¿Qué es el spyware Pegasus y cómo detectarlo y eliminarlo?

Pegasus es un spyware desarrollado por la empresa israelí NSO Group y vendido exclusivamente a organismos gubernamentales. Se infiltra en los smartphones a través de aplicaciones de mensajería y notificaciones del sistema, y aprovecha las vulnerabilidades que no requieren ninguna interacción por parte del usuario: los llamados «exploits de clic cero».

Las investigaciones revelan que Pegasus se ha utilizado para espiar a periodistas, activistas y figuras políticas en más de 50 países. Comprender cómo funciona Pegasus —y cómo se ha estado utilizando— arroja luz sobre por qué se ha convertido en una de las herramientas de vigilancia más controvertidas jamás creadas.

¿Cómo funciona el spyware Pegasus?

Para infiltrarse en los dispositivos, sustraer datos y eludir la detección, Pegasus emplea tres mecanismos clave:

Instalación sin clic

A diferencia de la mayoría del malware, Pegasus se instala sin necesidad de interacción por parte del usuario. Aprovecha los fallos de seguridad de los sistemas operativos y las aplicaciones de mensajería como WhatsApp e iMessage para infiltrarse en los dispositivos cuando el usuario se limita a recibir un mensaje o una notificación. A menudo aprovecha las vulnerabilidades de día cero, es decir, fallos de seguridad previamente desconocidos que aún no se han parcheado, por lo que es casi imposible mitigarlo en tiempo real.

Funciones de vigilancia 

Una vez instalado, Pegasus opera a nivel del sistema con privilegios de root. Lee los mensajes cifrados de las aplicaciones, escucha llamadas, graba audio a través del micrófono, toma fotos con la cámara, recopila contraseñas y rastrea la ubicación en tiempo real. Pegasus infecta tanto dispositivos iPhone como Android y adapta su método a la arquitectura de seguridad de cada sistema operativo, lo que lo distingue de la mayoría del spyware comercial.

Diseño autodestructivo

Pegasus borra los registros, elimina los archivos temporales y deja de comunicarse con los servidores de comando y control cuando detecta análisis forenses o períodos prolongados sin conexión. Este diseño autodestructivo lo hace invisible incluso para las herramientas de seguridad más avanzadas, por lo que puede desaparecer antes de que los investigadores recopilen pruebas.

Uso y abuso por parte de los gobiernos

Pegasus no se vende a particulares, sino que se licencia a organismos gubernamentales para su uso en la lucha contra el terrorismo y en investigaciones criminales. Sin embargo, las investigaciones revelan que también se ha utilizado indebidamente contra periodistas, activistas y figuras políticas, hecho que suscita preocupación a nivel mundial. Esta discrepancia entre el propósito declarado de NSO y el uso indebido documentado constituye el núcleo de la controversia en torno a Pegasus.

Controversia sobre NSO Group y Pegasus

Pegasus fue desarrollado por NSO Group, una empresa israelí de ciberseguridad fundada en 2010 con el objetivo declarado de ayudar a los gobiernos a combatir el terrorismo y los delitos graves. La empresa se presenta como proveedora de tecnología de interceptación legal y vende herramientas que permiten a los servicios de inteligencia y a las fuerzas del orden acceder a los datos de los sospechosos de delitos cuando los métodos tradicionales resultan ineficaces. NSO afirma que sus productos salvan vidas, ya que ayudan a desmantelar redes criminales, rastrear a secuestradores y prevenir ataques terroristas.

Sin embargo, la industria del software espía opera a puerta cerrada, donde la línea entre la vigilancia legítima y el espionaje político a menudo se difumina. NSO se dedica a la venta de software a clientes gubernamentales de todo el mundo¹, pero las voces críticas argumentan que el proceso de selección de la empresa es opaco y que da prioridad a los contratos lucrativos sobre la protección de los derechos humanos. Una vez vendido Pegasus, NSO tiene una visibilidad limitada sobre cómo se utiliza y contra quién, y apenas se hace responsable por su uso indebido.

En 2021, el Proyecto Pegasus, una investigación internacional dirigida por Forbidden Stories y Amnistía Internacional en la que participaron 17 medios de comunicación asociados, entre ellos The Guardian, The Washington Post y Le Monde, reveló que Pegasus se había utilizado para espiar a periodistas, activistas, abogados y políticos en más de 50 países de todo el mundo².

