- Pegasus es un spyware estatal muy sofisticado, difícil de detectar y más aún de confirmar por un usuario común.
- Restablecer de fábrica suele ser insuficiente; flashear el sistema reduce el riesgo pero no garantiza limpieza total.
- La detección fiable requiere análisis forense especializado y, si se confirma, lo prudente es dar el dispositivo por comprometido.
- Lo más efectivo es combinar buenas prácticas de seguridad, segmentar dispositivos y asumir un enfoque estratégico de protección.
La sola mención de Pegasus pone los pelos de punta a cualquiera que se preocupe mínimamente por su privacidad digital. No estamos hablando de un virus cualquiera, sino de un software espía industrializado, caro y reservado a gobiernos y agencias estatales que puede colarse en un móvil sin que el usuario toque nada. De ahí que muchas personas, al notar comportamientos extraños en su smartphone, se pregunten con angustia: ¿y si tengo Pegasus instalado?, ¿hay alguna manera real de eliminarlo al cien por cien.
En los últimos años han salido a la luz numerosos casos de periodistas, activistas y ciudadanos que sospechan haber sido vigilados con este spyware. En foros especializados se leen historias de usuarios cuyos teléfonos siguen comportándose de forma rara incluso después de restaurar a valores de fábrica, que ven cómo ciertas aplicaciones se cierran y abren solas, o que sospechan de la relación entre las políticas de su gobierno y la posible infección. Todo esto genera una duda muy concreta: ¿es posible erradicar por completo Pegasus de un dispositivo comprometido y qué margen real de maniobra tenemos los usuarios de a pie.
Qué es Pegasus y por qué es tan difícil de eliminar
La gran diferencia con otros troyanos es la sofisticación de los vectores de ataque. Pegasus ha aprovechado durante años vulnerabilidades de tipo zero-click (ni siquiera hace falta que abras un mensaje) en servicios como iMessage, WhatsApp o incluso el propio sistema de llamadas. Basta con que el atacante envíe un paquete malicioso bien diseñado y el dispositivo queda comprometido sin interacción del usuario.
Una vez se cuela en el sistema, Pegasus tiene capacidades casi totales: puede acceder a mensajes, llamadas, micrófono, cámara, ubicación, historial de navegación y a buena parte de los datos almacenados en el dispositivo, incluso en apps cifradas. Además, está pensado para ser discreto, adaptarse al sistema y resistir medidas defensivas básicas.
Todo esto explica por qué no estamos ante un virus típico que se limpia pasando un antivirus rápido o reinstalando un par de aplicaciones. Su diseño apunta a mantenerse oculto el máximo tiempo posible y, en algunos casos, a sobrevivir incluso a restauraciones parciales del sistema.
Indicadores sospechosos y casos reales de usuarios
Aunque ningún síntoma superficial garantiza que un móvil tenga Pegasus, muchos usuarios empiezan a sospechar cuando el dispositivo se comporta de manera muy rara y, sobre todo, cuando estos comportamientos persisten incluso tras un restablecimiento de fábrica. En espacios de debate técnico se ven casos de personas que han probado casi de todo sin lograr sentir que han eliminado la amenaza.
Un ejemplo frecuente es el de usuarios que notan actualizaciones automáticas extrañas desde la tienda oficial (como Google Play Store) que no encajan con lo habitual. Hay quien cuenta que se le descargaban de forma automática supuestas “funciones” adicionales de apps populares como TikTok u otras, sin pedir permiso y sin haber visto nunca antes ese tipo de comportamiento en su móvil.
Ante estas situaciones, algunos intentan cortar por lo sano bloqueando la conexión de la tienda de apps con un firewall de código abierto y recurriendo a alternativas como Aurora Store para descargar e instalar aplicaciones, pensando que así evitan el presunto vector de entrada. Aunque pueda ser una medida prudente para reducir superficie de ataque, no es en sí misma una solución mágica contra Pegasus.
Otro patrón que genera mucha alarma es que el teléfono sigue raro incluso tras restaurar a configuración de fábrica. A nivel intuitivo, la mayoría piensa que “cualquier virus” se borraría con un reseteo completo, así que si el problema continúa, concluyen que debe ser algo extremadamente persistente, como Pegasus, capaz de sobrevivir al formateo.
