El espionaje con spyware ya no es una amenaza lejana: está instalado en el corazón de Europa. Pegasus, uno de los programas más sofisticados, ha vuelto a hacer saltar las alarmas. En este artículo, la Alumni del Máster Profesional de Analista de Inteligencia de LISA Institute desgrana cómo opera este software, sus víctimas más recientes y las claves para entender su peligrosidad.
A finales de marzo de este año, Amnistía Internacional confirmaba un nuevo caso del spyware Pegasus, de la compañía NSO, en Serbia. Las víctimas eran dos miembros de la Red de Periodismo Investigativo de los Balcanes. El ataque se realizaba en el contexto de la nueva oleada de protestas estudiantiles que azotan el país desde noviembre. Con este ya son tres los usos confirmados de Pegasus contra la población civil de Serbia en los últimos dos años.
Este caso se suma al trabajo que Amnistía Internacional realiza monitorizando el uso de spyware desde el caso Pegasus. Esta extensa investigación tuvo lugar tras recibir una filtración con 50.000 números de teléfono de potenciales víctimas de Pegasus. Colaborando con Forbidden Stories, un consorcio francés, llegaron a identificar y contactar con docenas de ellas.
El resultado de la investigación fue un escándalo a escala global, con decenas de víctimas confirmadas de Pegasus. Entre ellas se encontraban numerosos periodistas y activistas políticos, seleccionados por sus actividades contra regímenes autoritarios y el crimen organizado.
➡️ Te puede interesar: Qué es el Ransomware y cómo prevenir este ciberataque
El spyware mercenario se posicionaba así como una herramienta para la opresión más que garante de la seguridad, contrario a las afirmaciones de sus desarrolladores.
Serbia está lejos de ser el único país europeo convertido en terreno de juego para el spyware mercenario. Ese mismo mes, Citizen Lab (Universidad de Toronto), otra organización centrada en defender los derechos humanos y la seguridad ciudadana en internet, advertía sobre otro spyware, Paragon, y su uso contra activistas en Italia a lo largo del 2024.
¿Qué es el spyware?
Primero de todo, es necesario definir qué es spyware, y en qué se diferencia de otros tipos de malware. Como indica su propio nombre, se trata de software especialmente diseñado para espiar. Extrae información de un dispositivo sin generar alerta, en muchos casos centrándose en datos personales del propietario. Principalmente, afecta a teléfonos móviles.
Por ello, gran parte de los esfuerzos en su diseño se centran en evitar levantar cualquier tipo de sospecha, tanto al sistema operativo del dispositivo infectado como al propio usuario. Esto lo consigue haciendo uso de las técnicas más sofisticadas de infiltración y exfiltración de datos en el mundo de la ciberseguridad, así como de la eliminación de evidencias forenses de infección.
Esto lo convierte en un tipo de software por naturaleza sofisticado y necesitado de constante actualización. Esto se traduce en licencias de uso con un coste de cientos de miles de euros por unidad, requiriéndose a menudo varias licencias por víctima. Por lo tanto, los principales clientes de spyware mercenario son organizaciones, tanto públicas como privadas.
El panorama del spyware en 2025
El mercado del spyware mercenario cuenta con un amplio abanico de empresas y productos centrados en distintos tipos de dispositivos y niveles de invasividad. Van desde spyware capaz de acceder a la totalidad del dispositivo hasta alternativas más modestas que requieren acceso físico al mismo.
Así, Pegasus destaca por su sofisticada metodología para infectar dispositivos de forma imperceptible para el propio usuario, tanto en el proceso de infección como en el de transmisión de datos.
También por su nivel de invasividad, siendo capaz de acceder a cualquier contenido del dispositivo una vez infectado. Sin embargo, se encuentra limitado a dispositivos móviles Android e iOS. Candiru, otro spyware comercial de la empresa israelí del mismo nombre, amplía el rango de víctimas, incluyendo dispositivos Windows, móviles y PCs, y Macs, además de cuentas en la nube.
➡️ Te puede interesar: 🎧 Código LISA – Los mayores ciberataques en la historia de la Ciberseguridad
Dentro de la Unión Europea también existen empresas de spyware. Predator es el nombre de otro competidor, desarrollado por Cytrox, del conglomerado europeo Intellexa Alliance, que ofrece capacidades similares a Pegasus.
