuentas se crearon con n¨²meros de tel¨¦fono de varios pa¨ªses, entre los que se cita a Chipre, Israel, Brasil, Indonesia, Suecia y Holanda. Despu¨¦s, NSO alquil¨® servidores en varios pa¨ªses, incluido Estados Unidos. Los servidores estaban en las empresas Choopa, Quadranet y Amazon Web Services.

De alguna forma, NSO consigui¨® desmontar el c¨®digo de la aplicaci¨®n y cre¨® un programa que emulaba una llamada de WhatsApp. Eso es lo que vieron las v¨ªctimas. Una llamada que ¡°aparentaba estar originada en WhatsApp¡±. Una llamada perdida y el programa esp¨ªa de NSO quedaba instalado en sus m¨®viles. No hac¨ªa falta siquiera contestar. Entre los afectados hay abogados, periodistas, activistas de derechos humanos, disidentes pol¨ªticos, diplom¨¢ticos, altos cargos y, seg¨²n confirm¨® esta semana EL PA?S, al menos dos l¨ªderes de Esquerra Republicana de Catalunya.

Cuando Facebook identific¨® el agujero, lo cerr¨® y public¨® el fallo de seguridad en su web, el 13 de mayo de 2019. Un empleado de NSO al que la denuncia no identifica, dijo: ¡°Nos acab¨¢is de cerrar nuestro punto remoto m¨¢s grande para m¨®viles¡­ Ha salido en las noticias en todo el mundo¡±. En la denuncia no queda claro cu¨¢ntos d¨ªas estuvo abierta esa puerta.

A partir de aqu¨ª, todo son preguntas. NSO afirma que ellos no esp¨ªan a nadie, que lo ¨²nico que hacen es vender su programa esp¨ªa a Gobiernos para combatir el crimen y el terrorismo, en ning¨²n caso para perseguir disidentes. A cu¨¢ntos Gobiernos les vendi¨® ese programa, cu¨¢les eran, c¨®mo eran los t¨¦rminos del contrato, cu¨¢nto pagaron, qui¨¦nes son los 1.400 individuos, son todav¨ªa inc¨®gnitas m¨¢s de un a?o despu¨¦s de los hechos.

Prestigio y una indemnizaci¨®n ejemplar

Aqu¨ª es donde entra en juego la denuncia de Facebook y WhatsApp. Se present¨® el 29 de octubre de 2019 en los juzgados federales del norte de California, con sede en San Francisco. La empresa de Mark Zuckerberg pide una orden cautelar que proh¨ªba a NSO el acceso a todas sus plataformas, lo que la privar¨ªa de la mayor red de comunicaci¨®n del mundo. Tambi¨¦n pide a la juez que condene a NSO a una indemnizaci¨®n ejemplar por el da?o causado.

Para las empresas es una importante cuesti¨®n de prestigio. WhatsApp ofrece a sus usuarios uno de los sistemas de privacidad m¨¢s seguros del mundo, con encriptaci¨®n de punta a punta (los mensajes salen encriptados del emisor y los descodifica el receptor; nadie entre medias puede ver qu¨¦ dicen). Lo utilizan 1.500 millones de personas en 180 pa¨ªses. El programa esp¨ªa no penetr¨® en WhatsApp estrictamente, lo que hizo fue instalarse en los m¨®viles utilizando WhatsApp y robar la informaci¨®n del aparato. Pero el da?o de imagen para la compa?¨ªa de Zuckerberg es dif¨ªcil de calcular.

Pero la importancia de la demanda reside en que, por lo menos, va a obligar a NSO a dar explicaciones. Si la compa?¨ªa israel¨ª quiere argumentar que ellos no son los que hackean los m¨®viles, debe probarlo, lo que le obligar¨ªa en principio a se?alar a sus clientes. Al judicializar el asunto, Facebook puede acabar obligando a NSO a revelar tanta informaci¨®n sobre sus actividades que acabe fuera de juego. Y, de paso, el mundo entero vea muchas de sus preguntas contestadas. En una reciente moci¨®n de la fase previa, Facebook le dice a la juez que NSO debe revelar qui¨¦n llev¨® a cabo cada uno de los 1.400 ataques (es decir, qu¨¦ Gobierno) y que puede pedir ¡°toda la informaci¨®n sobre clientes y servidores de NSO¡±. Este jueves, tras la decisi¨®n de la juez en favor de WhatsApp, sus portavoces reaccionaron recordando que ahora van a poder pedir ¡°importantes documentos¡± sobre las actividades de NSO.

Desde octubre, las partes estaban enfrascadas en una batalla de cuestiones previas en las que NSO discut¨ªa toda la denuncia. Para empezar, negaba el supuesto perjuicio a WhatsApp. Afirmaba que no hab¨ªa lugar a la prohibici¨®n de usar el servicio puesto que, si WhatsApp ha tapado el agujero, ya no hay posibilidad de continuar el supuesto perjuicio. En un momento de su argumentaci¨®n, los israel¨ªes disparan con iron¨ªa a los californianos. ¡°WhatsApp vuelve a ser seguro de nuevo y sus usuarios pueden enviar con seguridad mensajes encriptados (y planear ataques terroristas e intercambiar pornograf¨ªa infantil) sin riesgo de que los detecte la polic¨ªa o las agencias de inteligencia¡±, dec¨ªa NSO en una de sus mociones de esta fase preliminar.

NSO tambi¨¦n discute la jurisdicci¨®n federal y californiana sobre el caso y pelea para que cualquier queja contra ella se dirima ante la justicia israel¨ª. All¨ª, esta misma semana un tribunal de Tel Aviv le ha dado la raz¨®n y ha desestimado una denuncia de Amnist¨ªa Internacional que ped¨ªa que se suspendiera la licencia para exportar sus productos a Gobiernos extranjeros. Facebook, por su parte, argumenta que fueron atacados servidores que est¨¢n en California, algunas de las v¨ªctimas del espionaje tambi¨¦n est¨¢n en el Estado y, adem¨¢s, al crear cuentas de Facebook o de WhatsApp los t¨¦rminos del contrato estipulan que los conflictos se someten a la justicia federal y californiana.

De esta batalla judicial depende, seg¨²n la denuncia, que se repare el supuesto perjuicio econ¨®mico y de reputaci¨®n de WhatsApp. Pero m¨¢s que eso, lo que est¨¢ en el aire es el futuro de NSO, el mercado de programas esp¨ªa y, sobre todo, la posible revelaci¨®n de toda la informaci¨®n que tenga esa empresa sobre los gobiernos que los utilizan.