También hay usuarios que describen pruebas con aplicaciones concretas: por ejemplo, en WhatsApp, con la confirmación de lectura desactivada, envían imágenes entre sus propios números y observan que en el móvil emisor los ticks aparecen en azul, como si la confirmación estuviese activa, mientras que en entornos de prueba controlados (WhatsApp Web o en otros teléfonos) los ticks se mantienen en el color normal de mensaje no leído. O casos donde una app financiera como Binance se cierra y se abre sola, dando la sensación de que se ha “relogueado” sin motivo aparente.
En algunos testimonios, además, se suma el contexto personal: personas que han trabajado para instituciones del Estado, que han recibido comentarios velados de ex compañeros asegurando que pueden leer sus mensajes, o que viven en países donde se ha denunciado públicamente el uso de Pegasus contra críticos del gobierno. Todo esto alimenta la sospecha (muchas veces razonable) de que estén siendo objetivo de vigilancia.
Por qué es tan difícil confirmar que es Pegasus
Antes de hablar de eliminación, hay que insistir en algo clave: es extremadamente complicado, para un usuario normal, confirmar que un móvil está infectado con Pegasus. La mayor parte de las veces se trata de una sospecha basada en síntomas indirectos, pero sin evidencias técnicas sólidas.
Los expertos en ciberseguridad que investigan Pegasus (como Citizen Lab, Amnistía Internacional y laboratorios académicos) utilizan herramientas específicas y análisis forenses profundos. En iPhone suelen analizar copias de seguridad cifradas, registros de sistema, restos de conexiones a servidores de control y patrones de explotación conocidos. En Android, donde los registros se conservan de forma distinta, el análisis puede requerir acceso físico al dispositivo y extracción de datos a bajo nivel.
En entornos más domésticos, muchas herramientas comerciales de antivirus o antimalware no son capaces de detectar Pegasus, sencillamente porque no está diseñado como un malware masivo y cambia constantemente su forma de operar. Es un arma “a medida” adaptada a vulnerabilidades concretas y, por tanto, no suele estar en las bases de firmas habituales.
Además, gran parte de los comportamientos raros que se asocian intuitivamente a Pegasus pueden tener otras explicaciones: bugs de las apps, errores de sincronización, configuraciones mal aplicadas, procesos en segundo plano, capas de personalización agresivas del fabricante, o incluso problemas de la propia cuenta de Google o Apple.
La consecuencia es que, sin un análisis forense realizado por especialistas, hablar de Pegasus suele ser una hipótesis, a veces muy seria, pero no una confirmación. Esto no significa que debas ignorar los indicadores, pero sí conviene ser prudente antes de dar por hecho que tu móvil alberga ese spyware en concreto.
Restaurar de fábrica, flashear Android y reinstalar el sistema
Una de las primeras reacciones lógicas ante la sospecha de infección es restaurar el dispositivo a ajustes de fábrica. En el caso de Pegasus, sin embargo, los informes técnicos y las experiencias recopiladas indican que esto puede no ser suficiente, sobre todo si el malware ha logrado persistir a un nivel más profundo en el sistema.
Algunos usuarios reportan que, tras un reset de fábrica, el teléfono sigue comportándose de forma anómala, lo que les lleva a buscar soluciones más drásticas como eliminar completamente Android e instalarlo desde cero. En modelos concretos, como ciertos Samsung (por ejemplo, un A05s u otros de gama similar), se plantean flashear el firmware oficial usando herramientas del fabricante o software especializado.
Flashear la ROM original del dispositivo suele implicar descargar la imagen de sistema desde una fuente confiable (como la propia web de soporte del fabricante), entrar en modo de recuperación o modo descarga y usar un programa en el ordenador para sobrescribir el sistema operativo. Esto, bien hecho, reemplaza por completo la partición de sistema, y en teoría debería borrar cualquier componente malicioso que resida ahí.
El problema es que en el caso de spyware tan avanzado no hay una garantía del 100%. Algunos ataques podrían aprovechar vulnerabilidades del firmware, del bootloader o incluso de componentes de bajo nivel, lo que complicaría asegurar que el proceso de flasheo cubre todas las capas donde el malware puede esconderse.