Los spyware menos sofisticados incluyen opciones como Graphite, de Paragon Solutions (conocido simplemente como Paragon), también israelí. Ofrece una alternativa limitada, al solo poder acceder a aplicaciones de mensajería en oposición a la totalidad del dispositivo. Otra alternativa es NovySpy, que se centra en dispositivos Android y, cuando se combina con herramientas forenses como Cellebrite, puede infiltrar un dispositivo y extraer datos dado acceso físico al mismo.
A continuación se ofrece una breve explicación de los aspectos técnicos del spyware, desde el tipo de información que buscan en los dispositivos infectados hasta recursos forenses para confirmar una infección. Se centrará la información en Pegasus, pero otras opciones de spyware funcionan de formas similares.
Fase 1: ¿Qué es Pegasus?
El spyware Pegasus permite acceder a la totalidad del contenido de un dispositivo móvil una vez infectado. Esto incluye contactos, contraseñas, geolocalización, calendario, SMS, historial de buscadores y llamadas, configuración del dispositivo y monitorización de las principales aplicaciones de comunicación (Skype, WhatsApp, etc.). También abarca la información almacenada en el dispositivo, sea en formato de texto, audio, imagen o video.
Además, permite la monitorización pasiva, capturando información en tiempo real utilizando el hardware del dispositivo, como son la cámara o el micrófono, así como la propia pantalla del dispositivo.
Fase 2: Cómo infecta Pegasus
El spyware consta de dos componentes principales:
- Un servidor: donde la información robada es almacenada y procesada para ser puesta a disposición de los clientes mediante una interfaz gráfica de usuario.
- Un agente: que infecta el dispositivo víctima. Es el responsable de seleccionar y transmitir la información al servidor.
Para poder infectar un dispositivo, el software del agente debe ser personalizado para aprovechar vulnerabilidades concretas presentes en el dispositivo que se quiera infectar.
➡️ Te puede interesar: Masterclass | Ciberinteligencia Criminal: estrategias y métodos para combatir el cibercrimen
Dependiendo del caso concreto, estas vulnerabilidades pueden estar relacionadas tanto con componentes concretos del hardware, como un modelo concreto del procesador. También pueden estar relacionadas con el software, como versiones del sistema operativo o una aplicación concreta. Se estima que para existir opciones reales de que la infección sea exitosa, se deben identificar al menos tres vulnerabilidades simultáneas en un mismo dispositivo.
Estas vulnerabilidades, conocidas como zero-day, consisten en fallos de diseño en un software que no son identificados hasta después de ponerlo a disposición del público. Están presentes desde el primer momento, de ahí su nombre. Estos fallos pueden utilizarse para escalar accesos y privilegios en el sistema hasta niveles no deseados, permitiendo así ser utilizados para tomar control del dispositivo en el que estas aplicaciones vulnerables se encuentran instaladas.
Los proveedores de software buscan constantemente identificar estas brechas de seguridad, que son corregidas mediante actualizaciones.
Una vez se han identificado una serie de vulnerabilidades presentes en el dispositivo objetivo, tiene lugar la transmisión del agente de Pegasus. Principalmente, se realiza mediante mensajes de phishing con links maliciosos, que al utilizarlos autorizaban el acceso del agente al dispositivo. Sin embargo, nuevas versiones de Pegasus han mostrado ser capaces de infectar dispositivos sin necesitar interacción alguna con el usuario.
Una vez infectado el dispositivo, el agente Pegasus tiene acceso absoluto al dispositivo. Este acceso es equivalente al nivel de control que tiene el propio sistema operativo, sin dar señal alguna al propietario del dispositivo.
Fase 3: ¿Cómo roba información Pegasus?
La extracción de información que realiza Pegasus se centra principalmente en evitar cualquier tipo de sospecha por parte del usuario. Por ello, minimiza el uso de datos y batería, guardando si fuera necesario los datos a transmitir en una pequeña porción de memoria libre del dispositivo, hasta que las circunstancias sean favorables. Así, con conexión a wifi o el dispositivo cargando, se pueden exfiltrar cientos de megabytes de datos sin que el usuario del dispositivo pueda advertirlo.
Dadas las diferencias entre formatos de datos, es mucho más sencillo extraer información textual (mensajes, correos) de un dispositivo. Otros formatos, como imagen y video, son por lo general mucho más pesados en cantidad de bytes. En la cantidad de memoria que ocupa una canción en MP3, unos 4 MB, se pueden almacenar hasta 2000 páginas de texto sin formato.
