Pegasus y protección de datos

Pegasus es una de las herramientas de espionaje más controvertidas del mundo, con implicaciones globales en materia de privacidad, derechos humanos y geopolítica.

Pegasus es un software espía desarrollado por la empresa israelí NSO Group. Se trata de una herramienta altamente sofisticada que explota vulnerabilidades zero-day y zero-click en dispositivos móviles, permitiendo el acceso remoto y total al contenido del teléfono, incluyendo mensajes, llamadas, correos electrónicos, ubicación en tiempo real y la activación discreta de la cámara o el micrófono sin que el usuario se percate.

NSO Group tiene su origen en la empresa de sus fundadores CommuniTake Technologies LTD que ofrecía a los trabajadores de soporte técnico de teléfonos móviles la capacidad de tomar el control para arreglarlos, si bien requería que el cliente otorgara permiso para habilitar el acceso. Esta base tecnológica se adaptó para fines más avanzados, marcando el origen de lo que se convertiría en un arma cibernética de élite.

Durante décadas, las fuerzas del orden y agencias de inteligencia interceptaban comunicaciones en tránsito, pero el auge de la encriptación de extremo a extremo en dispositivos modernos —como en WhatsApp o Signal— volvió obsoletas estas técnicas. Podían capturar datos, pero no descifrarlos. La tecnología de CommuniTake permitía recopilar información antes del cifrado, directamente desde el dispositivo. El desafío fue desarrollar métodos para hacerlo sin consentimiento, lo que impulsó la creación de NSO Group en 2010, enfocada en herramientas de vigilancia ofensiva.

La mayoría del equipo técnico de NSO Group está compuesto por veteranos de los servicios de inteligencia israelíes, principalmente de Aman (el Directorio de Inteligencia Militar) y la Unidad 8200, una élite cibernética que recluta solo a los candidatos más brillantes y los capacita en programación avanzada, ciberataques y desarrollo de malware. Esta unidad, análoga a la NSA estadounidense, ha producido algunos de los expertos en ciberseguridad más destacados del mundo, y su experiencia ha sido desarrollar herramientas como Pegasus.

En 2011, los ingenieros de NSO completaron la primera versión funcional de Pegasus. Inicialmente, los países europeos mostraron reticencia hacia NSO, temiendo que el software pudiera servir como puerta trasera para el Mossad, dada la procedencia de sus empleados. Estas preocupaciones sobre soberanía digital y posibles brechas de seguridad retrasaron su adopción en Occidente.

Para construir credibilidad internacional, NSO nombró como presidente al general israelí Avigdor «Yanush» Ben-Gal, un héroe de la Guerra de Yom Kippur y superviviente del Holocausto, quien estableció principios clave: ventas exclusivas a gobiernos soberanos, nunca a individuos o empresas; selección estricta de clientes basada en evaluaciones de derechos humanos; y colaboración con la Agencia de Control de Exportaciones de Defensa de Israel (DECA) para aprobar cada transacción. La última es una falsa concesión, pues al igual que con los proveedores de armas convencionales, los fabricantes de armas cibernéticas deben obtener licencias de exportación del Ministerio de Defensa de Israel para vender sus herramientas en el extranjero, lo que proporciona una palanca crucial para que el gobierno influya en las empresas y en los países que les compran dichas armas.

Pegasus al servicio de los Estados

NSO tuvo rápidamente su primera oportunidad: México, que en su batalla contra los cárteles de la droga buscaba herramientas para romper el cifrado de BlackBerry.

El Ministerio de Defensa de Israel aprobó la venta, y el Centro de Investigación y Seguridad Nacional (CISEN, ahora Centro Nacional de Inteligencia) utilizó Pegasus para interceptar las llamadas del Cártel de Sinaloa, llegando hasta su líder, Joaquín Guzmán Loera, conocido como «El Chapo». El narcotraficante más importante del mundo, quien cumple cadena perpetua en una prisión de máxima seguridad de Estados Unidos.

