PrincipiantePegasusNSO Groupespionajespywaremóvilmediático

Pegasus: el software espía que vigiló a presidentes

Historia de Pegasus (NSO Group): el spyware comercial que espió a periodistas, activistas y jefes de estado. Zero-click exploits, proyecto Pegasus y el debate sobre la vigilancia.

MalwareIntel Research··4 min lectura
Serie: Malware y Personajes que Hicieron Historia — Parte 7

El titular

Julio de 2021. Un consorcio de 17 medios de comunicación (The Guardian, Le Monde, Washington Post, entre otros) publica el "Proyecto Pegasus": una investigación coordinada por Forbidden Stories y Amnistía Internacional que revela que el spyware Pegasus de NSO Group fue usado para espiar a más de 50,000 números de teléfono, incluyendo periodistas, activistas de derechos humanos, abogados y jefes de estado.

Entre los objetivos: el presidente de Francia Emmanuel Macron, el primer ministro de Pakistán Imran Khan, el presidente de Irak Barham Salih, y el periodista Jamal Khashoggi (asesinado en el consulado saudí de Estambul en 2018, su teléfono fue infectado con Pegasus semanas antes).

Qué es Pegasus

Pegasus es un spyware comercial desarrollado por NSO Group, una empresa israelí fundada en 2010. Se vende exclusivamente a gobiernos (según NSO) para "combatir el terrorismo y el crimen organizado".

Capacidades

Una vez instalado en el teléfono, Pegasus puede:

  • Leer todos los mensajes (SMS, WhatsApp, Signal, Telegram) incluso cifrados end-to-end
  • Acceder a emails, fotos, vídeos y contactos
  • Activar micrófono y cámara sin indicador visual
  • Registrar llamadas
  • Rastrear ubicación GPS
  • Extraer contraseñas y tokens de autenticación
  • Acceder al almacenamiento de iCloud/Google Drive

En esencia: acceso total al dispositivo. Más que un spyware, es una toma de control completa del teléfono.

Zero-click exploits

Lo más alarmante de Pegasus: no requiere que la víctima haga nada. Los zero-click exploits infectan el dispositivo sin que el usuario toque un enlace, abra un archivo o realice ninguna acción.

Técnicas documentadas:

  • FORCEDENTRY (2021): exploit zero-click en iMessage/Apple Image I/O. Enviaba un PDF disfrazado de GIF que explotaba una vulnerabilidad en el parser de imágenes. La víctima ni siquiera veía el mensaje.
  • Exploits de WhatsApp (2019): llamada perdida de WhatsApp que infectaba sin contestar. WhatsApp demandó a NSO por esto.
  • iMessage exploits (múltiples): cadena de vulnerabilidades en el procesamiento de mensajes de iMessage.

Precio

Según filtraciones: ~25,000 USD por objetivo. Licencias anuales de millones de dólares por gobierno cliente.

Los clientes

NSO vende a gobiernos. Entre los clientes documentados:

  • Arabia Saudita (caso Khashoggi)
  • Emiratos Árabes Unidos
  • México (espionaje a periodistas y activistas)
  • Marruecos (espionaje a periodistas franceses)
  • India
  • Hungría (espionaje a periodistas y opositores)
  • España (caso Cataluña: políticos independentistas espiados)
  • Polonia (espionaje a opositores)

El caso español

En abril de 2022, Citizen Lab reveló que al menos 65 personas vinculadas al movimiento independentista catalán fueron infectadas con Pegasus entre 2017 y 2020. Esto desencadenó el "CatalanGate" y una crisis política. El gobierno español reconoció que el CNI había espiado a algunos de los afectados con autorización judicial, pero negó responsabilidad por todos los casos.

Respuesta de la industria

Apple

  • Parcheó FORCEDENTRY en iOS 14.8 (septiembre 2021)
  • Introdujo Lockdown Mode en iOS 16 (2022): modo extremo que desactiva funcionalidades que los exploits atacan
  • Demandó a NSO Group (noviembre 2021)
  • Notifica a usuarios que cree infectados

Google

  • Project Zero analizó FORCEDENTRY y lo describió como "uno de los exploits más sofisticados técnicamente que hemos visto"
  • Parches de seguridad mensuales para Android

WhatsApp/Meta

  • Demandó a NSO Group en 2019 por el exploit de llamada perdida
  • Caso en curso en tribunales de EEUU

EEUU

  • NSO Group añadida a la Entity List del Departamento de Comercio (noviembre 2021): prohíbe a empresas americanas hacer negocios con NSO
  • Executive Order limitando el uso de spyware comercial por agencias federales (2023)

Las lecciones

1. El cifrado end-to-end no protege contra Pegasus

Pegasus no rompe el cifrado: accede al dispositivo. Lee los mensajes después de que se descifran para mostrarse en pantalla. El cifrado protege el tránsito, no el endpoint.

2. Zero-click cambia el modelo de amenaza

Con phishing, puedes entrenar a los usuarios para no hacer clic. Con zero-click, no hay nada que la víctima pueda hacer. La defensa depende exclusivamente de que Apple/Google parcheen las vulnerabilidades antes de que NSO las explote.

3. El mercado de spyware comercial es un problema global

NSO no es la única empresa. Candiru (Israel), Cytrox/Predator (Macedonia del Norte/Grecia), QuaDream (Israel), Intellexa (alianza europea). El mercado de spyware comercial mueve miles de millones y opera en un vacío regulatorio.

4. La tecnología de vigilancia se abusa inevitablemente

NSO argumenta que Pegasus se usa contra terroristas y criminales. La evidencia demuestra que se usa mayoritariamente contra periodistas, activistas y opositores políticos. La herramienta "para los buenos" siempre termina usándose contra los incómodos.

Estado actual

NSO Group: problemas financieros, demandas de Apple y WhatsApp en curso, en Entity List de EEUU. Pegasus: sigue activo y vendiéndose a gobiernos. Apple: Lockdown Mode como mitigación. El mercado de spyware comercial: creciendo a pesar de la controversia.

Preguntas frecuentes

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.