En mayo de 2022 el Gobierno español confirmó algo insólito: los teléfonos del presidente Pedro Sánchez y de la ministra de Defensa habían sido infectados con Pegasus. Unas semanas antes, Citizen Lab había publicado el informe conocido como CatalanGate. El spyware mercenario dejó de ser una historia de otros países. Merece la pena entender qué es, qué puede hacer y qué margen de defensa real tienes.
Qué es Pegasus y quién lo vende
Pegasus es un programa espía desarrollado por NSO Group, una empresa israelí que lo vende, según ella misma, solo a gobiernos. Una vez dentro del teléfono, tiene acceso prácticamente total: mensajes (incluidos los de apps cifradas, porque los lee ya descifrados en tu pantalla), micrófono, cámara, ubicación, fotos, contraseñas.
NSO no está sola. Existe todo un mercado de spyware mercenario: Candiru (también israelí, presente en CatalanGate), Intellexa y su spyware Predator (en el centro del escándalo de escuchas en Grecia), y otras firmas que compiten por los mismos clientes. El negocio es lo bastante real como para que Estados Unidos incluyera a NSO Group y Candiru en su lista de entidades sancionadas en 2021, y para que el Parlamento Europeo dedicara una comisión de investigación (PEGA) al uso de este software en la UE.
Lo relevante para ti: no hablamos de virus masivos, sino de ataques dirigidos y caros. Cada objetivo cuesta dinero. Eso define tanto el riesgo (bajo para la mayoría) como la defensa (encarecer el ataque funciona).
Qué significa “zero-click”
Los troyanos clásicos necesitan engañarte: que abras un enlace, que instales algo. Un ataque zero-click no requiere ninguna acción tuya. El atacante envía un mensaje especialmente construido —un iMessage, un GIF, una llamada— y el fallo se dispara cuando tu teléfono lo procesa automáticamente, antes incluso de que veas nada. No hay descuido que evitar, porque no participas.
Dos casos documentados lo ilustran. En 2019, una vulnerabilidad en las llamadas de WhatsApp permitió infectar móviles con solo llamar, sin que la víctima descolgara; WhatsApp notificó el ataque a alrededor de 1.400 usuarios y demandó a NSO. En 2021, Citizen Lab descubrió FORCEDENTRY, un exploit zero-click de iMessage que infectaba iPhones completamente actualizados.
La lección técnica: la puerta de entrada son los componentes que procesan contenido ajeno sin preguntarte (mensajería, imágenes, códecs). Cuanta más superficie de ese tipo tiene un sistema, más opciones tiene el atacante.
CatalanGate y los casos europeos
En abril de 2022, Citizen Lab (Universidad de Toronto) documentó que al menos 65 personas del ámbito político y civil catalán habían sido objetivo o víctimas de Pegasus o Candiru: cargos electos, eurodiputados, abogados, activistas y también familiares. Es, según el propio Citizen Lab, uno de los mayores grupos de víctimas documentado hasta esa fecha. Semanas después llegó la confirmación de las infecciones en los teléfonos del presidente y de la ministra de Defensa, y la crisis se llevó por delante a la directora del CNI.
España no es una excepción europea. El Pegasus Project (2021), una investigación periodística internacional, destapó el uso de Pegasus contra periodistas y opositores en varios países, con casos confirmados forensemente en Hungría entre otros. En Grecia, el spyware Predator y las escuchas a un periodista y a un líder de la oposición forzaron dimisiones en 2022. En Polonia, el uso de Pegasus contra la oposición acabó ante comisiones de investigación.
El patrón se repite: los objetivos no son solo políticos. Son periodistas, abogados y activistas — gente cuyo trabajo consiste en manejar información que incomoda a alguien con presupuesto.
Por qué un iOS o un Android de serie no bastan
Apple y Google no son negligentes: parchean, endurecen y hasta demandan a NSO. Pero juegan con desventajas estructurales:
- Monocultivo. Un exploit para iMessage o para el Android estándar vale contra cientos de millones de dispositivos idénticos. La inversión en encontrarlo se amortiza sola.
- Superficie enorme. Servicios de nube, mensajería integrada, procesamiento automático de contenido por todas partes: cada pieza es una puerta potencial.
