Pegasus Spyware

¿Qué es Pegasus Spyware?

Pegasus es el software espía (spyware) más sofisticado y peligroso conocido públicamente. Desarrollado por la empresa israelí NSO Group, representa el estado del arte en tecnología de vigilancia digital, combinando múltiples exploits zero-day, técnicas anti-forenses avanzadas, y capacidades de control total del dispositivo.

A diferencia del malware común, Pegasus es una herramienta de espionaje de grado militar vendida exclusivamente a gobiernos y agencias de inteligencia. Su sofisticación es tal que puede interceptar comunicaciones supuestamente “seguras” (WhatsApp, Signal, Telegram) leyendo los mensajes directamente en el dispositivo infectado, antes del cifrado o después del descifrado.

El caso más resonante ocurrió en mayo de 2025, cuando un jurado federal de Estados Unidos dictaminó que NSO Group debía pagar 167,25 millones de dólares a WhatsApp (Meta) por hackear a más de 1.400 usuarios mediante una vulnerabilidad zero-click en 2019.

Análisis completo del caso NSO Group vs WhatsApp

Historia y evolución de Pegasus

Cronología del spyware más peligroso

Víctimas documentadas

El Proyecto Pegasus (investigación de 2021 por 17 medios internacionales) reveló que entre los objetivos de vigilancia estaban:

• Periodistas: Más de 180, incluyendo colaboradores de Financial Times, CNN, The New York Times
• Activistas: Defensores de derechos humanos en México, Marruecos, India
• Políticos: Presidentes, primeros ministros, ministros de al menos 10 países
• Abogados: Defensores en casos de derechos humanos
• Empresarios: Ejecutivos de alto nivel

Cómo funciona Pegasus: análisis técnico

Vectores de infección

Pegasus ha evolucionado a través de múltiples generaciones de exploits:

Ejemplo técnico: Exploit WhatsApp 2019

# Flujo de ataque documentado

1. Atacante → [Llamada VoIP WhatsApp] → Víctima
                                              ↓
2. Procesamiento de llamada entrante (sin responder)
                                              ↓
3. Buffer overflow en VOIP codec (CVE-2019-3568)
                                              ↓
4. RCE (Remote Code Execution) con privilegios de WhatsApp
                                              ↓
5. Escalada de privilegios a root (chain de exploits)
                                              ↓
6. Instalación silenciosa de Pegasus
                                              ↓
7. Borrado de logs de instalación
                                              ↓
8. Víctima no ve nada en pantalla

Lo crítico: No hay notificación, no hay alerta, no hay entrada en registro de llamadas.

Capacidades documentadas de Pegasus

Técnicas anti-forenses

Pegasus está diseñado para ser invisible:

# Técnicas documentadas de evasión

1. Rootkit avanzado (kernel-level)
   - Oculta procesos del system monitor
   - Oculta archivos del filesystem
   - Oculta conexiones de red

2. Fileless execution
   - Ejecuta código en memoria RAM
   - No deja binarios en disco
   - Dificulta análisis post-mortem

3. Self-destruct
   - Auto-eliminación si detecta análisis
   - Borra logs y artefactos
   - Puede "suicidarse" tras roaming internacional

4. Limpieza de logs
   - Elimina entradas en syslog
   - Modifica timestamps (anti-forensics)
   - Borra crash reports

5. Comunicación encubierta
   - C2 vía HTTPS legítimo (mimicry)
   - Usa CDNs populares (Amazon, Azure)
   - Traffic shaping para parecer normal

Cómo detectar Pegasus: perspectiva del perito forense

Como perito informático, he desarrollado una metodología específica para detectar indicadores de compromiso por Pegasus:

Herramientas forenses especializadas

1. Mobile Verification Toolkit (MVT)

# Instalación
pip3 install mvt

# Análisis de backup iOS
mvt-ios check-backup --output /casos/cliente-001/ /backups/iphone-backup/

# Buscar IOCs conocidos de Pegasus
mvt-ios check-backup --iocs pegasus.stix2 /backups/iphone-backup/

# Generar timeline
mvt-ios check-backup --output results/ --timeline backup/

MVT (desarrollado por Amnesty International) es la herramienta de referencia para detectar Pegasus en dispositivos iOS y Android.

