Pegasus: Qué es y cómo funciona

Si no has estado viviendo en una cueva los últimos cinco años, seguro que te suena el nombre Pegasus. Se hizo famoso cuando el propio Gobierno español reconoció en 2022 que los móviles del presidente Pedro Sánchez y de la ministra de Defensa Margarita Robles habían sido infectados con este spyware en mayo y junio de 2021. Desde entonces, Pegasus ha pasado de ser un secreto a voces en círculos de seguridad a convertirse en uno de los mayores símbolos del espionaje moderno. Pero quizás no tengas del todo claro qué es capaz de hacer, cómo funciona y por qué es tan temido.

Pegasus es un software espía creado por la empresa israelí NSO Group en 2011 y vendido oficialmente a gobiernos para luchar contra el crimen y el terrorismo. Lo inquietante es que su lista de víctimas incluye activistas, periodistas, opositores políticos, abogados y hasta jefes de Estado. Y no hablamos de phishing barato: Pegasus es ingeniería de espionaje de élite, capaz de entrar en tu teléfono sin que toques nada.

La joya de la corona de Pegasus son sus ataques “zero-click”, que no requieren que abras un enlace o descargues nada. Uno de los ataques más famosos, llamado FORCEDENTRY, aprovechaba un fallo en iMessage, el servicio de mensajería de Apple que viene en todos sus dispositivos. Lo inquietante es que no hacía falta abrir nada: al llegar el mensaje, el sistema intentaba procesarlo automáticamente, y el archivo malicioso contenía instrucciones ocultas que aprovechaban errores del sistema para ejecutar código. Así, el teléfono quedaba comprometido sin que el usuario hiciera nada, una especie de llave maestra que entraba por la puerta principal mientras parecía una simple notificación. En 2023 se descubrió otra cadena llamada BLASTPASS, que usaba archivos de la app Wallet de forma similar, logrando comprometer incluso iPhones totalmente actualizados. En este contexto, “cadena” significa que los atacantes encadenan varios fallos: primero ejecutan código en la app atacada, luego escapan de la caja de seguridad del sistema y finalmente escalan privilegios para tomar control total del dispositivo.

WhatsApp tampoco se libró. En 2019 se destapó que Pegasus podía instalarse a través de una simple llamada perdida gracias a una vulnerabilidad en su sistema de llamadas (CVE-2019-3568). WhatsApp denunció a NSO Group y el caso sigue en tribunales, con sentencias millonarias. Este episodio demostró que incluso las aplicaciones cifradas no son invulnerables cuando el ataque apunta directamente al corazón del software.

Pegasus también puede infiltrarse mediante ataques “one-click” —enlaces personalizados enviados por SMS, correo o redes sociales— y técnicas más sofisticadas como la inyección en red. Esta última funciona si el tráfico pasa por una red no cifrada: un servidor malicioso puede redirigir silenciosamente tu navegador y activar la instalación del spyware. Todo esto convierte cualquier dispositivo en un objetivo si el atacante tiene suficientes recursos.

Una vez dentro, Pegasus puede hacer de todo: leer mensajes y correos, acceder a fotos y archivos, espiar llamadas, activar cámara y micrófono, y rastrear tu ubicación en tiempo real. No necesita permisos del usuario porque, al comprometer el sistema operativo, se comporta como si fuera parte del propio teléfono.

Para defenderse, Apple introdujo el modo de bloqueo (Lockdown Mode) en iOS 16, que reduce la superficie de ataque desactivando funciones avanzadas y limitando adjuntos. Ha demostrado eficacia frente a algunas cadenas conocidas, aunque los atacantes se adaptan constantemente. Actualizar el sistema, evitar enlaces sospechosos y usar redes seguras son básicos, pero no una garantía total contra amenazas de este calibre.

Pegasus no es una simple app espía; es un arsenal de vulnerabilidades encadenadas diseñado por expertos con presupuesto casi ilimitado. Lo que asusta no es solo su existencia, sino que ha puesto de manifiesto que, incluso con dispositivos modernos, el espionaje digital puede pasar desapercibido. Entender cómo funciona es el primer paso para dejar de pensar que la seguridad es solo cuestión de sentido común y asumir que, a veces, ni siquiera hace falta tocar la pantalla para ser vigilado.

Y después de saber esto, ¿sigues creyendo que los gobiernos acaso podrían pensar en controlarte metiéndote un microchip en el cuerpo? Si quisieran hacerlo, ¡ya lo llevas tú mismo metido en el bolsillo!