El primer paso para defenderse de Spywares tipo Pegasus es entender qué son y qué no son. Pegasus, desarrollado por NSO Group, es un tipo de spyware móvil diseñado para poner en peligro los smartphones modernos sin alertar al usuario. A diferencia del "stalkerware" convencional o del spyware de gama baja, que se basa en engañar al usuario para que instale aplicaciones maliciosas, Pegasus suele aprovechar vulnerabilidades desconocidas (de día cero) en aplicaciones de mensajería, bibliotecas de imágenes o componentes de banda base. Una vez instalado, puede acceder silenciosamente a mensajes, micrófono, cámara, ubicación y claves de cifrado, a menudo con los mismos privilegios que el sistema operativo del dispositivo.
Una característica que define a las herramientas del tipo Pegasus es el cambio hacia la explotación sin hacer clic. En lugar de necesitar que la víctima pulse sobre un enlace sospechoso, los atacantes utilizan como armas entradas que los dispositivos procesan automáticamente: notificaciones emergentes, paquete de datos de iMessage o archivos multimedia con diseños específicos. Los laboratorios de investigación han documentado exploits en los que bastaba con recibir una imagen a través de una aplicación de chat para comprometer un dispositivo. El sandbox iMessage BlastDoor y el modo Lockdown de Apple se introdujeron en parte para contrarrestar estas técnicas, pero los equipos ofensivos buscan continuamente nuevas vías para burlar estas defensas.
La cadena de infección suele desarrollarse por etapas. En primer lugar, el atacante identifica una entrada remota viable, comúnmente una aplicación o protocolo de consumo ampliamente desplegado. Luego, encadena varias vulnerabilidades: una para lograr la ejecución inicial de código en un proceso restringido, otra para escapar de los entornos aislados y una tercera para obtener el control a nivel del núcleo. Estos exploits deben funcionar infaliblemente en versiones de SO y perfiles de hardware específicos, razón por la cual las campañas de spyware móvil de gama alta tienden a centrarse en conjuntos de objetivos bien definidos (por ejemplo, modelos concretos de iPhone o Android utilizados por los dirigentes políticos de un país). Una vez establecido el control, se despliega el implante. A partir de ese momento, el teléfono comprometido se convierte en una plataforma de sensores para el operador.
Los implantes del tipo Pegasus pueden capturar contenido en texto plano incluso de aplicaciones cifradas de extremo a extremo, ya que se conectan al dispositivo antes del cifrado o después del descifrado. Pueden grabar llamadas silenciosamente, activar el micrófono para captar el audio ambiental de la habitación, filtrar documentos y fotos, y rastrear movimientos en tiempo real. Las variantes más sofisticadas utilizan arquitecturas modulares: el implante carga funciones específicas -como la captura de pantalla o el registro de pulsaciones de teclas- bajo demanda para minimizar su huella y reducir las posibilidades de detección.
Otro rasgo distintivo de los programas espía de tipo Pegasus es su agresivo sistema antiforense. Los implantes modernos están diseñados para borrar registros, aleatorizar artefactos y disfrazar su tráfico de red como actividad inocua de aplicaciones. Muchos se autodestruyen si detectan herramientas de depuración inusuales, comprobaciones de integridad del sistema operativo o anomalías en la configuración. Algunas campañas utilizan infraestructuras efímeras y dominios que cambian constantemente para dificultar la investigación retrospectiva. Estas técnicas no hacen imposible la detección, pero sí significan que sólo un puñado de laboratorios de todo el mundo han demostrado la capacidad de atribuir infecciones con un alto grado de confianza.
Para los responsables de la seguridad en las administraciones públicas y las empresas, las consecuencias son claras: el spyware de tipo Pegasus no es un riesgo teórico ni una preocupación exclusiva de los periodistas. Representa una capacidad altamente desarrollada y financiada que se ha desplegado repetidamente contra funcionarios, diplomáticos, figuras de la oposición y líderes empresariales cuyas comunicaciones determinan la política y los mercados. Entender cómo funcionan estas herramientas, y dónde pueden fallar las defensas de los teléfonos inteligentes de los consumidores, es un requisito previo para diseñar estrategias de protección realistas para usuarios de alto riesgo.