2. Análisis de logs del sistema

# iOS: Extracción de sysdiagnose
# Conectar iPhone → Settings → Privacy → Analytics →
# Analytics Data → sysdiagnose_YYYY.MM.DD_*.tar.gz

# Buscar procesos sospechosos
grep -r "NSO" sysdiagnose/
grep -r "pegasus" sysdiagnose/
grep -r "trident" sysdiagnose/  # Nombre código exploit 2016

# Análisis de crashlogs
cd sysdiagnose/logs/CrashReporter/
grep -l "SpringBoard" *.ips | xargs cat | grep -A 10 "Exception"

# Conexiones de red sospechosas
grep -r "185.220.101" sysdiagnose/  # IP conocida de C2 NSO

3. Indicadores de compromiso (IOCs)

// IOCs conocidos de Pegasus (2023-2026)

{
  "domains": [
    "*.cloudfront.net",
    "lcdn.net",
    "textdrivr.com",
    "*.ams.org"
  ],
  "ips": [
    "185.220.101.42",
    "51.254.114.21",
    "46.166.160.120"
  ],
  "processes": [
    "bh",
    "msgstore",
    "rolld"
  ],
  "file_paths": [
    "/private/var/db/DataDetectors.framework/",
    "/private/var/preferences/com.apple.persistentconnection.plist"
  ]
}

Señales de advertencia para usuarios

Aunque Pegasus es casi invisible, algunos síntomas pueden indicar compromiso:

• ⚠️ Batería se drena inusualmente rápido (grabación constante)
• ⚠️ Dispositivo se calienta sin uso intensivo
• ⚠️ Datos móviles se consumen sin explicación (exfiltración)
• ⚠️ Comportamiento errático (apps se abren solas, reinicios)
• ⚠️ SMS extraños con enlaces (generación 1, menos común ahora)

Protocolo de análisis forense

Cuando un cliente sospecha infección por Pegasus:

Caso histórico: NSO Group vs WhatsApp (2025)

Los hechos

En mayo de 2019, investigadores de WhatsApp descubrieron que NSO Group había explotado una vulnerabilidad zero-click (CVE-2019-3568) para instalar Pegasus en más de 1.400 dispositivos de usuarios.

La técnica:

Atacante hace llamada VoIP → Buffer overflow en codec →
RCE + privilege escalation → Instalación silenciosa de Pegasus →
Llamada se cancela antes de que aparezca en pantalla

La demanda judicial

WhatsApp demandó a NSO en octubre de 2019 en tribunal federal de Estados Unidos por:

1. Violación de CFAA (Computer Fraud and Abuse Act)
2. Violación de DMCA (Digital Millennium Copyright Act)
3. Breach of contract (Términos de servicio de WhatsApp)
4. Unjust enrichment

El veredicto histórico (mayo 2025)

El jurado determinó:

Precedente legal crucial: Primera vez que un tribunal estadounidense responsabiliza directamente a un fabricante de spyware comercial.

Análisis completo del caso judicial

Marco legal y ético

¿Es legal Pegasus?

Depende del uso:

✅ Legal (en teoría):

• Uso por fuerzas de seguridad con orden judicial
• Investigación de terrorismo y crimen organizado grave
• Autorización de juez competente

❌ Ilegal:

• Espionaje sin autorización judicial
• Vigilancia masiva indiscriminada
• Uso contra periodistas, activistas, abogados sin causa justificada
• Venta a regímenes autoritarios con historial de represión

Legislación española aplicable

Importante: Incluso con autorización judicial, el uso de Pegasus debe cumplir principios de proporcionalidad, necesidad y especialidad. La simple gravedad del delito no justifica automáticamente su uso.

Casos españoles conocidos

• 2023: Cataluña-Gate: Más de 60 políticos, activistas y abogados catalanes espiados con Pegasus
• 2022: Teléfonos de Pedro Sánchez (presidente) y Margarita Robles (ministra Defensa) comprometidos
• 2021: Ciudadanos catalanes denuncian espionaje masivo

Cómo protegerse de Pegasus

Medidas técnicas

1. **Mantener sistema operativo actualizado**
   - iOS/Android con últimos parches de seguridad
   - Activar actualizaciones automáticas

2. **Activar Lockdown Mode (iOS 16+)**
   - Settings → Privacy & Security → Lockdown Mode
   - Desactiva funciones susceptibles de exploit

3. **Reiniciar dispositivo diariamente**
   - Pegasus pierde persistencia tras reinicio (algunos modelos)
   - No es solución definitiva, pero dificulta operación