Repercusiones y respuesta global

La revelación de Pegasus desencadenó una acción internacional inmediata. Varios países, entre los cuales Francia, India y Hungría, iniciaron investigaciones oficiales sobre el posible uso indebido del spyware.³ ⁴ El Parlamento Europeo creó una comisión especial para examinar el impacto de Pegasus en la democracia y los derechos civiles dentro de la UE.⁵ Varios gobiernos, entre ellos Estados Unidos, impusieron restricciones comerciales o diplomáticas a NSO Group, y las organizaciones internacionales pidieron una supervisión más estricta de la industria de la vigilancia en su conjunto.⁶ 

Al mismo tiempo, la controversia dañó profundamente la reputación y la estabilidad financiera de NSO. Diversos informes señalaron que la empresa se enfrentaba a un mayor endeudamiento, despidos y la pérdida de contratos clave, ya que los inversores empezaron a distanciarse de ella.⁷ Pegasus se convirtió en un símbolo no solo de la vigilancia intrusiva, sino también de la creciente falta de rendición de cuentas en el mercado mundial del spyware, donde cada vez están más entrelazados los intereses de los gobiernos, las empresas privadas y la política.

Pese a todo, el mundo sigue sin estar a salvo de spyware como Pegasus. Desde entonces, se han descubierto herramientas similares, como Predator, con sede en Macedonia del Norte, que se utilizó para espiar a periodistas y representantes de la oposición en países como Grecia y Egipto.⁸ La controversia sobre Pegasus puso en evidencia a una empresa, pero también llamó la atención sobre el crecimiento de la industria de las sofisticadas tácticas de vigilancia digital.

Vínculos con el Gobierno israelí

NSO Group opera bajo el sistema de control de exportaciones de Israel, que clasifica Pegasus como tecnología de grado militar, por lo que se exige la aprobación del Ministerio de Defensa por cada venta. Este acuerdo no es único: Estados Unidos, la Unión Europea y otros 43 países imponen controles similares sobre las herramientas de vigilancia.

Lo que distingue el enfoque de Israel es la forma en que estas aprobaciones se han alineado con los objetivos diplomáticos. Una investigación del New York Times de 2022 reveló que Israel trataba a NSO como un brazo de facto del Estado y aprobó las ventas de Pegasus a Azerbaiyán, Marruecos, los Emiratos Árabes Unidos y Arabia Saudí como parte de sus esfuerzos por construir una alianza contra Irán.⁹ El NYT también informó de que Israel bloqueó las ventas a Estonia y Ucrania para mantener sus buenas relaciones con Rusia.

El Gobierno israelí niega utilizar Pegasus como arma diplomática. Sin embargo, el proceso de autorización obligatorio significa que Israel determina qué gobiernos acceden al software espía, lo que plantea dudas sobre la responsabilidad cuando esta tecnología se utiliza posteriormente contra periodistas, activistas y disidentes.

Cómo Pegasus amenaza la privacidad y los derechos humanos

Pegasus se infiltra silenciosamente en los dispositivos y sustrae datos privados (mensajes, llamadas, ubicaciones, fotos) sin el consentimiento ni el conocimiento del usuario. Esta capacidad derriba la frontera entre la vida privada y la pública, lo que supone una amenaza directa para la privacidad, la libertad de expresión y la protección de los derechos humanos.

Vulneración de la libertad de expresión

Las investigaciones forenses han vinculado las infecciones de Pegasus con periodistas, defensores de los derechos humanos y disidentes políticos, y no con los delincuentes y terroristas a los que NSO afirmaba dirigirse. Por ejemplo, se encontraron infecciones de Pegasus en los teléfonos de personas cercanas al periodista saudí asesinado Jamal Khashoggi, así como en los de periodistas de El País y The Washington Post.¹⁰ 

En Marruecos, el reportero de investigación Omar Radi fue presuntamente objetivo de Pegasus tras publicar artículos críticos contra su Gobierno.¹¹ La exposición de Pegasus puso de manifiesto la facilidad con la que la vigilancia estatal puede utilizarse para acallar voces disidentes, intimidar a los periodistas y obstaculizar la libertad de información y de expresión.