El trabajo forense de Citizen Lab ofrece una de las perspectivas más claras de cómo se utiliza realmente el spyware de tipo Pegasus. En sus detallados informes sobre cadenas de exploits zero-click como FORCEDENTRY y PWNYOURHOME, los investigadores documentan cómo una sola imagen maliciosa o un mensaje de iMessage invisible pueden desencadenar una sucesión de vulnerabilidades y, en última instancia, dar a un operador el control casi total de un iPhone.
Por ejemplo, en FORCEDENTRY, un archivo especialmente diseñado que se hacía pasar por un GIF abusaba de la biblioteca de renderizado de imágenes de Apple para lograr la ejecución arbitraria de código, tras lo cual se instalaba silenciosamente Pegasus. Puedes explorar esa investigación en profundidad aquí: Informe FORCEDENTRY de Citizen Lab.
Estas cadenas de exploits técnicos son importantes para ejecutivos y funcionarios porque cambian el modelo de amenazas. Los consejos tradicionales "no haga clic en enlaces sospechosos" simplemente no cubren los ataques zero-click. En múltiples campañas, incluidas las documentadas contra periodistas de Al Jazeera y organizaciones de la sociedad civil en México y Cataluña, las víctimas se vieron comprometidas sin siquiera pulsar un enlace. Los dispositivos fueron explotados mientras funcionaban con sistemas operativos totalmente parcheados en ese momento. La lección es incómoda: a nivel nacional, incluso las mejores prácticas de parcheado e higiene son necesarias pero no suficientes.
También es importante saber quién es el objetivo. Pegasus y otras herramientas similares son caras y sólo se venden, al menos nominalmente, a los gobiernos. Esto significa que están reservadas a personas cuyas comunicaciones son estratégicamente valiosas: funcionarios de gabinete, diplomáticos, personal de defensa e inteligencia, directores ejecutivos de industrias sensibles, abogados en litigios de alto riesgo y, a veces, sus familiares y allegados. Investigaciones como "The Great iPwn" detallan cómo los teléfonos de periodistas se vieron comprometidos como parte de luchas geopolíticas más amplias, y cómo familiares y ayudantes fueron el objetivo para llegar a una figura principal.
Otra tendencia es el avance hacia ecosistemas de programas espía multiplataforma. Aunque Pegasus es más conocido por sus operaciones en iOS, ahora los programas espía comerciales y estatales también atacan regularmente a Android. Las investigaciones sobre amenazas de empresas como Palo Alto Networks y Lookout han descrito familias de programas de vigilancia para Android que utilizan tácticas similares: aprovechamiento de los días cero en las bibliotecas de imágenes, abuso de los servicios de accesibilidad e instalación de implantes modulares para grabar audio, recopilar mensajes y rastrear la ubicación a largo plazo.
Un análisis reciente del programa espía LANDFALL, por ejemplo, mostraba cómo archivos de imagen malformados enviados a través de WhatsApp podían comprometer los dispositivos Samsung y desplegar un sofisticado marco de vigilancia. Desde una perspectiva operativa, estos casos muestran que el spyware móvil de gama alta rara vez se trata de un acceso puntual. Los operadores suelen mantener un acceso persistente, utilizan múltiples cadenas de exploits a lo largo del tiempo y pasan de un dispositivo comprometido a otros en el círculo de un objetivo. Pueden utilizar las infecciones iniciales para trazar gráficos sociales, comprender patrones de viaje o identificar qué conversaciones merecen una recopilación más intrusiva (como la captura del micrófono en directo durante las llamadas). Una vez incrustados, los implantes pueden ser extremadamente sigilosos, dejando rastros forenses mínimos y mezclando su tráfico de red con la actividad de aplicaciones legítimas.
Para las organizaciones que dependen en gran medida de los teléfonos inteligentes de los consumidores para el trabajo sensible, este conjunto de pruebas debería provocar una reevaluación de los supuestos. Los entornos de BYOD, en los que los iPhones y Androids personales actúan como centros de comunicación para los ejecutivos, están especialmente expuestos. Lo mismo ocurre con los equipos que operan o se comunican con jurisdicciones de alto riesgo en las que se han documentado repetidamente programas espía comerciales. Incluso sin nombrar proveedores concretos, los responsables de seguridad deben reconocer que las capacidades del estilo de Pegasus ya no son exóticas; forman parte de un ecosistema comercial más amplio que sigue innovando en torno al refuerzo y la mitigación de los sistemas operativos.
