En julio de 2021, una investigación periodística sin precedentes sacudió los cimientos del debate global sobre vigilancia estatal y privacidad digital. El Proyecto Pegasus, coordinado por la organización francesa Forbidden Stories y respaldado técnicamente por el laboratorio de investigación Citizen Lab de la Universidad de Toronto, reveló que un software espía desarrollado por la empresa israelí NSO Group había sido utilizado por decenas de gobiernos para vigilar a periodistas, activistas de derechos humanos, abogados, políticos de oposición y jefes de Estado. Una lista filtrada de más de 50.000 números de teléfono seleccionados como potenciales objetivos de vigilancia puso al descubierto una industria de ciberespionaje comercial con consecuencias devastadoras para las libertades fundamentales.
NSO Group: La Empresa Detrás del Espía Más Sofisticado del Mundo
NSO Group fue fundada en 2010 por Niv Carmi, Shalev Hulio y Omri Lavie en la ciudad de Herzliya, Israel, el epicentro del ecosistema tecnológico y de inteligencia israelí. La empresa desarrolló Pegasus, un software de vigilancia que fue comercializado como una solución indispensable para combatir el terrorismo y el crimen organizado, prometiendo a sus clientes gubernamentales la capacidad de penetrar comunicaciones cifradas de aplicaciones como WhatsApp, Signal e iMessage que los métodos de interceptación tradicionales no podían alcanzar.
NSO vende sus productos exclusivamente a gobiernos soberanos y agencias de inteligencia, con la aprobación del Ministerio de Defensa israelí, que debe autorizar cada exportación como si se tratara de armamento convencional. La empresa ha mantenido consistentemente que no opera el software directamente y que no tiene acceso a los datos recopilados por sus clientes. Sin embargo, esta posición ha sido desafiada repetidamente por investigaciones que demuestran abusos sistemáticos por parte de los gobiernos compradores.
Capacidades Técnicas: El Espía Digital Perfecto
Lo que distingue a Pegasus de otros programas espía es su capacidad de realizar infecciones zero-click: el software puede comprometer un dispositivo sin ninguna interacción por parte de la víctima. No es necesario que el objetivo abra un enlace, descargue un archivo o realice cualquier acción. La simple recepción de un mensaje invisible es suficiente para que Pegasus tome control completo del dispositivo.
El exploit más documentado de Pegasus fue FORCEDENTRY, descubierto por investigadores de Citizen Lab y analizado en profundidad por Google Project Zero. Este exploit explotaba vulnerabilidades zero-day en iMessage de Apple, logrando evadir el sandbox de seguridad BlastDoor que Apple había implementado específicamente en iOS 14 para proteger contra este tipo de ataques. FORCEDENTRY procesaba archivos PDF maliciosos disfrazados como imágenes GIF, aprovechando una vulnerabilidad en el renderizador de PDFs de Apple para ejecutar código arbitrario. Google Project Zero describió FORCEDENTRY como uno de los exploits técnicamente más sofisticados jamás analizados.
Capacidades Completas de Pegasus
Una vez instalado, Pegasus otorga a su operador control total del dispositivo. Las capacidades documentadas incluyen: lectura de todos los mensajes de WhatsApp, Signal, Telegram e iMessage (incluso mensajes cifrados de extremo a extremo), acceso al historial completo de navegación web, descarga de todas las fotos y vídeos almacenados, grabación de llamadas de voz, activación remota del micrófono y la cámara del dispositivo (convirtiendo el teléfono en un dispositivo de escucha ambiental), seguimiento GPS en tiempo real, extracción de contraseñas almacenadas, y acceso a servicios en la nube como iCloud y Google Drive utilizando las credenciales almacenadas en el dispositivo. Todo esto ocurre de forma completamente invisible para el usuario.
El Proyecto Pegasus: La Investigación que Sacudió al Mundo
La investigación fue publicada simultáneamente por 17 medios de comunicación internacionales, incluyendo The Guardian (Reino Unido), Le Monde (Francia), Washington Post (Estados Unidos), Die Zeit (Alemania) y Proceso (México). Los resultados se basaron en el análisis de una lista filtrada de 50.000 números de teléfono que habían sido seleccionados como posibles objetivos de vigilancia por clientes de NSO Group.
El Security Lab de Amnistía Internacional desarrolló una herramienta forense llamada Mobile Verification Toolkit (MVT) que permitía detectar rastros de Pegasus en dispositivos móviles. Utilizando esta herramienta, confirmaron infecciones exitosas en docenas de dispositivos pertenecientes a personas incluidas en la lista filtrada.
Entre los objetivos identificados se encontraban tres presidentes en ejercicio (Emmanuel Macron de Francia, Barham Salih de Irak y Cyril Ramaphosa de Sudáfrica), un rey (Mohamed VI de Marruecos), más de 180 periodistas de medios como Al Jazeera, CNN, Financial Times, New York Times y Reuters, al menos 85 activistas de derechos humanos, y más de 600 políticos y funcionarios gubernamentales de más de 50 países.
El Caso Khashoggi: Pegasus y el Asesinato de un Periodista
Uno de los aspectos más perturbadores de la investigación fue la conexión entre Pegasus y el asesinato del periodista saudí Jamal Khashoggi. El análisis forense reveló que el teléfono de Hatice Cengiz, prometida de Khashoggi, fue infectado con Pegasus apenas cuatro días después de que el periodista fuera asesinado y desmembrado dentro del consulado saudí en Estambul en octubre de 2018.