Fase 4: ¿Cómo se esconde Pegasus?
Todas las aplicaciones activas en un dispositivo generan un proceso, una sucesión de acciones que permiten el correcto funcionamiento de la misma. Durante cualquier momento, un dispositivo encendido cuenta con una serie de procesos generados por el usuario, como el reproductor de música, el navegador o la mensajería. También cuenta con otros procesos generados por el sistema operativo para asegurar que el dispositivo funcione correctamente.
➡️ Te puede interesar: Época negra de ciberataques: guía para protegerse ante los intentos de estafa
El agente Pegasus, una vez infiltrado en el dispositivo, nunca llega a instalarse como una aplicación más. Sin embargo, se mantiene en el dispositivo como una serie de procesos. Estos procesos de Pegasus se ocultan utilizando nombres muy similares a procesos legítimos del sistema operativo, a veces simplemente cambiando una letra del nombre.
Una característica importante de los procesos es el hecho de que son destruidos en cuanto el dispositivo se apaga. Por ello, Pegasus desaparecería del dispositivo si este se queda sin batería o es reiniciado. Sin embargo, mientras las vulnerabilidades sigan presentes en un dispositivo concreto, este puede ser infectado reiteradamente.
Fase 5: Cómo se detecta una infección de Pegasus
Confirmar una infección de Pegasus requiere identificar en el dispositivo algún proceso fraudulento de los asociados al spyware. Estos procesos pueden encontrarse activos si la infección es actual. También pueden recuperarse de alguna de las copias de seguridad que los sistemas operativos de móviles realizan de forma automatizada.
Desde el Caso Pegasus, Amnistía Internacional ha tenido acceso a decenas de dispositivos víctimas potenciales de una infección de Pegasus. Esto les ha permitido establecer la metodología de ataque y transmisión del agente Pegasus en los dispositivos, así como identificar las evidencias forenses que delatan una infección.
El Caso Pegasus mostró que NSO sistemáticamente había puesto su producto a disposición de individuos y organizaciones más allá de organismos públicos de seguridad y sistemas democráticos. Esto iba en contra de sus afirmaciones iniciales, convirtiéndolo realmente en un spyware mercenario.
Durante esta investigación se observó que la compañía se había movido únicamente por intereses económicos, lo que llevó a su uso sistemático contra objetivos civiles.
Entre sus principales víctimas se encuentran activistas políticos contra regímenes no democráticos, como Marruecos, Hungría o Azerbaiyán. También periodistas que investigan el crimen organizado, como los cárteles de México. Así, México y después Marruecos fueron identificados como los principales compradores del spyware.
Por ello, organizaciones civiles por los derechos humanos y la seguridad en internet, entre las que se encuentran Amnistía Internacional y Citizen Lab, se han volcado en ofrecer apoyo técnico a víctimas. También han publicado informes sobre Pegasus y otros tipos de spyware.
Además, Amnistía Internacional mantiene un repositorio público de software con el Mobile Verification Toolkit, una herramienta que permite analizar dispositivos para recopilar evidencias de una infección con Pegasus en un dispositivo.
El spyware: una amenaza silenciosa que sigue expandiéndose
El spyware es un tipo de software que permite extraer todo tipo de datos de un dispositivo una vez infectado. Haciendo uso de sofisticadas técnicas de ciberseguridad, puede infiltrarse en dispositivos vulnerables sin levantar ningún tipo de sospecha, donde analiza y extrae toda información relevante.
➡️ Te puede interesar: Importancia de la ciberinteligencia en el entorno de la seguridad y la ciberseguridad
Al tratarse de un software privado, se encuentra al alcance de individuos y organizaciones con dudosos intereses. La única barrera real de acceso son sus elevados costes.
A pesar de haber nacido con la popularización de los teléfonos inteligentes, este spyware llegó a la conciencia popular con el escándalo que salpicó a Pegasus tras la filtración y posterior confirmación de un gran número de sus víctimas. Entre ellas se encontraban numerosos periodistas y activistas políticos.
Sin embargo, a pesar del escándalo y del escrutinio público, Pegasus no ha dejado de vender licencias en todo el mundo. Es un claro ejemplo de la perversidad y utilidad del spyware como herramienta de vigilancia.
➡️ Si quieres adquirir conocimientos sobre Ciberseguridad, te recomendamos los siguientes cursos formativos:
