Los archivos de Pegasus: Cómo el spyware de NSO alcanzó a 50.000 teléfonos
El veinte y segundo de abril de 2018. aeropuerto internacional de Dubai. una sala de detención.
Una mujer de 51 años llamada Hanan Elatr está detenida por las autoridades de los Emiratos Árabes Unidos.Es una azafata, una supervisora de una importante aerolínea internacional.También es esposa de un periodista saudí llamado Jamal Khashoggi.
Sus teléfonos están sentados en un escritorio, en algún lugar fuera de su vista, en posesión del personal de seguridad de los Emiratos Árabes Unidos.
A las 10:14 de la mañana, un funcionario no identificado de los Emiratos Árabes Unidos toma uno de sus teléfonos Android. El funcionario abre el navegador Chrome. El funcionario escribe una URL en la barra de direcciones - fumbling sobre las teclas pequeñas, haciendo dos errores de escritura en el camino, y luego pulsando "go".
La dirección es un enlace de infección de Pegasus.El sitio web fue construido específicamente para la cuenta del NSO Group del gobierno de los Emiratos Árabes Unidos.Existe con un propósito: instalar silenciosamente software de vigilancia en el teléfono de un objetivo.
Durante los siguientes cuarenta segundos, el teléfono envía veintisiete informes de estado de nuevo al servidor del operador de los EAU, actualizando el progreso de la instalación del spyware.
El proceso de compromiso total toma setenta y dos segundos.
Hanan Elatr no sabe nada de esto, está en una habitación separada, siendo interrogada sobre su marido.
Ella no sabrá lo que se hizo a su teléfono durante otros tres años.
Seis meses después, el 2 de octubre de 2018, el esposo de Hanan Elatr entra al consulado saudí en Estambul para recoger los documentos que necesita para su próxima boda.
Nunca sale.
Un escuadrón de quince miembros de agentes saudíes, varios de ellos estrechamente vinculados al príncipe heredero Mohammed bin Salman, se dirigió a Estambul en dos aviones privados esa mañana, lo estrangulaban dentro del consulado, le desmembraron el cuerpo y desecharon los restos de una manera que nunca se ha recuperado públicamente.
El gobierno turco, que ha escuchado en secreto el consulado saudí, captura el audio del asesinato.
Este expediente de caso no se trata del asesinato en sí, sino de lo que se ha documentado en otros lugares.
Este expediente de caso trata de lo que se hizo en los meses *antes* de que ingresara al consulado, de un software desarrollado por una pequeña empresa israelí, de las personas que lo construyeron, de los gobiernos que lo compraron y del mecanismo institucional que, más de siete años después, aún no ha producido una plena rendición de cuentas por lo que ha sido utilizado para hacer.
El software se llama Pegasus.
La compañía se llama NSO Group.
Este es el expediente del caso.
NSO Group fue fundada en 2010 por tres israelíes: Niv Karmi, Shalev Hulio, Omri Lavie, y el nombre de la compañía se construyó a partir de sus iniciales.
Los tres eran ex alumnos de las Fuerzas de Defensa de Israel. Karmi había servido en la inteligencia militar y el Mossad. Hulio sirvió como mayor en la unidad de búsqueda y rescate de las FDI. El linaje institucional que más importaba se extendió a través de la Unidad 8200 - la unidad de inteligencia de señales de élite de las FDI, a menudo descrita como la principal agencia de inteligencia técnica del mundo.
La Unidad 8200 es el análogo israelí de la Agencia de Seguridad Nacional de los Estados Unidos. Sus ex alumnos -algunos estiman que en 2026 habrá decenas de miles de veteranos- han fundado una parte sustancial de la industria de ciberseguridad de Israel. El equipo de investigación y desarrollo del Grupo NSO se ha descrito, en múltiples fuentes, como formado casi en su totalidad por ex personal de la Unidad 8200. El programa de capacitación más elitista de la Unidad 8200, llamado ARAM, acepta solo un puñado de reclutas y los capacita en programación avanzada de armas cibernéticas. Los empleados más valiosos del Grupo NSO son supuestamente graduados de ARAM y programas de élite similares.
