Meta ha presentado una queja por desacato contra NSO Group tras bloquear una campaña de phishing en WhatsApp que viola una orden judicial.
La compañía tecnológica, que ya había ganado un litigio civil en 2025 contra el fabricante del spyware Pegasus —con una indemnización de 168 millones de dólares—, asegura que NSO no está respetando la orden permanente que le prohíbe atacar a usuarios de la aplicación de mensajería.
La nueva operación, según explicó Meta en su blog oficial de ingeniería de seguridad, consistía en intentos de spear-phishing (ataques dirigidos mediante ingeniería social) que buscaban engañar a las víctimas para que hicieran clic en enlaces maliciosos y fueran redirigidas a sitios web externos, fuera del entorno seguro de WhatsApp. ‘Se parecía a las campañas de phishing de un solo clic vinculadas anteriormente a NSO’, detalló la empresa.
Los investigadores de Meta también descubrieron que los atacantes habían creado cuentas y grupos de prueba en WhatsApp, que fueron eliminados de inmediato. La empresa no ha detallado cuántos usuarios pudieron verse afectados, pero ha comunicado que interrumpió con éxito los intentos de ingeniería social tras investigar informes de usuarios.
La conexión con NSO Group se basa, en parte, en el modus operandi. La campaña guardaba similitudes con las infecciones de spyware que afectaron a periodistas y activistas en Jordania entre 2019 y 2023, atribuidas también a Pegasus. Aquellos casos, documentados por Citizen Lab y Amnistía Internacional, demostraron cómo bastaban mensajes aparentemente inocentes para instalar el software espía sin que la víctima hiciera clic.
El hecho de que NSO esté desafiando una orden judicial mientras intenta salir de la lista de sanciones demuestra la misma arrogancia que la industria del spyware lleva años exhibiendo.
El historial de NSO: de la condena por 168 millones a la lista negra de la Casa Blanca
La empresa israelí NSO Group lleva años en el punto de mira de la justicia estadounidense. En 2021, el Departamento de Comercio la incluyó en la ‘Entity List’ (Lista de Entidades) por su participación en actividades contrarias a los intereses de la seguridad nacional de Estados Unidos. Esa designación, que prohíbe a las compañías norteamericanas venderle tecnología sin licencia, fue un golpe duro para NSO, que siempre ha defendido que su spyware se utiliza solo para luchar contra el terrorismo y el crimen.
Sin embargo, la realidad ha sido otra. En 2025, un tribunal federal de California falló a favor de Meta en una demanda civil presentada por WhatsApp, que acusaba a NSO de haber explotado una vulnerabilidad en la app para infectar dispositivos de unos 1.400 usuarios en todo el mundo con el software Pegasus. El fallo fijó una indemnización récord de 168 millones de dólares y, sobre todo, emitió una orden judicial permanente que prohíbe a NSO volver a utilizar los servicios de WhatsApp para lanzar ataques.
Pese a ello, NSO no se ha dado por vencida. La empresa ha recurrido el fallo y, en el terreno político, ha intensificado sus esfuerzos para ser eliminada de la lista de sanciones. Su nuevo presidente ejecutivo mantiene estrechos vínculos con el expresidente Donald Trump, lo que ha abierto un debate en el Congreso sobre la posible flexibilización de las restricciones a pesar de los riesgos de seguridad.
Pero la nueva campaña de phishing detectada por Meta ha vuelto a poner el foco en la peligrosidad de la compañía. ‘Las propias acciones de NSO constituyen el argumento más sólido para que permanezcan en la Lista de Entidades’, escribió en redes sociales John Scott-Railton, investigador jefe del Citizen Lab de la Universidad de Toronto, uno de los mayores expertos mundiales en spyware. Meta, por su parte, ha insistido en que ‘cuando una empresa maliciosa incluida en la lista del Gobierno de EE.UU. sigue desafiando a los tribunales estadounidenses, las restricciones existentes deben mantenerse firmes’. La compañía advierte que relajar las sanciones socavaría la seguridad nacional y pondría en riesgo a miles de millones de personas.
Dossier Moncloa: Ojos en la Sombra
El vector de ataque es clásico pero efectivo: una campaña de ‘phishing’ dirigida que utiliza el nombre de WhatsApp como cebo para entregar ‘spyware’. Meta ha bloqueado los intentos, pero la mera existencia de esta operación, con cuentas de prueba y enlaces maliciosos, demuestra que NSO sigue perfeccionando su oficio para esquivar barreras técnicas y órdenes judiciales. El ‘tradecraft’ recuerda a las infecciones de un solo clic con Pegasus, pero en esta ocasión se apoyaba en páginas externas para engañar a las víctimas, un paso intermedio que busca evitar los sistemas de protección internos de la ‘app’.
Desde el punto de vista de las agencias, el atacante es NSO Group, un fabricante de armas cibernéticas con clientes gubernamentales en decenas de países. El defensor es Meta, que arrastra el lastre de haber permitido en el pasado ingeniería social en sus plataformas. Hay un tercer actor mirando con lupa: el Gobierno de Estados Unidos, que tiene a NSO en la lista negra pero sufre presiones políticas para suavizar las sanciones. Y en un cuarto plano, los servicios de inteligencia europeos que han sido víctimas del uso descontrolado de Pegasus —entre ellos, el CNI español—. No olvido que en 2021 y 2022, el teléfono del presidente del Gobierno español y de varios ministros fue infectado con este mismo ‘spyware’. Aquello puso a prueba la capacidad del CCN-CERT para detectar y mitigar este tipo de amenazas contra altos cargos.
Sostengo desde hace tiempo que el ‘spyware’ comercial es la gran amenaza desregulada del siglo XXI. Lo escribí en ‘El quinto elemento’ y lo repito aquí: el próximo 11S empezará con un clic, y Pegasus —o sus herederos— tiene todas las papeletas para ser el arma. La queja de Meta por desacato es una maniobra legal, pero también un aviso a navegantes: NSO no se detiene. La decisión de la Casa Blanca sobre su permanencia en la ‘Entity List’ será, en la práctica, la sentencia definitiva sobre si el espionaje comercial tiene carta blanca.
El nivel de clasificación estimado de los documentos judiciales en juego es ‘Sin Clasificar pero Sensible’, porque la información sobre la campaña se ha hecho pública, pero los detalles técnicos internos de Meta permanecen bajo restricción. La conexión con España es directa: si la empresa logra salir de la lista negra, sus clientes podrían acceder nuevamente a tecnología que ya puso en jaque a nuestro sistema político. El CNI y el CCN-CERT lo saben, y en La Moncloa siguen de cerca este pulso en los tribunales de California.