Ante este panorama, ¿qué pueden hacer los directivos para reducir su exposición a amenazas del tipo Pegasus sin paralizar sus operaciones? El primer paso es separar el riesgo móvil en niveles. No todos los empleados se enfrentan al mismo nivel de riesgo. Los consejos de administración, altos ejecutivos, responsables de seguridad nacional, equipos de acuerdos clave y determinadas funciones jurídicas y de comunicación merecen un nivel de protección mucho mayor que el resto de los empleados. Empiece por hacer un inventario de las personas que manejan conversaciones especialmente delicadas a través del móvil: fusiones y adquisiciones estratégicas, negociaciones geopolíticamente delicadas, exposición a sanciones, material clasificado o de exportación controlada, o comunicaciones que podrían mover los mercados o desestabilizar una situación si se expusieran.
Para este grupo de alto riesgo, las organizaciones adoptan cada vez más un modelo de doble dispositivo. Un dispositivo, a menudo un smartphone de consumo estándar, se mantiene para las aplicaciones cotidianas, la mensajería personal y los viajes habituales. Un segundo dispositivo se reserva únicamente para voz y mensajería confidencial. En ese dispositivo, las instalaciones de aplicaciones se controlan estrictamente, la configuración se bloquea y las actualizaciones del sistema operativo móvil y de la banda base se tratan como eventos operativos y no como procesos casuales en segundo plano. En algunos entornos, nunca se asocia con ID personales de Apple o cuentas de Google, y sólo puede conectarse a redes verificadas o a un servicio móvil seguro específico.
La política y la formación son tan importantes como la tecnología. Los ejecutivos y funcionarios deben tener una orientación clara sobre dónde es aceptable hablar de qué. Esto puede incluir prohibiciones explícitas sobre el uso de aplicaciones convencionales para discusiones en ciertos niveles de clasificación o sensibilidad, restricciones sobre llevar dispositivos primarios a determinados países o instalaciones, e instrucciones sobre el uso de alternativas seguras cuando se viaja. CISA y las agencias asociadas han publicado orientaciones en evolución sobre seguridad móvil y spyware que pueden utilizarse como referencia para las normas internas, por ejemplo, sus avisos sobre spyware comercial dirigido a aplicaciones de mensajería y usuarios de alto riesgo: CISA advisories index (Índice de avisos de CISA).
Las estrategias de detección y respuesta también deben adaptarse. Dado que los exploits zero-click pretenden dejar pocos rastros visibles, los defensores no pueden confiar en indicadores obvios como enlaces SMS extraños. En su lugar, necesitan una combinación de herramientas de defensa contra amenazas móviles, telemetría de red y procedimientos disciplinados de respuesta a incidentes en caso de sospecha de compromiso móvil.
Para las funciones de riesgo extremadamente alto, algunas organizaciones realizan revisiones forenses periódicas de los dispositivos móviles a través de laboratorios de confianza, sobre todo después de viajar a regiones donde el spyware tipo Pegasus ha sido fuertemente desplegado. Cuando surgen indicadores como fallos inesperados del sistema operativo, alertas de cuenta inexplicables o notificaciones de seguridad de los proveedores, es necesario contar con un manual ensayado de contención, sustitución y comunicación.
Los responsables deben considerar las amenazas tipo Pegasus como un motor estratégico para el cambio de arquitectura, no sólo como una razón para instalar otra herramienta. Si sus decisiones más delicadas pueden descarrilarse por el compromiso de un solo teléfono inteligente de consumo, eso es una señal para invertir en vías de comunicación reforzadas, minimizar la exposición de datos sensibles en dispositivos personales y adoptar plataformas que han sido diseñadas desde cero para resistir el spyware patrocinado por el Estado. Esto podría incluir teléfonos seguros, canales de voz de alta seguridad y entornos móviles estrictamente gestionados, desplegados en primer lugar para la pequeña población que realmente los necesita. Con el tiempo, este enfoque escalonado y basado en el riesgo puede reducir drásticamente la superficie de ataque de la organización, preservando al mismo tiempo la facilidad de uso que líderes ajetreados requieren.