Spyware Pegasus: qué es, cómo funciona y cómo detectarlo

iPhone World » General » Spyware Pegasus: qué es, cómo funciona y cómo detectarlo

Pegasus se ha convertido en el sinónimo de ciberespionaje silencioso en móviles de alto perfil: políticos, periodistas, activistas, empresarios… El nombre aparece una y otra vez en titulares, pero todavía hay muchas dudas reales sobre qué hace exactamente este spyware, cómo entra en un teléfono y, sobre todo, qué se puede hacer para detectarlo y minimizar el riesgo de estar en su punto de mira.

Aunque a la inmensa mayoría de usuarios nunca les van a espiar con Pegasus, el caso ha servido para poner patas arriba nuestra idea de privacidad móvil: demuestra que un teléfono aparentemente normal puede estar transmitiendo conversaciones, ubicaciones y documentos sin que notemos absolutamente nada raro. En las próximas líneas vas a encontrar una guía completa, en lenguaje llano, que reúne las técnicas y herramientas que manejan investigadores, ONG y empresas de ciberseguridad para identificar y dificultar este tipo de ataques.

Qué es Pegasus y por qué es tan peligroso

Pegasus es un spyware móvil de uso gubernamental desarrollado por la empresa israelí NSO Group, que se vende como una “solución de inteligencia” para luchar contra el terrorismo y el crimen organizado. En la práctica, múltiples investigaciones periodísticas y técnicas han demostrado que también se ha empleado para vigilar a opositores políticos, defensores de derechos humanos, periodistas y, en algunos casos, incluso a jefes de Estado.

A diferencia de muchos troyanos o virus para móviles que requieren que el usuario haga algo (instalar una app rara, abrir un archivo adjunto, pulsar en un enlace sospechoso…), Pegasus destaca por sus ataques de clic cero: vulnerabilidades tan sofisticadas que permiten infectar el teléfono sin que el dueño toque nada. Un simple mensaje que nunca ves, una notificación push, una llamada de WhatsApp que ni siquiera contestas… pueden bastar para que el software se instale en segundo plano.

Una vez dentro, Pegasus convierte el móvil en una auténtica herramienta de vigilancia. Puede leer SMS, correos electrónicos, chats de mensajería (incluidos servicios cifrados como Signal o Telegram), acceder a fotos y vídeos, al calendario, al historial de navegación, a las contraseñas que introduces y a tu ubicación en tiempo real. Además, es capaz de activar el micrófono y las cámaras sin que se encienda ninguna luz ni aparezca ningún aviso visible.

Todo lo que captura Pegasus se guarda en un área oculta y cifrada dentro del propio teléfono, de forma que apenas consume espacio ni batería y pasa desapercibido. Cuando hay cobertura y condiciones adecuadas, esa información se envía a los servidores de mando y control utilizados por el cliente del spyware, donde se analiza y explota para objetivos políticos, de inteligencia o criminales.

El precio de este tipo de capacidades explica por qué Pegasus no es un malware “de consumo”: distintas filtraciones han situado el coste de entrada en cientos de miles de dólares, con tarifas que se calculan por número de objetivos (por ejemplo, paquetes para espiar a decenas de teléfonos iPhone o Android) y con un mantenimiento anual que ronda en torno al 17% del valor del contrato. Hablamos de una herramienta reservada a operaciones de alto nivel, no para cotillear al vecino.

Cómo infecta Pegasus móviles iOS y Android

El corazón del éxito de Pegasus está en su forma de entrar al dispositivo, aprovechando vulnerabilidades llamadas de día cero: fallos de seguridad que ni Apple, ni Google, ni los fabricantes de antivirus conocen todavía, y que por tanto no están parcheados.

En sus primeras campañas se vieron ataques más clásicos de phishing: SMS o correos muy bien elaborados, enviados a la víctima con enlaces que llevaban a páginas maliciosas. Al pulsar en ese enlace, se descargaba e instalaba el spyware aprovechando una cadena de exploits, normalmente ligada al navegador o a alguna app popular.