Erosión de las libertades civiles

El uso del spyware va más allá del ataque a individuos concretos: socava sistemas democráticos enteros. En varios países, entre ellos Hungría y España, se ha utilizado Pegasus para espiar directamente a políticos y activistas de la oposición.¹² 

Vigilar a ciudadanos, periodistas y legisladores a discreción desalienta la disidencia y debilita la confianza en las instituciones públicas. Esto genera lo que los expertos denominan un clima de vigilancia, una sociedad en la que el miedo a ser observado reprime el pensamiento independiente, el debate y la protesta.

Cómo saber si tu teléfono está infectado con Pegasus y qué hacer al respecto

Pegasus no deja señales visibles: ni ventanas emergentes, ni un consumo excesivo de batería, ni problemas de rendimiento. En lugar de fijarte en cambios de comportamiento, hay que saber dónde buscar las huellas digitales.

1. Qué no debes hacer

Evita los servicios o apps online que prometen una detección instantánea. Eliminar un spyware de este tipo no es sencillo, y la mayoría de estos servicios son estafas diseñadas para aprovecharse de tu situación. 

Del mismo modo, no entregues tu teléfono a nadie que afirme ser un experto independiente en el spyware Pegasus, a menos que esté afiliado a una organización de buena reputación (ver el punto 4). Actuar con demasiada rapidez puede provocar la pérdida de datos, la destrucción de pruebas forenses o alertar al atacante de que estás tras su pista.

2. Utiliza el kit de herramientas de verificación móvil

La forma más fiable de detectar Pegasus es mediante el MVT (Mobile Verification Toolkit o kit de herramientas de verificación móvil), una herramienta forense de código abierto desarrollada por el Laboratorio sobre Seguridad de Amnistía Internacional.¹³ El MVT examina los archivos de copia de seguridad del teléfono en busca de indicadores de afectación, como dominios sospechosos, registros del sistema alterados o fragmentos de código de seguimiento vinculados a las operaciones de Pegasus.

En los iPhone, el MVT examina los registros de iMessage y los datos de Apple Push Notification, donde con frecuencia se ha detectado actividad de Pegasus.

En los dispositivos Android, el MVT analiza las copias de seguridad del sistema y los registros de red. Sin embargo, Pegasus es más difícil de detectar en este entorno, ya que puede borrar todos los rastros de su actividad. En algunos casos verificados, laboratorios forenses como Citizen Lab han podido hallar pruebas solo mediante un análisis manual y en profundidad de la red.¹⁴

Para ejecutar MVT, se necesitan conocimientos técnicos intermedios y un ordenador con macOS o Linux. Aunque no elimina Pegasus, puede confirmar si tu dispositivo muestra signos de estar infectado, lo que constituye el primer paso y el más importante.

3. Aísla el dispositivo de inmediato

Si sospechas que hay una infección, desconecta el móvil de la wifi, los datos móviles y el Bluetooth. Pegasus necesita estas conexiones para comunicarse con sus operadores. No hagas llamadas ni inicies sesión en ninguna cuenta desde el dispositivo. Cada acción podría revelar nueva información al atacante.

4. Ponte en contacto con una organización de seguridad de confianza

Pegasus opera a nivel del sistema, por lo que no puedes eliminarlo por tu cuenta. Ponte en contacto con grupos expertos en seguridad digital, como Digital Security Helpline de Access Now o el Laboratorio sobre Seguridad de Amnistía Internacional. Estas organizaciones pueden analizar tu dispositivo de forma segura, confirmar la infección y guiarte en el siguiente paso, que será la contención o la preservación de pruebas.

5. Conserva las pruebas y retira el dispositivo

Si encuentras rastros de Pegasus, no restablezcas el móvil de inmediato. Haz una copia de seguridad completa y cifrada, y guárdala en un lugar seguro. Estos datos pueden ayudar a los expertos a verificar la infección. En los casos confirmados, las víctimas suelen retirar por completo el dispositivo, ya que las infecciones de Pegasus pueden persistir incluso después de restablecer o reinstalar el sistema.

