O que o julgamento do WhatsApp contra a NSO revela sobre o futuro da espionagem digital

Uma decisão recente da Justiça americana colocou o WhatsApp frente a frente com a NSO Group, fabricante do Pegasus, o spyware mais sofisticado (e temido) do mundo.

O resultado foi uma vitória simbólica para a Meta: a empresa israelense foi condenada a pagar mais de US$ 167 milhões por ter invadido o aplicativo em 2019. Mas o que se revelou no julgamento vai muito além de valores.

Segundo o Thech Crunch, o caso escancarou a lógica por trás da nova era da espionagem digital.

Hoje, ferramentas como o Pegasus funcionam sob um modelo que lembra uma plataforma de serviço (SaaS), com direito a painel de controle, automação e assistência ao cliente.

Governos inserem um número de telefone e recebem de volta uma lista de dados extraídos diretamente do celular da vítima, sem clique, sem rastros.

Durante o processo, vieram à tona os bastidores desse ataque.

Leia também: Meta transforma IA em rede social e intensifica disputa pela atenção dos usuários

O ataque que virou o jogo: como o Pegasus invadiu o WhatsApp sem clique

Em 2019, o Pegasus invadiu cerca de 1.400 celulares por meio de chamadas perdidas no WhatsApp.

A NSO criou servidores falsos, que simulavam a infraestrutura do app, e instalava o spyware automaticamente.

O número de telefone era suficiente para ativar o ataque, sem precisar que o usuário aceitasse a ligação.

A Meta corrigiu a falha e processou a NSO. Só que, mesmo com o processo em andamento, a espionagem continuou.

Testes com três famílias de exploits (apelidadas de Erised, Eden e Heaven) foram detectados até maio de 2020.

Além disso, um número com prefixo dos EUA foi alvo do Pegasus, algo que a NSO dizia não fazer.

O CEO Yaron Shohat explicou no julgamento que isso ocorreu em um “teste” com o FBI.

O detalhe: o próprio governo americano havia incluído a NSO em sua lista negra por preocupações com direitos humanos.

Essa revelação liga o alerta sobre os limites — ou a ausência deles — no uso de ferramentas desse tipo.

E deixa claro que a espionagem por contrato se tornou mais comum do que parece. Como mostramos nesta matéria sobre os riscos cibernéticos no Brasil em 2025, a sofisticação dos ataques não está mais restrita a alvos políticos. Empresas, plataformas e veículos de mídia já estão na linha de frente.

No setor de comunicação, inclusive, ameaças como espionagem, sequestro de dados e ataques DDoS cresceram nos últimos dois anos.

Os ataques estão mais direcionados, explorando brechas específicas — e muitas vezes aproveitando fornecedores terceirizados ou plugins desatualizados como porta de entrada.

Por isso, reforçar a segurança digital não é mais uma medida preventiva. É uma necessidade.

O guia que publicamos recentemente com ações de proteção para empresas em 2025 mostra por onde começar: mapeamento de acessos, autenticação em dois fatores, criptografia de ponta a ponta, análise contínua de vulnerabilidades e, principalmente, mudança de cultura nas equipes.

No julgamento, o CEO da NSO revelou ainda que a empresa enfrenta dificuldades financeiras.

O caixa atual da empresa é de apenas US$ 5,1 milhões, contra um custo mensal de operação de US$ 10 milhões.

O prejuízo acumulado em dois anos ultrapassa US$ 20 milhões. E, mesmo assim, a empresa mantém uma equipe de 380 funcionários, boa parte dedicada à pesquisa e desenvolvimento de novas brechas em sistemas como Android, iOS, Telegram e, claro, WhatsApp.

O detalhe mais simbólico: a sede da NSO Group em Herzliya, Israel, funciona no mesmo prédio da Apple. “Dividimos o elevador”, contou Shohat, durante o depoimento.

A espionagem deixou de ser uma operação clandestina para se tornar um modelo de negócios. E o que está em jogo agora é quem vai conseguir resistir — e por quanto tempo.

Veja também: Meta vai usar dados de usuários para treinar IA — mas promete opção de recusa