En 2017, investigadores de Citizen Lab, un laboratorio de vigilancia digital con sede en la Escuela Munk de Asuntos Globales de la Universidad de Toronto (Canadá), informaron que las autoridades mexicanas habían utilizado Pegasus para espiar a los abogados que trabajaban para desentrañar la masacre de 43 estudiantes de la Escuela Normal Rural de Ayotzinapa en octubre de 2014. No fue un caso aislado. El periodista Cecilio Pineda Brito fue asesinado en marzo de 2017, después de que la policía le acusara de pertenecer a un cartel de la droga local, también fue objetivo de Pegasus como «potencial objetivo a vigilar». El mismo grupo ha denunciado que El Salvador utilizó Pegasus para atacar a miembros de la prensa. Citizen Lab también denuncia que desde 2019 los militares mexicanos tienen y usan Pegasus para espiar a defensores de derechos humanos como Santiago Aguirre o María Luisa Aguilar.

Aunque no hay evidencia directa de que los contratos con NSO alteraran la política exterior mexicana hacia Israel, se observa un giro: tras décadas de votos en contra en la ONU, México ha optado por abstenciones en resoluciones críticas con Israel, sugiriendo posibles influencias diplomáticas.

Panamá también adquirió Pegasus. En 2009, el presidente Ricardo Martinelli, recién salido de una campaña presidencial basada en la promesa de eliminar la corrupción política, trató de persuadir a los diplomáticos estadounidenses para que le entregaran equipos de vigilancia para espiar amenazas a la seguridad, así como a opositores políticos, según un cable del Departamento de Estado publicado por WikiLeaks. Estados Unidos rechazó la petición de Martinelli, argumentando que no serían parte de ningún esfuerzo para expandir las escuchas telefónicas a objetivos políticos.

Ante el rechazo de Estados Unidos, Martinelli cambio de estrategia para acercarse a Israel. Panamá fue uno de seis países en la ONU que apoyó a Israel contra el Informe Goldstone sobre crímenes en Gaza (2008-2009). Una semana después, Martinelli visitó Tel Aviv, y pronto obtuvo Pegasus, autorizado por Israel en 2012-2014.

En 2013, Israel autorizó la venta del sistema a los Emiratos Árabes Unidos como gesto de reconciliación tras el asesinato de un líder de Hamás por el Mossad en una habitación del hotel Al Bustan Rotana de Dubai en 2010.

Los Emiratos Árabes Unidos no dudaron en desplegar Pegasus contra disidentes internos, como Ahmed Mansoor, activista y ganador del Premio Martín Ennals. En 2019, Mansoor fue condenado por publicar «información falsa, rumores y mentiras sobre los Emiratos Árabes Unidos» en Facebook y Twitter. La condena consistió en 10 años de prisión y una multa de 1.000.000 de dírhams de los Emiratos Árabes (unos 270.000 $). Su apelación fue rechazada el 31 de diciembre de 2018. Desde su encarcelamiento, Mansoor ha languidecido en régimen de aislamiento.

El 17 de septiembre de 2021, el Parlamento Europeo aprobó una resolución pidiendo a los Emiratos Árabes Unidos la liberación inmediata e incondicional de Ahmed Mansoor y de todos los defensores de los derechos humanos, activistas políticos y disidentes pacíficos, declarando que las autoridades emiratíes «violaron los derechos de Ahmed Mansoor con arrestos y detenciones arbitrarias, amenazas de muerte, agresiones físicas, vigilancia gubernamental y trato inhumano bajo custodia».

No es el único caso de abuso por parte de Emiratos Árabes Unidos. En 2021, el Alto Tribunal de Londres sentenció que el emir de Dubái, Mohammed sin Rashid al Maktum, ordenó el espionaje de su exesposa, la princesa Haya de Jordania, y su abogada, Fiona Shackleton, encargada de su defensa en el proceso de divorcio que se seguía bajo la jurisdicción británica. Tras ese descubrimiento, NSO puso fin al contrato con Emiratos Árabes Unidos.

Arabia Saudita también dispone de Pegasus, pese al veto inicial de Israel. Lo usó para espiar al periodista Jamal Khashoggi, a quien agentes saudíes mataron y desmembraron en el Consulado de Arabia Saudita en Estambul en 2018. Desde entonces, Israel vetó el uso de Pegasus a Arabia Saudita.

En julio de 2017, el primer ministro de India, Narendra Modi, visitó Tel Avid. Durante décadas, India había mantenido una política de lo que llamaba «compromiso con la causa palestina». Las relaciones con Israel eran frías, pero la visita de Modi y su reunión con el primer ministro israelí Netanyahu cambió las cosas. Sus países acordaron la venta de un paquete de armas sofisticadas y equipos de inteligencia por un valor aproximado de 2 mil millones de dólares, incluido Pegasus. En 2019, India votó a favor de Israel en las Naciones Unidas. En 2023, un informe de Amnistía Internacional reveló que India emplea el software espía Pegasus contra periodistas de alto perfil.

