Durante la audiencia judicial del 10 de abril de 2025 en el caso WhatsApp vs. NSO, el abogado de la empresa reconoció que entre los 1,400 usuarios atacados con Pegasus había entre 400 y 460 ubicados en México. También confirmó que NSO tenía autorizada la operación del software en territorio mexicano, aunque aclaró que no podía confirmar si el gobierno mexicano fue quien ejecutó los ataques, ya que Pegasus se licencia por país pero NSO no tiene visibilidad sobre cómo lo usan sus clientes y la empresa israelí alegó que Whatsapp no reveló qué números fueron atacados.
Durante una audiencia celebrada el 10 de abril de 2025 en una corte federal de California, como parte del juicio que WhatsApp (propiedad de Meta) mantiene contra NSO Group, el fabricante del spyware espía Pegasus, se mencionó a México como uno de los países donde se registraron víctimas del espionaje. Sin embargo, una lectura precisa de la transcripción oficial muestra que no existe evidencia directa en el expediente que vincule al gobierno mexicano con la operación del malware contra esos usuarios.
De acuerdo con la transcripción de la audiencia, publicada por TechCrunch, el abogado de NSO, Joe Akrotirianakis, confirmó que documentos presentados por WhatsApp señalaban que entre 400 y 460 de los 1,400 usuarios atacados entre abril y mayo de 2019 estaban ubicados en México. «Sus documentos afirman que 400, y creo que unos 60 o 70 de los 1400, estaban en México, Su Señoría», afirmó el abogado.
No obstante, al ser cuestionado por la jueza Phyllis J. Hamilton sobre si eso significaba que el gobierno mexicano fue responsable de los ataques, el abogado respondió que Pegasus se licencia para ser utilizado únicamente dentro de ciertos territorios geográficos, como México, que reconoció como cliente, «Pegasus tenía licencia para territorios y solo puede usarse en esos territorios», explicó Akrotirianakis. Sin embargo, el abogado dijo que NSO no tiene conocimiento directo de cómo ni por quién se utilizó la herramienta en cada caso.
Dicho de otro modo: la empresa reconoce que otorgó licencia de uso de Pegasus en México, lo que implica que un cliente de NSO —cuyo nombre no se reveló— tenía permiso para operar el software dentro del país. Pero eso no significa, ni en la audiencia se afirma, que el gobierno de México haya ejecutado los ataques denunciados por Whtatsapp, ni que NSO sepa quién fue el responsable de los mismos.
¿Proporcionó usted en nombre de NSO algo que les permitiera conectar a estos 1400 usuarios de todo el mundo con entidades específicas? Preguntó la jueza. «No tenemos esa información. La solicitamos a terceros. Solicitamos al Tribunal que emitiera una comisión rogatoria para obtener esa información y litigar este mismo asunto, y fue denegada, Su Señoría», respondió el abogado. .
Akrotirianakis fue claro al señalar que NSO no tiene visibilidad sobre los objetivos específicos de sus clientes, pues el control operativo del malware recae en quienes lo adquieren, y que la empresa no accede a la lista de personas espiadas ni a la información obtenida por sus clientes. Tampoco en el juicio se ofreció evidencia concreta sobre las instituciones o entidades que habrían utilizado Pegasus dentro de los países autorizados.
El abogado de NSO explicó que WhatsApp identificó técnicamente los 1,400 teléfonos afectados. Posteriormente, el laboratorio Citizen Lab colaboró en el análisis, clasificando a al menos 200 de esos usuarios como pertenecientes a la sociedad civil —periodistas, defensores de derechos humanos, activistas—. Sin embargo, ni WhatsApp ni Citizen Lab identificaron a los autores de cada ataque.
«WhatsApp es la entidad que conectó a los 1,400 con números de teléfono específicos. No tendríamos los números de teléfono. Ellos tienen a esos usuarios. Contrataron a Citizen Lab para identificarlos. Y si supiéramos quiénes son, como intentamos que el Tribunal ordenara, podríamos decirles si son clientes o no. Lo que puedo decirles es que el funcionamiento de las licencias, el funcionamiento de la tecnología, funciona en territorios específicos, pero no en otros», remarcó el abogado.
La información de que había usuarios mexicanos entre los afectados ya estaba presente desde 2019 en la demanda original de WhatsApp, pero el documento judicial del juicio actual no aporta nuevos elementos que permitan atribuir responsabilidad a ningún gobierno en específico.
El documento confirma que hubo personas en México entre los afectados por Pegasus, y que NSO tenía autorizada la operación del spyware en territorio mexicano. Sin embargo, no se identifica al responsable de los ataques, ni se presenta evidencia que permita concluir que fue el gobierno mexicano quien ordenó o ejecutó el espionaje.
Según las propias declaraciones del abogado Joe Akrotirianakis, NSO licencia Pegasus para ser usado dentro de uno más territorios específicos, pero eso no significa que los objetivos del espionaje necesariamente residan o se encuentren en un país, porque para empezar, el abogado no precisó qué define como territorio y en cuántos de estos territorios uno de sus clientes puede tener acceso. El abogado también explicó que dentro de sus políticas no se pemite el ataque a cualquier usario. Sin embargo, durante la audiencia se remitió a dar únicamente explicaciones de sus términos de servicio y a confirmar a tres de sus clientes, México, Uzbekistan y Arabia Saudita coinciden geográficamente con la lista de usuarios de Whatsapp atacados. ç
Al responder: “Pegasus tenía licencia para territorios y solo se puede usar en esos territorios, Su Señoría», esto significa que el malware está técnicamente limitado a operar desde ciertas ubicaciones, pero no hay forma —ni NSO lo explica— de saber con certeza quién usó Pegasus para atacar a quién dentro de ese territorio, o si incluso alguien desde otro país violó las restricciones y espió a usuarios mexicanos.
Además, el propio Akrotirianakis sugiere que había otros clientes (al menos ocho más) aparte de los tres países que mencionó (México, Arabia Saudita y Uzbekistán). México ya había reconocido el uso de Pegasus, e incluso la Fiscalía General de la República (FGR) imputó en 2021 a Juan Carlos García Rivera, por intervenir las comunicaciones de una periodista de la que no se ha revelado el nombre. NSO Group envió un documento a AP en el que negó que García fuera empleado de la compañía israelí. Juan Carlos García «no es, ni nunca fue, un empleado de NSO Group ni de ninguna de sus filiales», señaló la empresa a la agencia.
NSO ha sido escurridiza y se ha refugiado en la opacidad para deslindarse de posibles vinculaciones con casos donde se utilice el spyware de manera negligente. La misma opacidad ha impedido a los investigadores seguir el rastro que conduzca a los atacantes. En esta neblina, no se descarta que se rompan las políticas de NSO con facilidad y que el spyware no sólo se emplee para espiar a periodistas y activistas sino también se violen otras normas como la delimitación territorial e incluso la exclusividad de los gobiernos.
El hecho de que el abogado de NSO, Joe Akrotirianakis, confirmó que México era cliente pero no sostuvo esta versión cuando se le solicitó que confirmara que el Gobierno de México estaba detrás de los más de 400 ataques a usuarios de Whatsapp podría ocultar una confesión de que el software es operado fuera de las políticas de la compañía bajo conocimiento de esta. Es por este motivo que es importante no anticipar conclusiones.