4. **Evitar perfiles de alto riesgo**
   - Si eres periodista/activista en país represivo
   - Usar dispositivo "quemable" para comunicaciones sensibles

5. **Auditorías forenses periódicas**
   - Análisis profesional cada 3-6 meses
   - Especialmente si notas comportamientos extraños

Lockdown Mode: La respuesta de Apple

En respuesta directa a Pegasus, Apple introdujo Lockdown Mode en iOS 16 (2022):

Restricciones activadas:

• Bloquea adjuntos de mensajes (excepto imágenes básicas)
• Deshabilita previsualizaciones de enlaces
• Bloquea invitaciones FaceTime de desconocidos
• Desactiva JavaScript JIT en Safari
• Bloquea conexiones USB en modo bloqueado
• Desactiva perfiles de configuración

Análisis forense de Lockdown Mode

Pegasus en peritaje informático

Cuándo sospecho Pegasus en un caso

Como perito, considero posible presencia de Pegasus cuando:

✅ El cliente es perfil de alto valor:

• Periodista investigando corrupción
• Activista de derechos humanos
• Abogado en casos sensibles
• Opositor político
• Ejecutivo con información comercial valiosa

✅ Hay evidencia circunstancial:

• Información confidencial “filtrada” sin explicación
• Adversarios muestran conocimiento de comunicaciones privadas
• Sincronía temporal entre conversaciones privadas y acciones de terceros

✅ El dispositivo muestra anomalías técnicas:

• Consumo de batería inexplicable
• Datos móviles elevados sin justificación
• Avisos de Apple/Google sobre “ataque patrocinado por estado”

Informe pericial tipo

Mi informe en casos de sospecha de Pegasus incluye:

# INFORME PERICIAL: ANÁLISIS FORENSE DISPOSITIVO MÓVIL
## Caso: [ID]/[Año] - Posible infección Pegasus

### 1. OBJETO DEL PERITAJE
Determinar si el dispositivo iPhone modelo [X] del cliente
ha sido comprometido con software de espionaje avanzado

### 2. METODOLOGÍA
- Análisis con Mobile Verification Toolkit (MVT)
- Extracción forense con checkra1n + libimobiledevice
- Correlación con IOCs publicados por Amnesty Tech
- Análisis de logs del sistema (sysdiagnose)
- Revisión de tráfico de red capturado

### 3. HALLAZGOS
- [IOC-001] Conexión a dominio lcdn.net (C2 conocido NSO)
- [IOC-002] Proceso "rolld" con comportamiento anómalo
- [IOC-003] Modificaciones en DataDetectors.framework

### 4. CONCLUSIONES
Con grado de certeza [ALTO/MEDIO/BAJO]:
El dispositivo presenta indicadores compatibles con
infección por Pegasus spyware, específicamente versión...

### 5. CADENA DE CUSTODIA
[Hashes SHA-256, logs de acceso, testimonios]

### 6. ANEXOS
- Anexo I: IOCs completos
- Anexo II: Output completo de MVT
- Anexo III: Documentación técnica NSO Group

Relación con otros conceptos

• Zero-Day: Pegasus explota múltiples vulnerabilidades zero-day
• WhatsApp Forense: Análisis de dispositivos comprometidos vía WhatsApp
• Cadena de Custodia: Crítica en casos de spyware para validez judicial
• Cifrado Extremo-Extremo: Por qué no protege contra spyware local

Conclusión

Pegasus representa la cumbre de la tecnología de vigilancia digital. Su sofisticación es tal que incluso gigantes tecnológicos como Apple reconocen la dificultad de defenderse completamente contra él.

Como perito informático forense, enfatizo tres puntos cruciales:

1. Detección requiere especialización: No es detectable por antivirus comerciales
2. Evidencia puede ser efímera: Técnicas anti-forenses dificultan análisis post-mortem
3. Contexto legal es fundamental: El uso de Pegasus sin autorización judicial es delito grave

Si sospechas que tu dispositivo está comprometido con Pegasus, contacta inmediatamente con un perito informático especializado en análisis forense móvil.

Última actualización: 4 febrero 2026 Categoría: Seguridad Código: MAL-005

¿Necesitas análisis forense de dispositivo comprometido? Como perito informático con experiencia en casos de spyware avanzado, puedo realizar análisis técnico completo y elaborar informe pericial con validez judicial.

Contactar para análisis forense | Ver casos de spyware