El presidente de Francia, Emmanuel Macron, el exprimer ministro Édouard Philippe y otros políticos franceses, así como periodistas y activistas galos figuran entre las víctimas o afectados potenciales del programa israelí utilizado por los servicios de seguridad de Marruecos. Una investigación de Amnistía Internacional reveló en 2021 que la activista saharaui Aminetu Haidar también fue espiada por Marruecos a través de Pegasus, así como el historiador Maati Monjyb, el abogado Abdessadak El Bouchattaoui y los periodistas Omar Radi y Hicham Mansouri.

Polonia también está en el punto de mira. Amnistía Internacional aseguró en 2021 tener pruebas de que emplearon Pegasus para interceptar las comunicaciones del senador polaco Krzysztof Brejza cuando se presentó a las elecciones parlamentarias de 2019 por un partido de oposición. En 2024, una comisión parlamentaria reveló cerca de 600 objetivos entre 2017 y 2022, incluidos políticos opositores, fiscales, periodistas y críticos del PiS.

Zbigniew Ziobro, exministro de Justicia, fue arrestado en 2025 por presuntos abusos relacionados con Pegasus y otras irregularidades, en el marco de investigaciones sobre vigilancia ilegal.

Pegasus en España

España no va a ser la excepción. Una investigación de The Guardian y El País en 2020 reveló que el móvil del expresidente del Parlament de Cataluña Roger Torrent fue objetivo del programa espía Pegasus a través de un fallo de seguridad en WhatsApp.

Amnistía Internacional publicó en agosto de 2021 una lista de víctimas de Pegasus en España. Son personas afines al independentismo catalán. Entre ellas se encuentran Elisenda Paluzie, expresidenta de la Assemblea Nacional Catalana, la periodista Meritxell Bonet, pareja de Jordi Cuixart, activista y expresidente de la asociación catalana Òmnium Cultural, condenado por el Tribunal Supremo por sedición, y Jordi Sànchez, expresidente de la Assemblea Nacional Catalana, condenado por el mismo cargo, si bien ambos fueron indultados por el Gobierno de Pedro Sánchez.

Citizen Lab también publicó en 2022 una lista de personas espiadas con Pegasus. Son más de sesenta personas, vinculadas con el independentismo en Cataluña. Entre ellas, se encuentra el president de la Generalitat, Pere Aragonès, todos sus antecesores en el cargo en la última década, miembros y exmiembros del Govern, diputados del Parlament y del Congreso, activistas, abogados, profesores universitarios, entre otros.

En mayo de 2022, el Gobierno de España informó que el teléfono móvil del presidente del Gobierno, de la ministra de Defensa y del ministro del Interior fueron atacados con Pegasus. Todas las sospechas señalan a Marruecos, aunque Marruecos nunca ha respondido a las acusaciones de espionaje.

El Centro Criptológico Nacional confirmó un intento fallido del terminal del ministro de Agricultura y ex embajador en Marruecos. La Audiencia Nacional se ocupó de la investigación, si bien, la causa por un delito de descubrimiento y revelación de secreto, que puso en jaque la propia seguridad nacional, fue archivada por orden del titular del Juzgado Central de Instrucción nº 4 de la Audiencia Nacional, José Luis Calama, ante la nula cooperación de Israel, que no contestó la comisión rogatoria enviada por la Audiencia Nacional.

Partidos como ERC, EH Bildu, PDeCAT, Junts y la CUP, con dirigentes y diputados espiados entre sus filas, así como Unidas Podemos, PNV, Más País y Compromís pidieron una comisión de investigación pública en el Congreso, que fue rechazada con los votos en contra de PSOE, PP, Vox y Cs.

Quien compareció, en la Comisión de Secretos Oficiales del Congreso de los Diputados, fue Paz Esteban, directora del Centro Nacional de Inteligencia (CNI), que reconoció que Pere Aragonès y otros diecisiete dirigentes independentistas fueron espiados con Pegasus, pero con autorización judicial. Días después, el Gobierno anunciaba, sin explicación alguna, la «sustitución» de Paz Esteban al frente del CNI y el nombramiento de Esperanza Casteleiro como sustituta. Algunos apuntan que dicho cese responde a las presiones de los grupos independentistas, socios del gobierno de Pedro Sánchez, quienes no estando satisfechos pidieron el cese de Margarita Robles. En tal sentido, el Parlament de Cataluña aprobó una moción registrada por ERC, con los votos a favor de Junts y la CUP y la abstención de Catalunya en Comú, instando el cese inmediato de la Ministra de Defensa, aunque no parece que vaya a tener efectos.