Cómo protegerte del spyware similar a Pegasus

Es posible que nunca te topes con Pegasus directamente, pero sus tácticas han inspirado numerosas campañas de phishing, spyware comercial y herramientas de recopilación de datos que actualmente se utilizan contra usuarios comunes. Para protegerte, debes desarrollar hábitos que te protejan tanto de la vigilancia estatal como de las amenazas habituales online.

1. Mantén tus dispositivos actualizados

Pegasus se aprovecha de las vulnerabilidades sin parchear para infiltrarse en los teléfonos. Instala las actualizaciones de software y seguridad tan pronto como estén disponibles, ya que Apple, Google y otros desarrolladores cierran estas brechas con parches de emergencia.

2. Revisa los permisos de tus aplicaciones

Comprueba periódicamente qué aplicaciones pueden acceder a tu micrófono, cámara, contactos y ubicación. Si una aplicación no necesita un permiso concreto, revócalo. Si no reconoces una aplicación, elimínala. Limitar el acceso innecesario minimiza tu exposición a posibles vulnerabilidades.

3. Ten cuidado con los enlaces y las descargas

Aunque Pegasus puede explotar dispositivos sin tu intervención, la mayoría del spyware sigue dependiendo del phishing. No abras archivos adjuntos desconocidos ni descargues aplicaciones fuera de las tiendas oficiales. Los atacantes suelen camuflar el malware como mensajes o actualizaciones legítimos.

4. Refuerza tu protección en línea

Adopta una estrategia de seguridad por capas. Una VPN cifra tu actividad en internet, el software antivirus busca malware y los servicios de monitorización de fugas de datos te avisan si tu información privada aparece en línea. Soluciones de seguridad como Surfshark One combinan todas estas protecciones en una única plataforma. Aunque ninguna solución garantiza la inmunidad frente al spyware avanzado, la seguridad por capas reduce notablemente tu exposición a las amenazas habituales.

5. Protege tus comunicaciones

Utiliza aplicaciones con cifrado de extremo a extremo, como Signal o Wire, para mantener conversaciones confidenciales y activa los mensajes que desaparecen cuando proceda. Evita asociar o sincronizar cuentas personales y profesionales entre distintos dispositivos, ya que esto puede facilitar a los atacantes la tarea de rastrear tu identidad online.

En conclusión, ¿puedes protegerte del spyware patrocinado por un Estado?

Pegasus demostró que, cuando los Estados se lo proponen, cualquier dispositivo puede ser objeto de vigilancia. Vulnerabilidades similares permiten la monitorización continua, el phishing y la explotación de datos. Para mejorar tu nivel de protección, instala las actualizaciones de inmediato, no hagas clic en enlaces desconocidos y adopta una estrategia de seguridad por capas, como una VPN con cifrado, antivirus y monitorización de fugas de datos.

Recursos consultados

¹https://www.nsogroup.com/;
²https://forbiddenstories.org/pegasus-project/;
³https://www.reuters.com/world/europe/france-investigates-pegasus-spyware-claims-2021-07-20/;
⁴https://www.bbc.com/news/world-asia-india-57898194;
⁵https://www.europarl.europa.eu/news/en/headlines/society/20220401STO26373/pegasus-spyware-meps-condemn-use-of-spyware-against-citizens;
⁶https://www.ohchr.org/en/statements/2021/07/un-experts-call-moratorium-sale-and-transfer-surveillance-technology;
⁷https://www.ft.com/content/9f74c640-46d7-4b71-982b-49ff0f7dcdd7;
⁸https://citizenlab.ca/2023/05/predator-spyware-targets-egypt-greece/;
⁹https://www.nytimes.com/2022/01/28/world/middleeast/israel-pegasus-nso.html;
¹⁰https://www.washingtonpost.com/investigations/interactive/2021/jamal-khashoggi-wife-fiancee-cellphone-hack/;
¹¹https://www.amnesty.org/en/latest/research/2020/06/moroccan-journalist-targeted-with-network-injection-attacks-using-nso-groups-tools/;
¹²https://www.theguardian.com/world/2022/apr/18/catalan-independence-politicians-targeted-pegasus-spyware-report;
¹³https://github.com/mvt-project/mvt;
¹⁴https://citizenlab.ca/2021/07/amnesty-peer-review/;

No puedes controlar el spyware, pero sí tu conexión

Protege tus datos con Surfshark VPN y navega con más privacidad

Consigue Surfshark