Con el tiempo, Pegasus evolucionó a ataques sin clic mucho más inquietantes. En estos escenarios, basta con recibir un mensaje o una llamada para disparar la explotación, sin que el usuario tenga que interactuar. Ejemplos conocidos son:

• Mensajes a través de iMessage o FaceTime que no se llegan a ver en pantalla, pero que activan vulnerabilidades en el sistema de Apple.
• Llamadas de WhatsApp no contestadas, que explotaban un fallo en el manejo de paquetes de la app de mensajería.
• Notificaciones push manipuladas que se aprovechan del propio sistema de notificaciones del dispositivo para introducir código malicioso.

También se ha documentado el uso de inyecciones de red, donde el atacante controla parte de la infraestructura de red (por ejemplo, a través de un proveedor comprometido o un equipo de interceptación) y modifica el tráfico que pasa por ella, insertando paquetes que activan fallos en el navegador o en procesos internos del sistema.

Otra vía, más “tradicional” pero igualmente peligrosa, es la instalación física: si alguien tiene acceso directo a tu teléfono durante unos minutos, puede conectarlo a un equipo preparado y cargar el agente de Pegasus de forma local. En contextos como controles de seguridad, incautaciones temporales de dispositivos o registros, este método es perfectamente viable.

Una vez que la infección tiene éxito, el spyware se integra a bajo nivel con el sistema operativo, monitoriza aplicaciones de mensajería (WhatsApp, Telegram, Signal, Gmail, Viber, Facebook, etc.), registra pulsaciones de teclado, geolocalización y prácticamente cualquier dato que pasa por el móvil, enviándolo después a sus servidores sin levantar sospechas.

Casos y polémicas más sonadas en torno a Pegasus

Desde que salió a la luz en 2016, Pegasus se ha visto envuelto en una cadena casi ininterrumpida de escándalos a nivel mundial. Todo empezó cuando un activista de derechos humanos detectó un intento extraño de jailbreak en su iPhone y, tras analizarlo con expertos, se descubrió que estaba siendo objetivo de un spyware extremadamente sofisticado: había nacido públicamente el caso Pegasus.

A partir de ahí, surgieron más investigaciones en países como México, India o Hungría. En México, por ejemplo, se reportaron decenas de intentos de infección a periodistas y activistas, y se han ligado campañas de espionaje a investigaciones sobre corrupción o abusos del ejército. En otros estados se ha señalado el uso del spyware contra diplomáticos, opositores y defensores de derechos humanos.

Uno de los hitos más relevantes fue el llamado Proyecto Pegasus, una colaboración internacional de medios y organizaciones que sacó a la luz una lista de unos 50.000 números de teléfono potencialmente seleccionados como objetivos o personas de interés. Entre ellos se situaban periodistas, activistas, miembros de gobiernos y ejecutivos de alto nivel de numerosos países.

Europa tampoco se ha librado. En España, Pegasus saltó a la agenda política tras revelarse el espionaje a dirigentes independentistas y el uso del software contra el propio presidente del Gobierno y la ministra de Defensa. En Francia, informes periodísticos han apuntado a que hasta el presidente Emmanuel Macron pudo figurar entre los teléfonos vigilados.

Casos de perfil altísimo, como el hackeo del móvil de Jeff Bezos, han incrementado aún más la preocupación. En ese episodio, un archivo de vídeo enviado desde la cuenta de WhatsApp del príncipe heredero saudí habría servido como vehículo para infectar el dispositivo del fundador de Amazon, en un contexto marcado por el asesinato del periodista Jamal Khashoggi.

Las consecuencias legales tampoco han tardado. WhatsApp demandó a NSO Group por explotar una vulnerabilidad de su plataforma para atacar a cientos de usuarios, y Apple también llevó a la empresa ante los tribunales por atacar a usuarios de iPhone. En Estados Unidos, NSO fue incluida en la Entity List, una lista de compañías consideradas dañinas para la seguridad nacional, y se han impuesto restricciones a su actividad internacional.

Ante la presión, NSO Group asegura que ha endurecido sus criterios de venta y que limita las licencias a países alineados con la OTAN y supuestamente respetuosos con el Estado de derecho. Aun así, las filtraciones y nuevos casos de espionaje siguen apareciendo, y el debate sobre cómo controlar la exportación de estas ciberarmas comerciales está más vivo que nunca.