La historia de origen público de los fundadores, principalmente según lo contado por Hulio en numerosas entrevistas, se desarrolla de la siguiente manera.
A finales de la década de 2000, Hulio y Lavie fundaron una empresa llamada CommuniTake, que proporcionaba soluciones remotas de problemas telefónicos para operadores celulares - software que permitía a los técnicos de soporte acceder y operar de forma remota a los teléfonos de los clientes para diagnosticar problemas.
Alrededor del 2009, Hulio dijo en entrevistas posteriores que una agencia europea de inteligencia no identificada se puso en contacto con ellos.La agencia tenía un problema.El cifrado estaba haciendo imposible la lectura de comunicaciones de objetivos que estaban legalmente autorizados a vigilar.La agencia estaba interesada en la tecnología de acceso remoto de CommuniTake. ¿Podría ser reutilizada?
Hulio y Lavie reconocieron la oportunidad, trajeron a Niv Karmi por su experiencia en el Mossad y la inteligencia militar, y en 2010 fundaron NSO Group, el producto que desarrollaron y nombraron Pegasus.
La estructura de precios de Pegasus, documentada a través de documentos judiciales en litigios posteriores, fue aproximadamente la siguiente: Cincuenta mil dólares en tarifas de configuración. Seiscientos cincuenta mil dólares por diez dispositivos objetivo simultáneos para iOS, precios similares para Android. niveles de ciberespiración ilimitados de hasta aproximadamente cuarenta millones de dólares para el despliegue gubernamental de espectro completo.
Estos precios ponían a Pegasus dentro del alcance institucional de cualquier servicio de inteligencia nacional, y explicaban por qué la base de clientes era exclusivamente gubernamental.
La posición declarada de la compañía, repetida en prácticamente todas las respuestas de prensa, era que Pegasus se vendió solo a clientes gubernamentales examinados para su uso en la lucha contra el terrorismo y el crimen grave.
El comportamiento real de los clientes, documentado por investigadores independientes durante la década siguiente, fue diferente.
A partir de aproximadamente 2016, un grupo de investigación de la Universidad de Toronto llamado Citizen Lab comenzó a documentar casos individuales de despliegue de Pegasus.El investigador principal era un investigador llamado Bill Marczak.Su metodología era forense: cuando activistas, periodistas o disidentes informaron de comportamiento telefónico anómalo, Marczak realizaría un análisis técnico de sus dispositivos, buscando indicadores de presencia de Pegasus.
Los hallazgos de cada caso, acumulados durante cinco años, establecieron un patrón.
El gobierno mexicano había sido uno de los primeros clientes del grupo NSO, firmando un contrato de veinte millones de dólares en 2012.Citizen Lab posteriormente identificó los despliegues de Pegasus contra periodistas de investigación mexicanos que habían estado informando sobre la corrupción gubernamental, incluidos los reporteros que trabajaban en la desaparición de cuarenta y tres estudiantes en Iguala en 2014.
Los Emiratos Árabes Unidos: el uso documentado contra activistas de derechos de las mujeres, incluida Loujain al-Hathloul, que fue secuestrada en 2018 y regresó a Arabia Saudita para ser arrestada y torturada.
Pegasus se desplegó contra periodistas, activistas de derechos humanos y disidentes en violación de cualquier definición razonable de terrorismo o de delito grave.
Arabia Saudita, el usuario más prolífico, casos que se extienden a lo largo de años.
Para el verano de 2018, el Citizen Lab había documentado compromisos en el círculo inmediato de Khashoggi.
Omar Abdulaziz, un blogger saudí disidente que vive en el exilio en Canadá, fue el principal colaborador de Khashoggi en proyectos de la oposición saudí.Los dos hombres habían estado usando WhatsApp para discutir planes para contrarrestar la propaganda de los medios sociales del estado saudí.El teléfono de Abdulaziz fue infectado con Pegasus en el verano de 2018.La infección fue atribuida por Citizen Lab, con gran confianza, a un operador vinculado al gobierno y los servicios de seguridad de Arabia Saudí.
El informe del Citizen Lab sobre Abdulaziz fue publicado el 1 de octubre de 2018.Un día después, Khashoggi entró en el consulado saudí en Estambul.