Lo que no queda claro es quien espió al resto de afines al independentismo en Cataluña. Hay quien señala a las Fuerzas y Cuerpos de Seguridad del Estado, si bien el presidente del Gobierno negó en el Congreso, en respuesta a preguntas del PNV, que la Guardia Civil y la Policía Nacional dispongan de Pegasus. La respuesta del presidente del gobierno coincide con una declaración pública de Fernando Grande-Marlaska, quien admitió solo el uso del sistema de escuchas SITEL, bajo mandato judicial. Si la Policía Nacional y la Guardia Civil no disponen de Pegasus, las opciones se reducen prácticamente a una: el Centro Nacional de Inteligencia (CNI) que depende del Ministerio de Defensa. Eso si los ataques no proceden del exterior. Sea como fuere, el tema sigue sin aclararse y no parece que se vaya a aclarar.

Según algunas fuentes, como el periódico británico The Guardian, unos doscientos móviles de ciudadanos españoles habrían sido seleccionados como objetivos de vigilancia.

A la fecha, existe una investigación judicial en curso, iniciada por el titular del Juzgado de Instrucción nº 29 de Barcelona, tras admitir la querella presentada por Pere Aragonés contra el CNI, en la que ha pedido al Gobierno que desclasifique documentos secretos del CNI para esclarecer si el móvil de Aragonés fue espiado a través de Pegasus. Al mismo tiempo, el juez instructor ha pedido a la Comisión Delegada de Asuntos de Inteligencia la desclasificación de informes reservados en torno a la adquisición de Pegasus, a fin de identificar «a las personas que actuaron en nombre del CNI en los procesos de encargo, compra, recepción, solicitud de información, formación o soporte técnico, identificándolos con el máximo de datos de identidad y localización de que dispongan».

Las autoridades comunitarias se pronuncian

El Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés) emitió un informe sobre Pegasus, señalando que su uso «supone un nivel de intrusismo sin precedentes, que amenaza la esencia del derecho a la privacidad, en tanto en cuanto el software espía puede interferir con los aspectos más íntimos de nuestras vidas diarias».

El informe también advierte que: «Dado que las características técnicas específicas de los programas espía como Pegasus dificultan enormemente el control de su uso, tenemos que replantearnos todo el sistema de salvaguardias establecidas para proteger nuestros derechos fundamentales y libertades que están en peligro con estos instrumentos». En definitiva, admiten que Pegasus es difícil de detectar.

En 2023, el Parlamento Europeo adoptó un informe de 145 páginas del comité PEGA, detallando abusos de spyware en países como Polonia, Hungría, Grecia y España, con evidencias forenses y audiencias. Identificó violaciones a derechos fundamentales y falta de supervisión en Estados miembros. El 15 de junio de 2023, el pleno del Parlamento Europeo adoptó una recomendación que describe reformas para frenar el abuso del software espía .

Herramientas alternativas a Pegasus

Pegasus no es la única herramienta de espionaje. Hay otras muchas, como Predator, un sistema de la empresa Cytrox, de características similares a las de Pegasus. Según las investigaciones de Citizen Lab esta herramienta ha podido ser utilizada por Armenia, Egipto, Grecia, Indonesia, Madagascar, Omán, Arabia Saudita y Serbia.

Otro programa spyware con las mismas ventajas que los citados es Reign, de la empresa israelí QuaDream, rival de NSO Group, cuya existencia se reveló durante el año 2021.

También está Candiru, una empresa de seguridad informática israelí fundada en 2014 y reconocida como una de las empresas de ciberespionaje más avanzadas.

Más información

Si tiene curiosidad por saber cómo funciona Pegasus, haciendo clic aquí, tendrá acceso a un informe completo sobre sus funcionalidades. Y si quieren saber si su teléfono está infectado por Pegasus, les dejo aquí un enlace a la herramienta Mobile Verification Toolkit desarrollada específicamente por el Laboratorio de Seguridad de Amnistía Internacional en julio de 2021 en el contexto del Proyecto Pegasus junto con una metodología técnica forense.