Qué es y cómo funciona Pegasus: el ‘software’ capaz de controlar un smartphone sin que el dueño lo sepa

El 2 de mayo el Gobierno anunció que los teléfonos móviles de Pedro Sánchez y de Margarita Robles fueron infectados con el software Pegasus. El ministro de la Presidencia, Relaciones con las Cortes y Memoria Democrática, Félix Bolaños, aseguró en rueda de prensa que ambos habían sido sometidos a escuchas “ilícitas y externas”.

¿Qué es Pegasus?

Como explica el consorcio de periodistas de investigación OCCRP en su web, Pegasus es un software desarrollado por la compañía israelí NSO Group que permite hacerse con el control remoto de un dispositivo móvil sin que el usuario sea consciente de ello.

¿Cómo funciona Pegasus?

Las formas de que Pegasus acceda a un dispositivo móvil son variadas. Por un lado, existe una versión más clásica que requiere la acción del usuario accediendo a un enlace que le ha podido llegar por SMS, WhatsApp, email, un mensaje que vea por redes sociales; o descargando archivos, como podría ser el caso de Pedro Sánchez.

Sin embargo, la forma de hackeo más empleada no requiere siquiera la acción del usuario. Según las declaraciones de Claudio Guarnieri, jefe del Laboratorio de seguridad de Amnistía Internacional, recogidas por OCCRP, la mayoría de los casos se dieron a través de “ataques cero-click” (Zero-click exploits en inglés) que se aprovechan de fallos en la seguridad de aplicaciones como iMessage, WhatsApp y FaceTime e instalan el spyware sin que el usuario intervenga. Simplemente con la recepción del mensaje o de la llamada, el dispositivo ya estaría infectado.

Una vez que Pegasus ha accedido al teléfono, lo que puede hacer en él sin que el usuario sea consciente es prácticamente ilimitado. Se puede controlar de forma remota activando la cámara y el micrófono del dispositivo sin necesidad de que estén en uso, así como la localización de su GPS. También permite hacerse con el contenido del smartphone accediendo a las contraseñas guardadas y entrando a las aplicaciones como WhatsApp, mensajes, emails o fotografías. Además, es capaz de grabar conversaciones telefónicas, pulsaciones en el teclado y la pantalla del dispositivo.

Más de 50.000 teléfonos infectados por el software Pegasus en cinco años

En total, más de 50.000 números de teléfono de 50 países diferentes pudieron ser infectados entre 2016 y 2021 por la compañía israelí NSO Group, supuestamente contratada por Estados a través de agencias de inteligencia, agencias de seguridad y cuerpos militares, según la propia empresa.

Según las informaciones publicadas por el consorcio de medios de comunicación coordinado por Forbidden Stories y Amnistía Internacional, entre las personas a las que se intentó infectar con el software Pegasus estaban, entre otros, periodistas, políticos, militares, activistas y ejecutivos. Además, el país al que pertenecían la mayor parte de objetivos es México, donde se contabilizaron más de 15.000 números de teléfono.

En España, además de Pedro Sánchez y Margarita Sánchez, el laboratorio canadiense Citizen Lab indicó que los teléfonos de 65 políticos independentistas y activistas catalanes habían sido infectados por el software Pegasus.