Durante aproximadamente cuatro meses antes del asesinato de Khashoggi, el gobierno saudí tenía acceso en tiempo real a todos los mensajes de WhatsApp intercambiados entre él y su colaborador más cercano.Khashoggi creía que sus comunicaciones eran privadas.
El análisis forense del teléfono de Hatice Cengiz, realizado como parte de la posterior investigación del Proyecto Pegasus, confirmó que su teléfono también fue comprometido por Pegasus durante los días que rodearon el asesinato.
El análisis forense del teléfono de Hanan Elatr, realizado por Bill Marczak y publicado por *The Washington Post* en diciembre de 2021, estableció que la instalación de setenta y dos segundos que se había producido en el aeropuerto de Dubai seis meses antes del asesinato había sido un despliegue del gobierno de los Emiratos Árabes Unidos de Pegasus, instalado manualmente durante su detención.
La respuesta del Grupo NSO a la evidencia del papel de Pegasus en el caso Khashoggi fue consistente.
En marzo de 2019, el CEO del Grupo NSO, Shalev Hulio, apareció en el programa de televisión estadounidense 60 Minutes.El entrevistador era Lesley Stahl.Hulio la miró a los ojos.Dijo que NSO había revisado sus registros y confirmó que la tecnología NSO no había sido utilizada contra Khashoggi o sus parientes.Dijo que la compañía no tenía nada que ver con lo que él llamó el horrible asesinato.
En julio de 2021, cuando se publicó la investigación del Proyecto Pegasus, Hulio repitió la negación. le dijo a la publicación tecnológica israelí Calcalist que NSO había comprobado y que Hanan Elatr no era un objetivo. dijo: no hay rastros de Pegasus en su teléfono porque ella no era un objetivo.
En diciembre de 2021, el Washington Post publicó el análisis forense de Marczak que mostraba que el teléfono de Elatr había sido, de hecho, dirigido manualmente por un operador de los Emiratos Árabes Unidos.El abogado de NSO, Thomas Clare, respondió que los informes del Post eran profundamente defectuosos y que los detalles técnicos no tenían sentido desde un punto de vista técnico.
El registro forense contradijo esto, y el análisis de Marczak documentó la secuencia específica de caracteres mecanografiados, la URL construida para la instancia Pegasus del cliente de los Emiratos Árabes Unidos, los errores de mecanografía que el operador de los Emiratos Árabes Unidos había cometido en el teclado del teléfono, y los veintisiete informes de estado que el teléfono había enviado al servidor durante la instalación.
El patrón de negación en el archivo del caso Khashoggi ha demostrado, en el registro documental, ser inconsistente con la evidencia forense.
En 2020, una lista de aproximadamente cincuenta mil números de teléfono se filtró a una organización sin fines de lucro de periodismo con sede en París llamada Forbidden Stories y a Amnistía Internacional.
Se creía que la lista era una lista de objetivos seleccionados por los clientes gubernamentales del Grupo NSO.Se extendió por lo menos a cincuenta países.Se remonta a aproximadamente 2016.La fuente de la filtración no ha sido identificada públicamente.
Históricamente, Forbidden Stories, fundada por el periodista Laurent Richard, se ha centrado en continuar el trabajo de los periodistas asesinados.El Proyecto Daphne, tras el asesinato de la periodista maltesa Daphne Caruana Galizia en 2017.El Proyecto Cartel, tras los asesinatos relacionados con los cárteles de la droga mexicanos.El patrón era el mismo: continuar el trabajo que los actores organizados habían intentado silenciar.
Esta investigación se convirtió en el Proyecto Pegasus.
Forbidden Stories invitó a otras dieciséis organizaciones de medios a unirse. *The Washington Post.* *The Guardian.* *Le Monde* y *Radio France.* *Die Zeit* y *Süddeutsche Zeitung*. *FRONTLINE PBS.* *Haaretz*. de medios indios, mexicanos, húngaros, belgas, sirios y otros medios regionales. Más de ochenta periodistas trabajaron en el proyecto.El análisis técnico fue realizado por el laboratorio de seguridad de Amnistía Internacional.