Además, flashear un móvil no es trivial para muchas personas: implica riesgo de brickear el dispositivo si se hace mal, puede anular garantías y, en algunos países, choca con limitaciones impuestas por el operador o por el propio fabricante. Aun así, como medida de mitigación avanzada, reinstalar completamente el sistema con una imagen oficial suele ser mucho más eficaz que un simple restablecimiento de fábrica desde los ajustes del móvil.
Herramientas forenses y servicios profesionales contra Pegasus
Para afrontar seriamente un posible caso de infección por Pegasus, lo más recomendable es recurrir a servicios profesionales de ciberseguridad con experiencia en análisis forense de dispositivos móviles. No estamos hablando de un “limpiador” cualquiera, sino de equipos que saben qué rastros buscar y cómo extraerlos sin destruir la evidencia.
Organizaciones como Citizen Lab o Amnistía han desarrollado herramientas específicas, como el Mobile Verification Toolkit (MVT), para analizar copias de seguridad de iOS y, en menor medida, de Android. Estas herramientas buscan indicios conocidos de explotación, restos de conexiones a dominios asociados a los servidores de Pegasus y patrones compatibles con este spyware.
En el ámbito corporativo y gubernamental, existen también empresas de ciberseguridad especializadas que ofrecen auditorías completas del parque móvil de una organización. Analizan logs, tráfico de red, integridad de firmware y aplicaciones, y pueden llegar a conclusiones razonablemente sólidas sobre la presencia o ausencia de Pegasus u otros programas similares.
Hay que tener en cuenta que, incluso con estas herramientas, a veces el resultado es un “no se ha encontrado evidencia”, lo cual no equivale al cien por cien de certeza de que el dispositivo está limpio. Simplemente significa que, con los indicadores conocidos hasta el momento, no se han detectado rastros.
En escenarios donde se confirma la infección, la recomendación de muchos expertos es tratar el dispositivo como comprometido de forma irrecuperable. Es decir, se asume que no se puede confiar de nuevo en ese teléfono para comunicaciones sensibles, y se procede a aislarlo, extraer la información necesaria para la investigación y, en no pocas ocasiones, retirarlo definitivamente del uso diario.
¿Puede un antivirus normal eliminar Pegasus
La realidad es que, a día de hoy, la mayoría de soluciones antivirus comerciales para móviles no están preparadas para detectar y erradicar Pegasus de forma fiable. No porque sean “malos productos”, sino porque se enfrentan a un adversario con recursos de nivel estatal, que cambia constantemente su forma de actuar y que no está pensado para distribuirse en masa.
Los antivirus móviles funcionan bien contra aplicaciones maliciosas conocidas, malware bancario común, adware agresivo y amenazas que se basan en patrones repetidos. Pero Pegasus, al ser una herramienta de espionaje selectiva, se esconde a menudo en procesos y componentes del sistema que no pueden ser fácilmente marcados como sospechosos sin generar falsos positivos graves.
Como capa adicional de protección general, puede tener sentido usar una solución de seguridad reputada, sobre todo para reducir la exposición a otro tipo de malware que pueda aprovecharse de vulnerabilidades del sistema. Sin embargo, ningún producto mainstream puede garantizarte que, si Pegasus está presente, vaya a detectarlo y borrarlo de raíz.
Esta limitación es clave para entender por qué la respuesta a “¿puedo limpiar Pegasus con una app de la tienda?” es, en la práctica, negativa. Si de verdad hay un riesgo de spyware de este calibre, la vía pasa por análisis forense especializado y estrategias de mitigación que van mucho más allá de instalar una app de seguridad.
Medidas prácticas para reducir el riesgo y mitigar el daño
Aunque no exista un botón mágico para desinfectar Pegasus, sí se pueden tomar una serie de medidas para reducir la probabilidad de infección y, en caso de sospecha, limitar el impacto sobre tu vida digital. Algunas son de sentido común, pero cobran especial importancia en contextos de alta amenaza (periodistas, activistas, opositores políticos, etc.).
Lo primero es mantener el dispositivo y todas las aplicaciones siempre actualizadas. Muchas de las campañas de Pegasus explotaban vulnerabilidades que, una vez hechas públicas, fueron parcheadas por Apple, Google o los fabricantes. Cuanto más tiempo pases sin actualizar, mayor la ventana de oportunidad para que se aprovechen de fallos ya conocidos.