Herramientas para detectar Pegasus: MVT, Kaspersky e iVerify

Detectar Pegasus no tiene nada que ver con pasar un antivirus típico en el móvil. Este tipo de malware está diseñado precisamente para esconderse de las soluciones de seguridad comerciales, aprovechando fallos completamente desconocidos y manipulando registros y bases de datos del sistema para borrar sus huellas.

La herramienta de referencia para comprobar indicios de Pegasus es el Mobile Verification Toolkit (MVT), un conjunto de utilidades de código abierto desarrollado por Amnistía Internacional junto con investigadores especializados. No es una app para el móvil, sino un kit forense que se ejecuta en un ordenador (Linux o macOS principalmente, y también Windows a través del Subsistema Linux) y analiza copias de seguridad y registros de dispositivos iOS y Android.

En iPhone, MVT puede trabajar con copias de seguridad de iTunes o Finder e incluso con volcados completos del sistema de archivos si se realiza un jailbreak controlado. A partir de esos datos, revisa bases de datos internas, historiales de mensajes, logs y otros artefactos en busca de indicadores de compromiso (IoC) asociados a Pegasus u otros spyware avanzados, empleando formatos estándar como STIX2 para describirlos.

En Android, MVT extrae información sobre aplicaciones instaladas, SMS, procesos activos y ciertos registros de diagnóstico. El problema es que este sistema operativo guarda muchos menos datos forenses de manera centralizada, por lo que el análisis es menos rico que en iOS y localizar rastros de Pegasus resulta más difícil. Aun así, MVT puede servir como primer filtro para identificar signos sospechosos.

Usar MVT exige soltura con la línea de comandos y cierta base técnica: hay que instalar dependencias, preparar la copia de seguridad, lanzar los análisis y, sobre todo, interpretar los resultados. Además, no está pensado para que cualquiera lo use sobre el móvil de otra persona sin permiso: sus creadores subrayan que solo debe aplicarse con consentimiento explícito del propietario del dispositivo.

Otra línea de defensa muy interesante viene del trabajo de Kaspersky sobre los registros Shutdown.log de iOS. Sus analistas detectaron que muchas infecciones con Pegasus, Reign y Predator dejaban patrones anómalos en el archivo de log que registra los reinicios del dispositivo, almacenado dentro de los paquetes sysdiagnose de Apple.

A partir de esas observaciones, Kaspersky publicó scripts en Python que permiten extraer y analizar automáticamente Shutdown.log en busca de comportamientos asociados a infecciones. Estos scripts están disponibles en GitHub y se pueden ejecutar en Windows, macOS o Linux, siempre que se disponga de un volcado sysdiagnose del iPhone que se quiere examinar.

Además de estas herramientas más técnicas, han surgido soluciones comerciales como iVerify, orientadas a usuarios individuales y empresas. iVerify es una app de seguridad para iOS con interfaz gráfica, disponible en la App Store mediante pago único para usuarios particulares o suscripción en entornos corporativos, que realiza chequeos periódicos en busca de señales de jailbreak, archivos sospechosos y configuraciones de riesgo, incluyendo detecciones relacionadas con spyware avanzado.

Aunque ninguna de estas soluciones puede garantizar el 100% de efectividad contra Pegasus, combinan la experiencia de investigadores independientes y empresas de seguridad para ofrecer la mejor fotografía posible del estado de un dispositivo. En escenarios de alto riesgo, eso sí, los expertos recomiendan acudir a profesionales en análisis forense digital para interpretar correctamente los hallazgos y decidir qué pasos seguir.

Cómo comprobar si tu móvil puede estar infectado con Pegasus

Si eres una persona anónima que no se dedica a la política, el activismo o el periodismo de investigación, la probabilidad de que seas objetivo de Pegasus es bajísima. Aun así, si formas parte del entorno cercano de alguien muy expuesto —familia, equipo de trabajo, asesores, etc.— o simplemente quieres salir de dudas, sí hay formas razonables de investigar.

La vía principal pasa por generar una copia de seguridad de tu teléfono y analizarla con MVT. En iOS, se suele crear un backup cifrado con iTunes o Finder y luego importarlo en el toolkit; en Android, se combina la extracción de información mediante ADB (Android Debug Bridge) con el análisis de registros y datos de usuario. El propio repositorio de MVT en GitHub ofrece documentación paso a paso, aunque está orientada a usuarios con cierta experiencia técnica.