Los informes del Proyecto Pegasus comenzaron a ser publicados el 18 de julio de 2021.
Los hallazgos fueron específicos.La lista filtrada incluía al menos ciento ochenta periodistas de veinte países, que trabajaban para medios como Agence France-Presse, Al Jazeera, Associated Press, CNN, *The Economist*, *Le Monde*, *The New York Times*, Reuters, *The Wall Street Journal*, y Voice of America.Al menos diez gobiernos parecían haber presentado nombres a la lista de destino.Arabia Saudita.Emirados Árabes Unidos.Bahrein.Marruecos.México.Hungría.India.Rwanda.Azerbaiyán.Kazakhstan.
Entre los objetivos se encontraban defensores de derechos humanos, abogados, políticos de la oposición, líderes empresariales, diplomáticos, líderes sindicales y varios jefes de Estado. El número de teléfono del presidente francés Emmanuel Macron estaba en la lista.
El análisis forense de sesenta y siete de los teléfonos dirigidos encontró treinta y siete con rastros de actividad Pegasus. veintitrés infecciones confirmadas. catorce intentos de infección.
Los objetivos nombrados incluyeron a Khadija Ismayilova, una periodista de investigación azerbaiyana galardonada. Szabolcs Panyi, una periodista de investigación húngara cuyo teléfono fue comprometido durante siete meses en 2019. Siddarth Varadarajan, fundador del sitio de noticias indio The Wire. Omar Radi, un periodista de investigación marroquí posteriormente encarcelado. Anand Teltumbde, una defensora de derechos humanos india posteriormente encarcelada. Edwy Plenel, fundador del medio de investigación francés Mediapart. Hatice Cengiz. Hanan Elatr. Loujain al-Hathloul. La princesa Latifa, hija del gobernante de Dubai.
Aproximadamente cuarenta periodistas indios estaban en la lista, lo que sugiere que el gobierno indio use Pegasus a pesar de las negaciones oficiales.
El presidente francés Emmanuel Macron.
El presidente de Francia estaba en una lista de números de teléfono que un cliente de NSO no identificado había seleccionado para su vigilancia.
La respuesta institucional fue sustancial.
En noviembre de 2021, la administración Biden colocó al NSO Group en la Lista de Entidades del Departamento de Comercio de Estados Unidos, lo que restringía severamente el acceso de NSO a la tecnología estadounidense y a las relaciones comerciales de Estados Unidos.La designación fue ampliamente interpretada como una determinación de seguridad nacional - el gobierno de Estados Unidos había concluido que las actividades del NSO Group estaban en contra de los intereses de política exterior de Estados Unidos.
El Parlamento Europeo estableció un Comité de Investigación sobre Pegasus y Spyware Equivalente para investigar el uso de tecnología de vigilancia comercial por parte de los Estados miembros de la UE.El informe final del comité, en 2023, documentó los despliegues de Pegasus por parte de los gobiernos húngaros, polacos, españoles y otros de la UE contra políticos y periodistas de la oposición.
El Ministerio de Defensa de Israel endureció las restricciones a las exportaciones, reduciendo la lista de países a los que las compañías de vigilancia israelíes podían vender de ciento dos a treinta y siete.
La agencia de inteligencia española CNI vio la renuncia de su director, Paz Esteban, después del escándalo Catalangate en el que decenas de líderes de la independencia catalanas habían sido atacados con Pegasus.
México inició investigaciones y enjuiciamientos contra ex funcionarios que habían comprado Pegasus.
La acción legal más consecuente fue presentada por WhatsApp.
En mayo de 2019, WhatsApp había identificado una vulnerabilidad en su aplicación que NSO había estado explotando para entregar Pegasus a más de catorcecientos usuarios de WhatsApp en todo el mundo, incluyendo periodistas, activistas de derechos humanos y disidentes políticos.
El caso tomó cinco años.
