WhatsApp anunció este lunes que detectó y frustró nuevos intentos de ataque que atribuye a una actividad relacionada con la empresa israelí de ciberseguridad ofensiva NSO Group. El aviso llega después de que el año pasado un tribunal federal de Estados Unidos dictara una orden permanente que prohibía a la compañía y a su personal actuar contra WhatsApp y sus usuarios en todo el mundo.
Según la empresa, los atacantes intentaron engañar a usuarios para que hicieran clic en enlaces maliciosos que los dirigían a sitios web externos. El método, descrito como similar a campañas de phishing atribuidas anteriormente a NSO, también incluyó cuentas y grupos de prueba creados dentro de la plataforma, que WhatsApp aseguró haber identificado y eliminado.
WhatsApp afirma haber bloqueado una nueva campaña vinculada a NSO Group basada en enlaces maliciosos y dominios externos diseñados para sacar a los usuarios de la aplicación e incorporarlos a una posible cadena de ataque.
En el marco de la investigación, WhatsApp publicó tres dominios que, según sostiene, fueron utilizados como parte de la campaña: ikhwancast, ghazacast y fr24cast. La compañía explicó que el objetivo era inducir a los usuarios a abandonar la aplicación y entrar en sitios preparados para formar parte del proceso de compromiso.
A raíz de estos hallazgos, WhatsApp anunció que acudirá a un tribunal federal de Estados Unidos para pedir sanciones adicionales contra NSO Group. La empresa argumenta que, si NSO o entidades que actúan en su nombre participaron en la actividad detectada, se trataría de una violación directa de una orden judicial vinculante emitida tras años de procedimientos legales.
La disputa judicial entre WhatsApp y NSO Group
El enfrentamiento entre WhatsApp y NSO comenzó en 2019, cuando la plataforma reveló que el software espía Pegasus había explotado una vulnerabilidad en el mecanismo de llamadas de la aplicación. Según WhatsApp, más de mil usuarios en distintos países fueron afectados, entre ellos periodistas, activistas de derechos humanos, abogados, diplomáticos y miembros de la oposición.
Un año después, WhatsApp presentó una demanda sin precedentes en Estados Unidos. La compañía alegó que NSO había utilizado sus servidores para llevar a cabo ciberataques y que había infringido leyes informáticas estadounidenses, mientras que NSO ha sostenido durante años que sus productos se venden exclusivamente a gobiernos y organismos de seguridad para combatir el terrorismo y la delincuencia grave.
La empresa israelí también ha afirmado que no opera los sistemas por sí misma ni selecciona los objetivos de vigilancia. Sin embargo, la disputa se agravó en 2021, cuando el Departamento de Comercio de Estados Unidos incluyó a NSO en la lista de entidades restringidas por acusaciones sobre el uso de sus herramientas contra periodistas, activistas de derechos humanos y figuras públicas.
Pegasus, sanciones y nuevos riesgos fuera de la aplicación
A finales de 2024, un tribunal federal de California dictaminó que NSO era responsable de infringir leyes informáticas estadounidenses y de violar los términos de uso de WhatsApp. Posteriormente, se fijó contra la empresa una indemnización de 168 millones de dólares, aunque durante los procedimientos de apelación la cifra se redujo de forma significativa a unos 4 millones de dólares.
Aunque el proceso judicial principal ya concluyó, el nuevo anuncio de WhatsApp muestra que la confrontación sigue abierta. La compañía considera que los intentos detectados refuerzan la necesidad de medidas judiciales adicionales para impedir que actores vinculados a NSO vuelvan a dirigirse contra sus usuarios.
WhatsApp añadió que proporcionará información técnica a investigadores de seguridad informática y a usuarios para ayudar a identificar posibles intentos de ataque también fuera de la aplicación. La advertencia incluye canales como mensajes de texto, correo electrónico y otros servicios de comunicación que podrían ser utilizados para dirigir a las víctimas hacia enlaces maliciosos.
Con esta nueva acción, la plataforma de Meta busca reforzar la protección de sus miles de millones de usuarios y ampliar la vigilancia sobre campañas que combinen phishing, infraestructura externa y herramientas de espionaje digital. El caso mantiene bajo presión a NSO Group y vuelve a colocar a Pegasus en el centro del debate sobre vigilancia, ciberseguridad y límites legales para las tecnologías ofensivas.