También fue comprometido el teléfono de Wadah Khanfar, exdirector general de Al Jazeera y amigo cercano de Khashoggi. Investigaciones anteriores de Citizen Lab ya habían demostrado que varios asociados de Khashoggi fueron vigilados con Pegasus antes de su asesinato. Agnes Callamard, entonces Relatora Especial de la ONU sobre ejecuciones extrajudiciales, describió la vigilancia como facilitadora potencial de un asesinato político, argumentando que la información recopilada pudo ser utilizada para planificar la operación.
Respuestas de la Industria Tecnológica
Apple demandó a NSO Group en noviembre de 2021, buscando una orden judicial que prohibiera permanentemente a la empresa utilizar productos y servicios de Apple. Simultáneamente, Apple implementó Lockdown Mode en iOS 16, un modo de seguridad extremo diseñado específicamente para proteger a usuarios de alto riesgo (periodistas, activistas, diplomáticos) contra spyware de grado estatal. Lockdown Mode desactiva numerosas funcionalidades del dispositivo para reducir la superficie de ataque, incluyendo la previsualización de enlaces en iMessage, las conexiones Wi-Fi no seguras y los perfiles de configuración.
WhatsApp (propiedad de Meta) había demandado a NSO en octubre de 2019 tras descubrir que 1.400 dispositivos fueron infectados mediante una vulnerabilidad en el sistema de llamadas de voz de la aplicación. La víctima recibía una llamada que no necesitaba contestar: el simple hecho de que el teléfono procesara la señal era suficiente para instalar Pegasus. En diciembre de 2024, un juez federal de California falló a favor de WhatsApp, determinando que NSO había violado la Computer Fraud and Abuse Act y los términos de servicio de WhatsApp.
El gobierno de Estados Unidos añadió a NSO Group a su Entity List (lista negra comercial) en noviembre de 2021, restringiendo severamente su acceso a tecnología y componentes estadounidenses. Esta acción, inusual contra una empresa aliada de Israel, reflejó la gravedad con la que la administración Biden consideraba los abusos de la industria del spyware comercial.
El Debate: Seguridad Nacional vs. Derechos Fundamentales
El caso Pegasus reavivó el debate fundamental entre la necesidad de herramientas de vigilancia para combatir amenazas legítimas y la protección de derechos civiles fundamentales. Los defensores de NSO y herramientas similares argumentan el concepto de going dark (oscuridad digital): el cifrado de extremo a extremo permite a terroristas y criminales comunicarse de forma impenetrable, y herramientas como Pegasus son necesarias para que los gobiernos protejan a sus ciudadanos.
Sin embargo, la evidencia acumulada demuestra abrumadoramente que estas herramientas son utilizadas de forma sistemática contra la sociedad civil, no contra terroristas. Periodistas que investigan corrupción, activistas que defienden derechos humanos, abogados que representan a opositores políticos y opositores democráticos legítimos constituyen una proporción desproporcionada de las víctimas conocidas.
El mercado del spyware comercial se extiende mucho más allá de NSO. Empresas como Candiru (también israelí), Cytrox/Intellexa (con base en la UE), RCS Lab (Italia) y QuaDream (Israel, cerrada en 2023) ofrecían capacidades similares. La Unión Europea ha investigado el uso de Pegasus contra ciudadanos europeos en Hungría, Polonia y España (donde fue utilizado contra políticos y activistas catalanes), generando crisis políticas internas sin precedentes.
Pegasus en 2026: Una Industria que se Resiste a Morir
A pesar de las demandas, sanciones y escándalos, la industria del spyware comercial continúa operando y expandiéndose. Cuando una empresa como QuaDream cierra, nuevas empresas emergen para llenar el vacío, frecuentemente fundadas por antiguos empleados de NSO o de la Unidad 8200 de inteligencia israelí. Los gobiernos que desean capacidades de vigilancia siempre encontrarán proveedores dispuestos a venderlas.
La lección más importante del caso Pegasus es que los abusos son la norma, no la excepción, cuando se proporcionan herramientas de vigilancia sin supervisión efectiva a gobiernos con historial de violaciones de derechos humanos. La lucha por una regulación efectiva de la industria del spyware no es simplemente una cuestión técnica o comercial: es una lucha por la preservación de las libertades fundamentales (libertad de prensa, derecho a la privacidad, libertad de asociación) en la era digital. Sin estas libertades, la democracia misma queda comprometida.
Recomendaciones para Potenciales Objetivos
Organizaciones como Amnistía Internacional, Electronic Frontier Foundation y Citizen Lab han publicado guías de seguridad específicas para personas que podrían ser objetivos de spyware estatal. Las recomendaciones incluyen activar el Lockdown Mode de Apple en dispositivos iOS, mantener todos los dispositivos permanentemente actualizados, reducir la superficie de ataque desinstalando aplicaciones innecesarias, utilizar dispositivos secundarios para comunicaciones sensibles y realizar escaneos periódicos con herramientas como MVT. Para periodistas y activistas en países con historiales de vigilancia abusiva, estas medidas no son opcionales sino esenciales para su seguridad física y la de sus fuentes.
Sobre el Autor
Alejandra Torres Vega – Especialista en protección de datos y cumplimiento normativo RGPD/ISO 27001
Última actualización: 2026 | Contenido verificado por expertos en ciberseguridad