El Grupo NSO intentó múltiples defensas. inmunidad soberana extranjera, en el argumento de que NSO debería ser tratado como un agente de un gobierno extranjero. El Tribunal de Distrito lo rechazó en 2020. El Noveno Circuito afirmó. La Corte Suprema de los Estados Unidos rechazó escuchar la apelación de NSO en enero de 2023. Restricciones de derecho extranjero al descubrimiento, en el argumento de que la ley israelí impidió que NSO produjera código fuente. La jueza Phyllis Hamilton dictaminó en noviembre de 2023 que las reclamaciones de derecho extranjero no exigieron las obligaciones de descubrimiento de NSO. Jurisdicción personal. Los registros publicados en noviembre de 2024 revelaron que NSO usó tecnología basada en Estados Unidos, incluida la infraestructura AWS, para entregar cargas útiles de Pegasus. El tribunal concluyó que NSO estaba sujeta a jurisdicción estadounidense.
El veinte de diciembre de 2024, el juez Hamilton emitió una sentencia sumaria que declaraba que NSO Group era responsable de todas las reclamaciones, siendo la primera decisión judicial de Estados Unidos en establecer la responsabilidad del NSO Group por la conducta relacionada con Pegasus.
El 6 de mayo de 2025, el jurado otorgó a WhatsApp cuatrocientos cuarenta y cuatro mil dólares en daños legales y ciento sesenta y siete puntos dos y cinco millones de dólares en daños punitivos.
Total: aproximadamente ciento sesenta y ocho millones de dólares.
En un caso paralelo, Apple había presentado una demanda contra NSO Group en noviembre de 2021.En septiembre de 2024, Apple rechazó voluntariamente su caso.El razonamiento, articulado en los documentos judiciales: continuar el litigio requeriría la divulgación de detalles sobre la infraestructura de seguridad de Apple que podrían obstaculizar sus esfuerzos para combatir el spyware.Apple argumentó que el mercado comercial de spyware se había expandido sustancialmente desde 2021, con múltiples competidores entrando en el espacio, y que incluso una victoria completa en el caso Apple no tendría el impacto sistémico que habría tenido tres años antes.
La retirada de Apple fue ampliamente interpretada como una pérdida estratégica y como evidencia del éxito de NSO Group en el uso del descubrimiento como arma contra demandantes cuyo litigio podría exponer las operaciones de seguridad interna.
Pegasus es el producto de spyware comercial más documentado, y no es el único.
Para 2026, la industria de spyware comercial incluía al menos Predator, desarrollado por el Consorcio Intellexa - una red multinacional de empresas con sede en Grecia, Chipre, Hungría, Macedonia del Norte e Israel, fundada por el ex oficial de inteligencia de las FDI Tal Dilian.
Candiru, una empresa israelí especializada en explotación basada en Windows, se añadió a la Lista de Entidades de Comercio de los Estados Unidos junto con NSO Group en noviembre de 2021.
QuaDream, fundada por ex empleados de NSO, desarrolló REIGN, un producto similar a Pegasus, que oficialmente se cerró en abril de 2023 después de que Citizen Lab y Microsoft Threat Intelligence informaran.
Hacking Team, el proveedor italiano, fue violado y expuesto en julio de 2015 por un hacker anónimo llamado Phineas Fisher.
Gamma Group, los fabricantes anglo-alemán de FinFisher, violado por Phineas Fisher en 2014, presentó una declaración de insolvencia en 2022 en medio de una investigación criminal alemana.
La generación posterior a Pegasus de proveedores de spyware comercial ha continuado sus operaciones, el mercado que el Grupo NSO fue pionero no ha desaparecido, sino que se ha fragmentado en más proveedores, más jurisdicciones y estructuras corporativas más sofisticadas diseñadas para resistir mejor los mecanismos de rendición de cuentas.
En octubre de 2025, el propio NSO Group confirmó que un grupo de inversores con sede en Estados Unidos, dirigido por el productor de cine Robert Simonds, había adquirido un control de la compañía.Las implicaciones de la transición de propiedad -si indica rehabilitación regulatoria, transición completa a las operaciones en Estados Unidos o algún otro cambio estructural- no están resueltas a partir de abril de 2026.
El Grupo NSO continúa vendiendo Pegasus, y la respuesta institucional, real y sustancial, ha causado daños materiales a la compañía, pero no ha detenido a la industria.
Fragment Zero ha rastreado un principio en los archivos de los casos de los últimos meses.
