Un jurado del Estado de California (Estados Unidos) dictaminó que la empresa NSO Group Technologies deberá abonar a WhatsApp una indemnización ascendente a 444.719 dólares en concepto de daños compensatorios y 167.254.000 dólares por daños punitivos. La decisión se basó en la conclusión del jurado de que la conducta de NSO vulneró la Ley Integral de Acceso a Datos y Fraude de California (CDAFA), apreciando elementos de malicia, opresión o fraude.
La demanda fue interpuesta por WhatsApp en 2019, en la cual alegó que la demandada había desarrollado y empleado un software con el que se introdujo el virus informático “pegasus” en aproximadamente 1.400 dispositivos electrónicos, lo que habría permitido el acceso no autorizado a las comunicaciones privadas de determinados usuarios del servicio de mensajería.
NSO Group, empresa con sede en Israel y dedicada al desarrollo de tecnología de ciberseguridad, solicitó en su momento la desestimación de la demanda. En su argumentación, sostuvo que el software Pegasus es operado exclusivamente por agencias gubernamentales autorizadas, y que estas actúan en el marco de sus competencias soberanas, siendo ellas —y no NSO— quienes controlan directamente el uso del sistema.
El tribunal estadounidense, no obstante, dictaminó que NSO incurrió en una infracción de las secciones (a)(2) y (a)(4) de la Ley de Fraude y Abuso Informático (CFAA), disposición federal análoga a la CDAFA. Dicha normativa sanciona el acceso intencionado a sistemas informáticos protegidos sin autorización, o el acceso que exceda el permiso otorgado, cuando ello derive en la obtención de información o bienes con finalidad fraudulenta. La sección (b) extiende la responsabilidad a los partícipes y co-conspiradores, razón por la cual se rechazó el argumento de que NSO no sería responsable de las acciones ejecutadas por sus clientes gubernamentales.
A raíz del veredicto, la empresa Meta —matriz de WhatsApp— emitió un comunicado en el que valoró la resolución judicial. Asimismo, organizaciones como Amnistía Internacional expresaron sus consideraciones. Por su parte, NSO declaró que está analizando las implicaciones legales del fallo y que se reserva el derecho a interponer los recursos disponibles, incluyendo la apelación.
Finalmente, el software Pegasus, mencionado en los procedimientos judiciales, ha sido objeto de investigaciones en distintos países por su capacidad de acceder remotamente a dispositivos móviles, incluyendo funcionalidades como la cámara, el micrófono, mensajes y credenciales. Diversos informes han documentado su empleo en operaciones de vigilancia en varios Estados.