En el caso específico del iPhone, la metodología propuesta por Kaspersky con los sysdiagnose aporta una capa adicional: puedes generar un paquete sysdiagnose en el dispositivo, extraerlo al ordenador y pasar los scripts que revisan Shutdown.log en busca de comportamientos asociados a Pegasus, Reign o Predator. Es un análisis relativamente poco intrusivo que solo se fija en los registros de reinicio.

Conviene entender que Pegasus está diseñado para que no aparezcan los síntomas típicos de un teléfono infectado. No esperes pantallas raras, ventanas emergentes o un drenaje brutal de batería. De hecho, consume muy pocos recursos, deja de enviar datos cuando el nivel de carga está muy bajo y trata de camuflarse para que el usuario no note nada extraño.

Eso no quita que, en ocasiones, puedan aparecer pistas indirectas: reinicios extraños, bloqueos puntuales, llamadas o notificaciones inesperadas, sobrecalentamiento fuera de lo normal, suscripciones a servicios que no recuerdas haber configurado… Ninguna de estas señales prueba por sí sola una infección de Pegasus, pero sí puede justificar un análisis forense más profundo si formas parte de un colectivo especialmente vulnerable.

Si los análisis de MVT o de las herramientas de Kaspersky muestran indicios de alta probabilidad de infección, la recomendación habitual de los expertos es no seguir usando el dispositivo para comunicaciones sensibles, conservarlo como posible prueba (sobre todo si hay implicaciones legales) y sustituirlo por un terminal nuevo, configurado desde cero y con especial cuidado en las medidas de seguridad.

Cómo proteger tu móvil frente a Pegasus y otros spyware avanzados

Aunque evitar por completo a un atacante con recursos casi ilimitados es complicado, sí hay una serie de buenas prácticas que suben bastante el listón y complican la vida incluso a quienes manejan herramientas del nivel de Pegasus.

La primera medida, básica pero crítica, es mantener siempre el sistema operativo y las apps actualizadas. Apple y Google publican parches periódicos para cerrar vulnerabilidades de día cero en cuanto los investigadores las descubren, y muchos exploits de Pegasus y similares dejan de ser efectivos una vez se instala la última versión. Esto vale tanto para iOS como para Android, aunque en Android hay que vigilar más, porque algunos móviles baratos o antiguos dejan de recibir actualizaciones de seguridad.

Otra recomendación muy repetida es reiniciar el teléfono con frecuencia, idealmente a diario. Investigaciones de Amnistía Internacional, Citizen Lab y otros grupos sugieren que ciertas variantes de Pegasus no sobreviven a un reinicio del sistema; eso obliga al atacante a volver a infectar el móvil una y otra vez, multiplicando las ocasiones de que los intentos queden registrados y puedan ser detectados en análisis posteriores.

En el ecosistema Apple, el llamado modo de aislamiento o Lockdown Mode incorporado a partir de iOS 16 está pensado específicamente para reducir la superficie de ataque frente a spyware patrocinado por estados. Este modo limita drásticamente ciertas funciones: bloquea adjuntos complejos, restringe enlaces, reduce lo que pueden hacer algunas apps y endurece la gestión de contenido web. Es muy incómodo para el día a día, pero puede ser una opción razonable para periodistas, activistas o políticos en situaciones de alto riesgo.

Algunas recomendaciones van un paso más allá y aconsejan desactivar por completo iMessage y FaceTime, que vienen activos de serie en iPhone y han sido vectores de entrada habituales para exploits de clic cero. Deshabilitarlos reduce una de las vías de ataque más jugosas, aunque sacrifica comodidad y ciertas funciones del ecosistema Apple.

En cuanto a hábitos de uso, sigue valiendo el viejo consejo de desconfiar de cualquier enlace sospechoso, ya llegue por SMS, por correo electrónico, por mensajería instantánea o por redes sociales. El phishing y el smishing selectivo (spear phishing) siguen siendo herramientas básicas en la fase de infección de muchas campañas, incluso cuando también se manejan ataques sin clic.

Tampoco está de más revisar los permisos que has ido concediendo a tus apps. Cuantos menos permisos excesivos tengan (acceso a micrófono, cámara, ubicación, contactos, almacenamiento completo…), menos se puede aprovechar un malware que infecte alguna de ellas o que se enganche a su funcionamiento. Usar chats con mensajes temporales y no almacenar datos muy sensibles en el móvil también limita el alcance del daño.

En paralelo a estas medidas específicas contra Pegasus, conviene recordar que hay mucho otro spyware “más mundano” al acecho. Tener instalado un buen antivirus o suite de seguridad en Android (y, en menor medida, en iOS) puede ayudar a detectar troyanos, keyloggers y aplicaciones espía comerciales que sí están al alcance de cualquiera, incluso aunque no sirvan para atrapar a un Pegasus bien implantado.

Otros programas de espionaje similares a Pegasus

Pegasus no es el único actor relevante en el mercado de las ciberarmas para móviles. Existen otras plataformas de vigilancia tan preocupantes como esta, aunque tal vez menos conocidas para el gran público, que también se dirigen a gobiernos y cuerpos de seguridad.

FinFisher, también llamado FinSpy, es un ejemplo clásico. Desarrollado originalmente en Alemania, se presenta como una solución de ciberinvestigación para fuerzas policiales y agencias de inteligencia. Puede infectar sistemas Windows, macOS, Linux, iOS y Android, instalarse tanto de forma local como remota y recopilar datos de mensajería instantánea, incluidas aplicaciones consideradas muy seguras como Signal, Telegram o Threema, además de grabar llamadas VoIP en servicios como Skype, WhatsApp o Viber.

Candiru es otra pieza clave en este ecosistema. Operada por una compañía de origen israelí (actualmente registrada como Saito Tech Ltd.), vende capacidades de vigilancia a estados y regímenes autoritarios con una enorme discreción sobre su infraestructura. Las filtraciones apuntan a que puede acceder a contactos, SMS, historial de navegación, contenidos en la nube (Dropbox, Google Drive, etc.), interceptar comunicaciones, registrar el entorno con el micrófono y manipular redes Wi-Fi.

Por su parte, el conglomerado Intellexa se promociona como una “alianza” de empresas de ciberinteligencia, una especie de ventanilla única para servicios de vigilancia ofensiva: desde recogida de datos en dispositivos y servicios cloud hasta soluciones de interceptación Wi-Fi y análisis masivo de información. Su objetivo declarado son los cuerpos de seguridad y servicios de inteligencia que buscan una gama completa de herramientas de espionaje.

Aunque cada una de estas plataformas tiene sus particularidades técnicas, a grandes rasgos comparten la misma filosofía que Pegasus: aprovechar vulnerabilidades avanzadas, operar con el máximo sigilo posible, dirigirse casi siempre a objetivos de alto valor y distribuirse bajo acuerdos opacos entre empresas privadas y estados, lejos de los controles de transparencia que se exigen a otras tecnologías.

Por todo ello, las principales organizaciones de derechos humanos y muchos expertos en ciberseguridad piden imponer moratorias o regulaciones estrictas a la exportación y uso de estos productos, igual que se hace con otras armas o tecnologías de doble uso, para evitar que terminen apuntando hacia la ciudadanía en lugar de hacia criminales y terroristas.

La realidad hoy por hoy es que vivimos en un entorno en el que “todos espían a todos” en mayor o menor medida, y donde herramientas como Pegasus se convierten en piezas clave de juegos geopolíticos y conflictos internos, muchas veces al margen de la supervisión judicial y parlamentaria que cabría esperar en un Estado de derecho.

Ser conscientes de la existencia y funcionamiento de estos sistemas de vigilancia, aplicar buenas prácticas de seguridad digital y recurrir a herramientas forenses cuando existe un riesgo real de estar en el punto de mira, son pasos fundamentales para proteger tanto la privacidad individual como la de organizaciones y movimientos que dependen de comunicaciones seguras para desarrollar su trabajo.

En un escenario donde el móvil puede transformarse en un micrófono y una cámara ambulante sin que lo notemos, tomarse la seguridad en serio ha dejado de ser una paranoia para convertirse en una necesidad básica, especialmente para quienes, por su trabajo o activismo, puedan resultar incómodos para determinados poderes.