El caso Stuxnet, fundamental para el arco de canales, demostró que los actores estatales podían construir armas cibernéticas capaces de destrucción física a escala industrial.La doctrina - silencio, paciencia, capacidad asimétrica ejercida cuando el cálculo estratégico lo favorece - fue probada por primera vez por Estados Unidos e Israel contra el programa nuclear iraní entre 2006 y 2010.
El caso Pegasus demuestra el siguiente paso.
La tecnología desarrollada por los ex alumnos de la Unidad 8200 - sustancialmente la misma capacidad institucional que construyó Stuxnet - ha sido producida, valorada y vendida a gobiernos clientes que carecen de la capacidad técnica para desarrollar dichas herramientas por sí mismos.
La doctrina de Liu Cixin - revelación como peligro existencial, capacidad asimétrica ejercida cuando el cálculo estratégico la favorece - no se aplica solo a estados que observan otros estados, sino también a entidades comerciales que venden la capacidad asimétrica a quien pueda pagarla.
El caso de Khashoggi es la ilustración más clara.
Khashoggi no podía comunicarse en privado con su colaborador más cercano.Creía que podía.Usó aplicaciones cifradas de extremo a extremo.Usaba seguridad operativa de las mejores prácticas.Nada de eso importaba porque el teléfono de su colaborador fue comprometido a nivel de sistema operativo por un software que había sido vendido al gobierno saudí por una compañía israelí fundada por alumnos de la Unidad 8200.
La asimetría de la información fue completa, la ventaja estratégica fue ejercida, las consecuencias se propagaron independientemente de las decisiones posteriores de Khashoggi.
En el lenguaje de los archivos de casos anteriores de Fragment Zero: no podía no revelar lo que ya había revelado.
La respuesta institucional - la Lista de entidades comerciales de los Estados Unidos, la sentencia de WhatsApp de ciento sesenta y ocho millones de dólares, el comité PEGA de la UE, las restricciones a las exportaciones del Ministerio de Defensa de Israel - es real. También es tarde.
Los daños a esos objetivos - encarcelamiento, exilio, asesinato, divorcio, destrucción profesional, separación familiar - ya habían ocurrido.
Hanan Elatr, que era supervisora de aerolíneas que volaban internacionalmente, trabajaba en un restaurante de bajo salario en el área de Washington a partir de 2023 informando. Ella seguía temiendo por su seguridad. Ella vivía escondida en el área de Washington. Su permiso de trabajo había sido emitido recientemente.
El cuerpo de Khashoggi no ha sido recuperado.
El juicio del gobierno saudí contra once saudíes acusados de participación en el asesinato produjo tres absoluciones, cinco sentencias de muerte y tres sentencias de prisión en diciembre de 2019. dos de los acusados absueltos eran altos funcionarios de seguridad saudíes.
El archivo del caso no se cierra.
Lo que se puede establecer es el precedente. Pegasus es el caso comercial fundamental. Predator, el próximo caso de Fragment Zero planeado, es el segundo. El tercer, cuarto, quinto caso están presumiblemente en desarrollo en este momento - construidos por los fundadores aprendiendo de los errores regulatorios de NSO, estructurando las entidades corporativas para resistir mejor los rechazos de inmunidad soberana, fijando precios a sus productos para evadir los umbrales de la Lista de Entidades, encontrando clientes en jurisdicciones donde los reguladores israelíes, estadounidenses y europeos tienen menos influencia.
La capacidad que construyó Stuxnet fue estatal, la capacidad que construyó Pegasus fue comercial, la capacidad que construye la próxima línea de productos será cualquiera que sea el entorno regulatorio del momento que haga rentable.
En los meses anteriores a su asesinato, Jamal Khashoggi creía que sus comunicaciones eran privadas, pero su gobierno las leía de todos modos, la tecnología que permitía esto había sido construida por veteranos de los servicios de inteligencia de un país y vendida al gobierno de otro país por aproximadamente cuarenta millones de dólares por despliegue de espectro completo.
La tecnología sigue funcionando, el mercado sigue creciendo, el archivo de casos no se cierra.
Fragment Zero rastreará el archivo del caso.
El archivo del caso no se cierra, sino que espera.