En segundo lugar, es clave limitar la superficie de ataque: desactivar servicios que no necesites, revisar a fondo los permisos de las aplicaciones, evitar instalar apps desde repositorios dudosos y, cuando sea posible, prescindir de complementos o funcionalidades innecesarias que puedan introducir fallos de seguridad adicionales.
En algunos casos, hay usuarios que optan por soluciones como usar un segundo dispositivo mucho más controlado para comunicaciones sensibles, dejar el móvil principal para tareas menos críticas y separar los contextos (entorno laboral, entorno personal, comunicaciones privadas delicadas, etc.). Es una manera de segmentar riesgos: si uno cae, no se lleva por delante todo tu universo digital.
Otra estrategia, para perfiles con amenaza alta, es el uso de teléfonos con sistemas reforzados como GrapheneOS en algunos modelos de Google Pixel. Estos sistemas priorizan la seguridad y la privacidad, ofrecen controles más estrictos de permisos, aislamientos adicionales y una superficie de ataque algo más reducida que muchas capas Android de fabricante. No son infalibles, pero elevan el listón para el atacante.
Por último, si sospechas seriamente que puedes ser objetivo de vigilancia estatal, conviene cambiar hábitos: no reutilizar el mismo número para todo, revisar qué información compartes por cada canal, usar cifrado extremo a extremo siempre que puedas y asumir que, si el dispositivo está comprometido, el problema no se arregla solo cambiando de app de mensajería.
¿Es viable erradicar Pegasus por completo
Llegados a este punto, la gran pregunta es si realmente se puede eliminar Pegasus de un dispositivo infectado. Desde un punto de vista estrictamente técnico, en algunos casos podría ser posible limpiar el sistema mediante una reinstalación completa de firmware, cambio de particiones y verificación exhaustiva. Pero en la práctica, para un usuario normal, garantizarlo al cien por cien es casi imposible.
Los expertos suelen ser muy claros cuando confirman una infección: consideran el dispositivo comprometido de manera permanente y recomiendan dejar de usarlo para cualquier actividad sensible. Pueden intentar extraer evidencias, analizar qué ha ocurrido y hasta experimentar con reflasheos, pero la postura conservadora es no volver a confiar en ese terminal para la vida diaria crítica.
Si hablamos de viabilidad en términos de “¿puedo quedarme tranquilo usando este móvil tras un par de formateos?”, la respuesta honesta es que no hay certezas absolutas. Restaurar de fábrica reduce el riesgo si la supuesta intrusión era de otro tipo de malware menos sofisticado; flashear el sistema desde cero lo reduce aún más. Pero contra un adversario de nivel estatal, se asume que puede haber vías de persistencia que escapan a esas medidas.
Por eso, en escenarios donde hay indicios serios (perfil de riesgo alto, confirmación de que el gobierno usa Pegasus, comportamientos muy sospechosos, etc.), la recomendación realista es combinar varias acciones: aislar el dispositivo sospechoso, consultar con especialistas, evaluar si merece la pena adquirir un terminal nuevo y replantearse toda la estrategia de seguridad personal.
En cambio, si eres un usuario estándar con algunas sospechas basadas más en sensación que en evidencias, lo más práctico puede ser reforzar tu modelo de seguridad general: actualizar, limitar permisos, usar apps oficiales y, si te quedas intranquilo, considerar un cambio de dispositivo y una reinstalación limpia, sabiendo que, en la inmensa mayoría de casos, eso será más que suficiente para amenazas no estatales.
En definitiva, la posibilidad de borrar Pegasus de un móvil no es tan blanca o negra como “sí” o “no”: depende del nivel de acceso que haya logrado el atacante, de cuánto estés dispuesto a invertir en análisis forense y de cuán sensible sea tu actividad. Lo que sí está claro es que, si tu perfil entra en el tipo de objetivo al que se suele dirigir este spyware, conviene dejar de pensar solo en “eliminar un virus” y empezar a plantear tu seguridad digital como una estrategia completa, en la que el dispositivo es solo una pieza más del puzle.