- Parches lentos en gran parte del ecosistema Android: muchos fabricantes tardan semanas o meses en distribuir correcciones que ya son públicas.
- Persistencia cómoda. Un sistema que casi nunca se reinicia es un sistema donde un implante en memoria vive tranquilo.
Apple introdujo el modo Lockdown en 2022 precisamente por esto: reconoce que su configuración por defecto no está pensada para personas bajo ataque dirigido.
Qué mitiga GrapheneOS (sin cuentos)
GrapheneOS está diseñado asumiendo que el atacante es competente. Contra el spyware mercenario aporta cuatro cosas concretas:
- Memoria endurecida. Casi todos estos exploits corrompen memoria para tomar el control. GrapheneOS sustituye el gestor de memoria por uno reforzado (hardened_malloc) y, en los Pixel recientes, lo respalda con protección del propio procesador. Exploits que funcionan en un Android normal fallan aquí o exigen reescribirse a medida.
- Menos superficie de ataque. Sin servicios de Google privilegiados, con componentes prescindibles eliminados o desactivables, y con controles por app (red, sensores). Menos código procesando contenido ajeno = menos puertas.
- Reinicio automático. La mayoría de implantes modernos no se instalan de forma persistente —precisamente para no dejar rastro forense— y viven solo en memoria. GrapheneOS se reinicia solo tras un periodo de inactividad, expulsándolos. No impide la reinfección, pero obliga al atacante a gastar su exploit una y otra vez, y cada uso es una oportunidad de que lo detecten.
- Actualizaciones rápidas y perfiles. Los parches llegan antes que en la mayoría de móviles de fábrica, y los perfiles de usuario compartimentan: lo que compromete un perfil no se pasea por los demás.
Y ahora la parte honesta, porque es nuestra marca: esto reduce y encarece el ataque, no lo elimina. Un actor con exploits de día cero y presupuesto estatal puede seguir teniendo opciones contra cualquier dispositivo del mercado. La defensa realista no es la invulnerabilidad: es dejar de ser un objetivo barato. Este post forma parte de una foto más amplia que contamos en las 7 amenazas reales que GrapheneOS bloquea (y las que no).
Señales de compromiso y qué hacer
Malas noticias primero: Pegasus está diseñado para no dar señales. Batería, calentamiento o “el móvil va raro” no son indicadores fiables en ningún sentido. Lo que sí puedes hacer:
- Análisis forense con MVT. El Mobile Verification Toolkit, de Amnistía Internacional, busca indicadores conocidos de Pegasus y otros spyware en copias de seguridad del teléfono. Requiere manos técnicas, pero es la vía seria.
- Pedir ayuda especializada. Si eres periodista, abogado o activista, organizaciones como Access Now (línea de ayuda de seguridad digital), Amnesty Tech o Citizen Lab analizan casos de colectivos en riesgo.
- Atender las notificaciones de amenaza. Apple avisa a usuarios que detecta como objetivo de spyware mercenario. No son spam: varios casos de CatalanGate empezaron por una de esas alertas.
- Reiniciar con frecuencia. Rompe los implantes sin persistencia. En GrapheneOS ocurre solo; en cualquier otro móvil, hazlo tú a diario si tu perfil de riesgo lo justifica.
- No restaurar de fábrica a la primera. Si sospechas una infección y puede acabar en denuncia o investigación, el reseteo destruye las pruebas. Primero análisis, después limpieza.
- Olvidarse del modo avión como remedio. No elimina nada: un spyware instalado sigue recogiendo datos y los enviará cuando vuelva la conexión.
La defensa realista
Contra el spyware mercenario no existe la bala de plata, existe la aritmética: cada capa que añades sube el precio de atacarte, y los presupuestos —incluso los estatales— son finitos. Un sistema endurecido, que se reinicia solo, que parchea rápido y que expone menos puertas cambia esa aritmética de forma medible.
Es la razón de ser de nuestros teléfonos: un Pixel con GrapheneOS configurado a mano en sektel.com/configurar, con estas protecciones activadas y explicadas para que sepas exactamente qué te cubre cada una — y qué no.