dijous, 7 de maig del 2026

 Pegasus – Cómo funciona, quién lo controla y marco legal DDHH

1. Qué es Pegasus y cómo funciona el “click cero”

Desarrollador: NSO Group, empresa israelí fundada en 2010. Vende solo a gobiernos.

Cómo infecta sin click – “zero-click”:
Son exploits que no requieren que toques nada. 3 métodos documentados por Citizen Lab y Amnistía Internacional:

  1. iMessage/FaceTime exploit: Envían un iMessage invisible. La app procesa el mensaje automáticamente antes de que lo veas. El exploit ejecuta código y instala Pegasus. iOS 14.6 parcheado en 2021 tras “FORCEDENTRY”.
  2. WhatsApp call: En 2019, llamada de WhatsApp que no contestas. La vulnerabilidad en VoIP inyectaba Pegasus por buffer overflow. Meta demandó a NSO.
  3. Redirección de red: Operador móvil cómplice redirige tu tráfico al pasar por una web normal. Inyectan el exploit en la respuesta HTTP. Esto lo usó Pegasus en Marruecos y Arabia Saudí.

Qué hace una vez dentro:

  1. Exfiltra todo: Mensajes Signal/WhatsApp antes de cifrado, fotos, contactos, GPS 24/7, calendario, micrófono y cámara en vivo
  2. Persistencia: Se oculta en el sistema. Si reinicias, a veces se reinstala vía exploit de red
  3. Anti-forense: Se auto-borra si detecta análisis. No deja icono ni consumo batería visible

Detección: Solo con análisis forense de logs. Amnistía tiene MVT Toolkit gratuito. En 2021 encontraron Pegasus en 37 de 67 teléfonos analizados.

2. Quién controla Pegasus

NSO Group dice:

  1. Solo vende a “gobiernos verificados” para “terrorismo y crimen grave”
  2. NSO no opera el software. Lo entrega al cliente y el cliente elige objetivos
  3. Tiene “lista negra” de números: EEUU, UK, Israel no se pueden espiar

Realidad documentada:

  1. Clientes confirmados 2021: México, Arabia Saudí, India, Hungría, España, Marruecos, UAE, Ruanda, Togo, Kazajistán. Lista de Forbidden Stories “Pegasus Project”
  2. España: CNI compró Pegasus en 2015. Usado contra 65 independentistas catalanes 2017-2020 según Citizen Lab “CatalanGate”. También infectó móviles de Pedro Sánchez y Margarita Robles 2021. CNI lo reconoció ante comisión de secretos.
  3. Quién decide objetivos: El gobierno cliente. NSO da la pistola, el cliente aprieta el gatillo. NSO puede revocar licencia, y lo hizo con UAE en 2021 tras espiar a periodistas. 

Dueños de NSO: Novalpina Capital UK desde 2019, antes Francisco Partners EEUU. Fundadores israelíes Omri Lavie, Shalev Hulio, Niv Karmi, ex-Unidad 8200 del ejército israelí.

3. ¿Es legal? Violación DDHH y ONU

Lo que dice NSO/Estados: Es legal porque cada país tiene leyes de “seguridad nacional” que permiten interceptación con orden judicial. NSO exige que el cliente tenga marco legal.

Lo que dice el Derecho Internacional:

Organismo

Posición

Documento

ONU Relator Privacidad 2019

Vigilancia masiva viola art. 12 Declaración DDHH y art. 17 PIDCP

Informe A/HRC/40/63

TEDH 2021

Big Brother Watch vs UK: retención masiva sin sospecha individual es ilegal

Sentencia 58170/13

Parlamento Europeo 2022

Pegasus usado ilegalmente en UE contra políticos/periodistas. Pide moratoria

Informe PEGA

Amnistía Internacional

Pegasus es “arma digital” usada para represión. Viola derecho privacidad, libertad expresión

Informe 2021

Caso España: Ley Secretos Oficiales 1968 + Ley CNI 2002 permiten al CNI interceptar con autorización juez del Supremo. El problema: es secreta. No sabes si te espían ni puedes recurrir. El TEDH dice que eso no cumple “garantías mínimas”.

ONU fake? ONU no tiene poder ejecutivo. Resoluciones no son vinculantes. EEUU financia 22% del presupuesto. Israel ignora 45 resoluciones sobre Palestina desde 1967 sin sanción. Por eso muchos la llaman “fake”.

4. Por qué sigue existiendo si viola DDHH

  1. Excusa legal: “Seguridad nacional” está por encima de RGPD art. 23 y de constituciones
  2. Secreto: Contratos NSO son confidenciales. No sabes quién lo tiene hasta que Citizen Lab lo descubre
  3. Dinero: Licencia Pegasus = 7-8M $ para espiar 50 móviles/año. NSO facturó 250M $ en 2018
  4. Impunitad: Ningún presidente ha ido a cárcel por usarlo. Multas a NSO: 0. Meta ganó demanda civil, pero NSO sigue vendiendo

Patrón: Se filtra → escándalo → “investigaremos” → comisión secreta → no pasa nada → siguen comprando.

5. Cómo protegerte técnicamente

No hay 100% protección si eres objetivo de Estado. Pero mitiga:

  1. iPhone: Actualiza siempre. Modo Lockdown iOS 16+ bloquea muchos zero-click
  2. Android: GrapheneOS sin Play Services. Reinicia cada día: Pegasus no persiste tras reinicio en muchos casos
  3. Comportamiento: No uses SMS, usa Signal con mensajes que desaparecen. Asume que micrófono está abierto en reuniones sensibles

Si eres FCSE: El CNI tiene Pegasus legal con orden judicial. El uso fuera de ese marco es delito art. 197 Código Penal España.

Enlaces documentos públicos:

  1. Citizen Lab “CatalanGate” 2022: Detalla 65 casos España, con forense
  2. Amnesty “Forensic Methodology Report” 2021: Explica zero-click iMessage pág 8-14
  3. PEGA EU Parliament 2023: Lista países UE que compraron Pegasus, pág 23 

Cercar en aquest blog

Arxiu del blog