Pegasus y NSO Group: El Escándalo de Espionaje que Sacudió al Mundo

El teléfono que te espía

En julio de 2021, un consorcio de 17 medios de comunicación coordinados por Forbidden Stories y con el apoyo técnico del Security Lab de Amnistía Internacional publicó una investigación que sacudió al mundo: el Pegasus Project.

La investigación reveló que Pegasus, un spyware comercializado por la empresa israelí NSO Group supuestamente solo para combatir el terrorismo y el crimen organizado, había sido utilizado por gobiernos de todo el mundo para espiar a periodistas, activistas de derechos humanos, abogados, opositores políticos e incluso jefes de estado.

No era solo una herramienta de vigilancia. Era la herramienta de vigilancia más poderosa jamás comercializada: capaz de convertir cualquier smartphone en un micrófono y una cámara al servicio del espía, acceder a todos los mensajes (incluso los cifrados), rastrear la ubicación en tiempo real, y todo ello sin que la víctima tuviera la menor sospecha.

NSO Group: la empresa que vende espionaje

Origen y modelo de negocio

NSO Group fue fundada en 2010 por Niv Carmi, Shalev Hulio y Omri Lavie. El nombre "NSO" son las iniciales de los fundadores. Con sede en Herzliya, Israel (el epicentro de la industria ciber israelí), la empresa se especializó en lo que eufemísticamente llaman "inteligencia cibernética" para gobiernos.

El modelo de negocio era claro: desarrollar la capacidad de espionaje más avanzada del mundo y venderla exclusivamente a gobiernos y agencias de inteligencia. Las licencias de Pegasus costaban millones de dólares. Según documentos filtrados, una instalación típica costaba alrededor de 500.000 USD de configuración más entre 6 y 7,5 millones USD anuales por licencia.

NSO siempre afirmó que sus clientes eran investigados antes de concederles licencias y que el software solo se vendía para "combatir el terrorismo y la delincuencia grave". Esta defensa se derrumbó con el Pegasus Project.

La regulación israelí

Las exportaciones de ciberarmas israelíes están reguladas por el Ministerio de Defensa, que debe aprobar cada venta. Esto implicaba que el gobierno israelí conocía (y aprobaba) las ventas de Pegasus a clientes que incluían regímenes autoritarios.

Cómo funciona Pegasus: capacidades técnicas

Vectores de infección

Pegasus ha evolucionado sus métodos de infección a lo largo de los años:

Generación 1 (2011-2016): Phishing con enlaces. El usuario recibía un SMS o WhatsApp con un enlace. Al pulsarlo, se explotaba una vulnerabilidad del navegador para instalar Pegasus. Es lo que se usó contra Ahmed Mansoor, un activista de derechos humanos de Emiratos Árabes Unidos, en 2016.

Generación 2 (2017-2019): Inyección de red. Mediante equipos instalados en operadores de telecomunicaciones, el tráfico web del objetivo se redirigía a un servidor de explotación que instalaba Pegasus automáticamente. No requería que la víctima pulsara nada, pero sí la colaboración de la operadora de telecomunicaciones.

Generación 3 (2019 en adelante): Zero-click. La versión más avanzada. Pegasus se instala sin ninguna acción del usuario. Los vectores documentados incluyen:

• WhatsApp (mayo 2019): Una llamada de voz a través de WhatsApp, incluso si no era contestada, era suficiente para instalar Pegasus. WhatsApp parcheó la vulnerabilidad (CVE-2019-3568) y Meta demandó a NSO Group.
• iMessage (2020-2021): Exploits que se activaban al recibir un mensaje de iMessage, sin necesidad de abrirlo. El exploit FORCEDENTRY (CVE-2021-30860) fue documentado por Citizen Lab.
• iMessage con JBIG2 (2021): Un exploit que utilizaba una vulnerabilidad en el decodificador de imágenes JBIG2 de iOS para ejecutar código. Citizen Lab lo describió como "la cadena de exploits más sofisticada que hemos visto".

¿Qué puede hacer Pegasus una vez instalado?

Acceso completo al dispositivo:

• Mensajes: SMS, WhatsApp, Signal, Telegram, iMessage, email. El cifrado de extremo a extremo no protege porque Pegasus lee los mensajes en el dispositivo, después de descifrarlos.
• Llamadas: Graba llamadas telefónicas y de apps de VoIP
• Cámara y micrófono: Activa la cámara y el micrófono de forma remota y silenciosa
• Ubicación: Rastreo GPS en tiempo real e histórico
• Archivos: Acceso a fotos, documentos, contactos, calendario
• Contraseñas: Captura de credenciales almacenadas
• Keylogger: Registra todo lo que se teclea

Pegasus opera con privilegios de root/jailbreak, por encima del sistema operativo. Es prácticamente indetectable por el usuario y deja trazas forenses mínimas.

El Pegasus Project: la investigación

Los datos filtrados

En 2020, Forbidden Stories obtuvo una lista de más de 50.000 números de teléfono que, según fuentes, habían sido seleccionados como potenciales objetivos por clientes de NSO Group. No todos los números fueron necesariamente infectados, pero la lista indicaba la intención de vigilancia.

Amnistía Internacional y Citizen Lab (laboratorio de la Universidad de Toronto) realizaron análisis forenses de dispositivos de personas cuyos números aparecían en la lista. Los resultados fueron devastadores.

Víctimas documentadas

Periodistas (más de 180 identificados):

• Reporteros de Le Monde, The Guardian, Washington Post, Financial Times, Reuters, Al Jazeera, CNN, New York Times
• Cecilio Pineda, periodista mexicano asesinado semanas después de que su número apareciera en la lista
• Jamal Khashoggi: personas de su círculo cercano fueron vigiladas con Pegasus antes y después de su asesinato en el consulado saudí de Estambul en 2018

Activistas de derechos humanos:

• Ahmed Mansoor (Emiratos Árabes Unidos), ahora en prisión
• Activistas saharauis (por Marruecos)
• Defensores de derechos humanos en India, México, Hungría

Políticos y jefes de estado:

• Emmanuel Macron, presidente de Francia (seleccionado por Marruecos, según la investigación)
• Tedros Adhanom, director general de la OMS
• Políticos catalanes en España (caso CatalanGate, documentado por Citizen Lab en 2022)
• Políticos de oposición en varios países

Abogados:

• Abogados de derechos humanos que representaban a víctimas de abusos en países como México y Arabia Saudí

Países clientes

La investigación identificó clientes de NSO Group en al menos estos países: México, Marruecos, Arabia Saudí, Emiratos Árabes Unidos, India, Hungría, Azerbaiyán, Bahréin, Kazajistán, Ruanda, Togo, entre otros.

Impacto mediático y político

Reacciones internacionales

El Pegasus Project generó una onda expansiva política:

• Francia: Macron cambió de teléfono y de número. Francia convocó al embajador marroquí. Se abrió una investigación judicial.
• India: La oposición exigió explicaciones al gobierno de Modi. El Tribunal Supremo ordenó una investigación independiente.
• España: El caso CatalanGate (65 personas del movimiento independentista catalán vigiladas) provocó una crisis política. El CNI reconoció haber usado Pegasus contra 18 personas con autorización judicial.
• México: Múltiples investigaciones revelaron que el gobierno de Peña Nieto había utilizado Pegasus masivamente contra periodistas, abogados y activistas.
• Hungría: Investigaciones contra periodistas y opositores del gobierno de Orbán.

Acciones legales

• Meta/WhatsApp vs. NSO Group (2019): Demanda por explotar WhatsApp para instalar Pegasus en 1.400 dispositivos. En 2021, un juez denegó la inmunidad soberana que NSO reclamaba.
• Apple vs. NSO Group (noviembre 2021): Apple demandó a NSO por atacar a usuarios de Apple. Apple también notificó a usuarios que habían sido objetivo de ataques patrocinados por estados.
• Sanctiones de EEUU (noviembre 2021): El Departamento de Comercio incluyó a NSO Group en la Entity List, prohibiendo la venta de tecnología estadounidense a la empresa.

Lecciones aprendidas

1. El cifrado de extremo a extremo no protege contra spyware en el dispositivo

Pegasus demostró que el cifrado de las comunicaciones es inútil si el atacante tiene acceso al dispositivo en sí. Signal, WhatsApp con cifrado activado, PGP: todo es legible cuando el spyware opera a nivel de sistema operativo.

2. Los zero-click exploits cambian las reglas del juego

Cuando no se necesita que la víctima haga nada para ser infectada, las recomendaciones tradicionales de seguridad ("no abras enlaces sospechosos") se vuelven irrelevantes. La defensa requiere actualizaciones constantes del sistema operativo y hardware moderno.

3. La industria del spyware necesita regulación

NSO Group no es la única empresa del sector. Candiru, Cytrox (Predator), Intellexa, QuaDream: hay un ecosistema completo de empresas que venden capacidades similares. Sin regulación internacional vinculante, estas herramientas seguirán llegando a gobiernos autoritarios.

4. Los periodistas y activistas son objetivos prioritarios

Pegasus se vendía como herramienta antiterrorista, pero en la práctica se usaba sistemáticamente contra la sociedad civil. Esto evidenció la necesidad de protecciones específicas para periodistas y defensores de derechos humanos.

5. Apple respondió pero no fue suficiente

Apple introdujo Lockdown Mode en iOS 16 (2022), que restringe funcionalidades del dispositivo para reducir la superficie de ataque. Es una medida importante pero que penaliza la experiencia de usuario y no es una solución completa.

Estado actual (2026)

NSO Group

La empresa enfrentó una cascada de problemas tras el Pegasus Project:

• Inclusión en la Entity List de EEUU (prohibición de compra de tecnología americana)
• Múltiples demandas judiciales en curso
• Dificultades financieras y reestructuración de deuda
• Cambios de dirección ejecutiva
• Pérdida de algunos clientes tras la presión internacional

Sin embargo, NSO Group sigue operando. Los contratos existentes con gobiernos generan ingresos suficientes para mantener las operaciones.

La industria del spyware comercial

NSO no está sola. El mercado del spyware comercial (a veces llamado "mercenarios cibernéticos") incluye múltiples empresas activas. Google, Meta, Microsoft y Apple han documentado ataques de al menos una docena de empresas similares a NSO.

En 2023, EEUU emitió una orden ejecutiva sobre el uso de spyware comercial por parte del gobierno federal, y la UE ha debatido regulaciones más estrictas para la exportación de estas herramientas.

La carrera continúa

Apple parchea vulnerabilidades utilizadas por spyware de forma regular (los conocidos como "emergency security updates"). Google hace lo mismo con Android. Pero nuevas vulnerabilidades zero-click se descubren y explotan continuamente. La defensa de dispositivos móviles contra actores estatales sigue siendo uno de los retos más difíciles de la ciberseguridad.

Recursos y referencias

• Pegasus Project: forbiddenstories.org/case/the-pegasus-project/
• Citizen Lab (University of Toronto): Múltiples informes sobre Pegasus (2016-2025)
• Amnesty International Security Lab: "Forensic Methodology Report: How to catch NSO Group's Pegasus" (2021)
• Apple vs. NSO Group: Case 3:21-cv-09078 (Northern District of California)
• WhatsApp/Meta vs. NSO Group: Case 19-cv-07123 (Northern District of California)
• Bureau of Industry and Security (BIS): Final Rule adding NSO Group to Entity List (noviembre 2021)
• Citizen Lab: "CatalanGate: Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru" (abril 2022)
• Google TAG (Threat Analysis Group): Informes periódicos sobre la industria de spyware comercial