Pegasus Project: spyware NSO contra periodistas mexicanos y la nueva era de targeted attacks
El 18 de julio el consorcio formado por Forbidden Stories, Amnesty International y 17 medios internacionales publicó el llamado Pegasus Project: una investigación coordinada sobre el uso del spyware Pegasus, desarrollado por la empresa israelí NSO Group, contra una lista filtrada de aproximadamente 50,000 números telefónicos identificados como objetivos potenciales en al menos 50 países. México apareció con uno de los conjuntos de casos más amplios y prominentes, incluyendo periodistas, defensores de derechos humanos, abogados y figuras políticas.
Para una empresa mexicana, esta investigación abre una conversación que muchos comités directivos no estaban teniendo: cómo proteger a ejecutivos de alto perfil frente a herramientas de vigilancia que ya no son ciencia ficción.
Qué hace Pegasus y por qué es distinto
Pegasus no es un virus tradicional. Es una plataforma de vigilancia comercial vendida (oficialmente) solo a gobiernos, capaz de comprometer un iPhone o un Android sin que el usuario haga clic en absolutamente nada. Las versiones documentadas en la investigación de Citizen Lab y Amnesty Tech usan exploits zero-click que aprovechan vulnerabilidades en iMessage, WhatsApp, FaceTime y otros vectores.
Una vez instalado, Pegasus tiene capacidades casi totales sobre el dispositivo:
- Lectura de mensajes, correos y notas, incluyendo apps cifradas como Signal y WhatsApp (porque accede al texto plano antes de cifrar).
- Acceso a la cámara y al micrófono en tiempo real.
- Lectura de la ubicación, contactos y agenda.
- Captura de credenciales y tokens de sesión guardados.
- Capacidad de borrarse a sí mismo si detecta análisis forense.
La diferencia con un troyano tradicional es que no requiere acción del usuario. No hay clic sospechoso, no hay descarga, no hay alerta. Y la huella forense es deliberadamente mínima.
Por qué el caso mexicano es especialmente relevante
Aunque la lista filtrada incluye números de muchos países, la presencia mexicana es notable. La investigación documenta números de periodistas como Cecilio Pineda (asesinado pocas semanas después de aparecer en la lista, según el reporte), familiares de víctimas de Ayotzinapa, defensores de derechos humanos y figuras políticas activas. No es la primera vez que el uso de Pegasus en México se hace público (Citizen Lab venía documentándolo desde 2017), pero la escala que se revela ahora cambia el panorama.
Para una empresa mexicana, hay tres lecturas:
- El ecosistema de spyware comercial es real, accesible y no se va a detener. Pegasus es el caso más visible, pero hay otros vendedores (Candiru, Cytrox, Hacking Team antes) operando en el mismo espacio.
- El blanco no siempre es político. Negocios estratégicos, fusiones, litigios internacionales, propiedad intelectual: cualquier disputa donde haya un actor con recursos puede traducirse en vigilancia dirigida.
- El threat model tradicional no aplica. Las defensas pensadas para empleados promedio (filtros de correo, MDM básico, antivirus) no detienen un ataque zero-click de nivel estado-nación.
Qué pueden hacer las empresas mexicanas
No estamos sugiriendo que toda empresa necesite defenderse de Pegasus. La realidad es que la mayoría no es objetivo. Pero hay un grupo claro que sí debe revisar su postura:
- C-level y miembros del consejo de empresas con disputas activas, contratos con gobierno o exposición política.
- Equipos legales y de M&A durante operaciones sensibles.
- Periodistas y comunicación corporativa que manejan información reservada.
- Personas con acceso a propiedad intelectual crítica (I+D, fórmulas, planes estratégicos).
Para este perfil, recomendamos:
Higiene mobile elevada
- iOS o Android actualizados al día. La mayoría de las cadenas de Pegasus documentadas se cierran cuando Apple o Google parchan los bugs subyacentes. Diferir actualizaciones es subsidiar al atacante.
- Reinicio diario del dispositivo. Suena trivial, pero varios exploits pierden persistencia con un reboot.
- Activar todas las protecciones nativas: bloqueo automático corto, biometría obligatoria, cifrado del backup.
Compartimentación
- Dispositivo dedicado para conversaciones sensibles, separado del teléfono personal y del corporativo.
- Uso de Signal o equivalentes con desaparición automática de mensajes, sabiendo que protege contra captura del canal pero no contra compromiso del endpoint.
- Reglas claras sobre qué se discute por mensaje y qué solo en persona.
Sweep periódico
- Análisis forense del dispositivo cada cierto tiempo con herramientas como Mobile Verification Toolkit (MVT) de Amnesty, especialmente después de viajes o eventos sensibles.
- Apoyo de un proveedor especializado en threat hunting móvil para perfiles de muy alto riesgo.
Travel security
- Dispositivos limpios para viajes a jurisdicciones de alto riesgo.
- Cero conexión a Wi-Fi públicas sin VPN confiable.
- Procedimiento de regreso: revisión, rotación de credenciales y, en casos extremos, descarte del dispositivo.
El componente cultural
La parte más difícil de implementar esto no es técnica. Es cultural. Pedirle a un director general que cargue dos teléfonos, reinicie todos los días o cambie sus hábitos de comunicación es una conversación incómoda. La forma de ganarla es enmarcarla como gestión de riesgo, no como paranoia: igual que se contratan seguros y guardaespaldas para ejecutivos en sectores expuestos, hay un componente digital que ya no se puede ignorar.
Cierre
El Pegasus Project marca un antes y un después en cómo las empresas deben pensar la seguridad de sus personas clave. Ya no se trata solo de proteger servidores y bases de datos: se trata de proteger a quienes toman las decisiones críticas y manejan la información más sensible. El costo de no hacerlo se mide en filtraciones, ventajas competitivas perdidas y, en los peores casos, en consecuencias mucho más graves que las financieras.
¿Tus ejecutivos están protegidos vs spyware? Hagamos assessment. Agenda 30 minutos con nuestro equipo y revisamos el perfil de riesgo y las medidas concretas para tu caso.
