Pegasus de NSO Group: ¿Vigencia o declive ante nuevas herramientas globales?

por | Jun 8, 2025 | Informática, Redes, SEO. | 0 Comentarios

nso grpup pegasus garba

Resumen Ejecutivo

El software espía Pegasus de NSO Group, aunque tecnológicamente avanzado y en continua evolución, enfrenta un declive manifiesto en su dominio del mercado debido a graves desafíos legales, financieros y de reputación. A pesar de las capacidades perdurables de Pegasus, la empresa detrás de él se encuentra en una situación precaria. Al mismo tiempo, el mercado más amplio del software espía comercial está en auge, con la aparición y adaptación de numerosas alternativas sofisticadas, lo que hace que el panorama sea mucho más competitivo y fragmentado. Si bien ninguna herramienta «mejor» ha superado definitivamente a Pegasus en todos los aspectos, la proliferación de otros programas espía altamente invasivos significa que las capacidades de vigilancia ilícita, antes asociadas principalmente con NSO Group, ahora están ampliamente disponibles a través de una diversa gama de proveedores.

Introducción: El Panorama Evolutivo del Software Espía Comercial

El mercado de las capacidades de intrusión cibernética comercial (CCICs), a menudo denominado la industria del software espía mercenario, ha crecido significativamente en los últimos años, convirtiéndose en un desafío crítico para los derechos humanos, las instituciones democráticas y la seguridad nacional en todo el mundo. Este mercado, valorado en aproximadamente 12 mil millones de dólares anuales y en «auge», implica a empresas privadas que desarrollan y venden capacidades cibernéticas sofisticadas, incluido software espía, a gobiernos y otras entidades. Estas herramientas están diseñadas para monitorear y extraer datos sensibles de dispositivos de forma encubierta, sin el conocimiento o consentimiento del usuario. Pegasus, el software espía de NSO Group, se hizo tristemente célebre como «el arma cibernética más poderosa del mundo» debido a sus capacidades avanzadas , pero su uso indebido generalizado ha puesto a la industria bajo un escrutinio sin precedentes. El presente informe evaluará la situación actual de Pegasus, la viabilidad operativa de NSO Group y el panorama competitivo del software espía avanzado, determinando si Pegasus sigue siendo dominante o si el declive de NSO Group es evidente en medio del surgimiento de otras herramientas formidables.

La rápida expansión del mercado de software espía comercial y la disminución de las barreras de entrada para nuevos actores  indican que la demanda de estas herramientas no está disminuyendo, incluso cuando el proveedor principal, NSO Group, enfrenta desafíos significativos. Esta situación sugiere una cuestión sistémica: los gobiernos buscan capacidades de vigilancia avanzadas, independientemente de la postura ética del proveedor o de sus problemas legales. La persistencia de este crecimiento del mercado, a pesar de las dificultades de NSO, implica que la demanda subyacente de herramientas de vigilancia sofisticadas por parte de los estados es fuerte y constante. Los problemas de NSO simplemente desvían la demanda hacia otros proveedores o fomentan la entrada de nuevos actores, en lugar de frenar el mercado en general. Esto lleva a la conclusión de que los esfuerzos regulatorios centrados en empresas individuales, como NSO, podrían ser insuficientes para abordar la proliferación sistémica del software espía comercial. Se necesita una estrategia internacional más amplia y coordinada para abordar la demanda y los incentivos que llevan a los gobiernos a adquirir estas herramientas.

Pegasus: Capacidades Duraderas y Uso Indebido Persistente

Pegasus sigue siendo una herramienta de vigilancia altamente sofisticada y potente, que se adapta constantemente a las nuevas defensas de los sistemas operativos móviles. Su destreza técnica permite una infiltración profunda y encubierta, lo que la convierte en una amenaza significativa para las personas objetivo.

Destreza Técnica Actual: Exploits de Cero Clic, Extracción de Datos y Mecanismos de Sigilo

Pegasus está diseñado para su instalación encubierta y remota en dispositivos iOS y Android. Su eficiencia se deriva del aprovechamiento de vulnerabilidades de día cero, la ofuscación de código y el cifrado. Los principales vectores de infección han evolucionado desde enlaces de spear-phishing de un solo clic hasta métodos de cero clic cada vez más sofisticados. Estos incluyen la explotación de vulnerabilidades en aplicaciones como iMessage, Fotos, Apple Music y FaceTime, lo que permite la instalación sin ninguna interacción de la víctima. En septiembre de 2023, los operadores de Pegasus pudieron instalar el software espía en versiones de iOS hasta la 16.6 utilizando un exploit de cero clic conocido como BLASTPASS.

Una vez instalado, Pegasus obtiene privilegios de alto nivel (acceso a nivel de root o kernel), lo que esencialmente «jailbreakea» o «rootea» el dispositivo para eludir las protecciones de seguridad. Sus capacidades son extensas: acceso en tiempo real a llamadas, mensajes de texto y correos electrónicos; activación de la cámara y el micrófono para vigilancia 24/7; rastreo por GPS; robo de datos (contactos, fotos, videos, archivos); registro de pulsaciones de teclas para la recolección de contraseñas; y recolección de información de varias aplicaciones como WhatsApp, Telegram, Skype, Gmail y Facebook. Pegasus incorpora mecanismos de sigilo, incluida la autodestrucción si no puede comunicarse con su servidor de comando y control durante más de 60 días o si está en el dispositivo incorrecto, y también puede autodestruirse por comando para eliminar pruebas.

La continua evolución de los exploits de día cero de Pegasus, como FORCEDENTRY y BLASTPASS, a pesar de los parches de Apple , indica una inversión significativa y continua en investigación y desarrollo por parte de NSO Group, o el acceso a un suministro constante de vulnerabilidades de alto valor. Esto sugiere que, incluso bajo una severa presión financiera, la capacidad técnica central de Pegasus sigue siendo una prioridad, lo que desafía la idea de una «decadencia» técnica completa. Si Pegasus sigue utilizando y adaptando nuevos exploits de día cero para eludir las últimas medidas de seguridad de Apple, ello demuestra que el software es técnicamente avanzado y se mantiene activo. La pregunta que surge es cómo una empresa con dificultades financieras, como se ha informado que es NSO Group , puede mantener una investigación y desarrollo tan vanguardista, que normalmente requiere una inversión sustancial en talento altamente especializado y recursos para la investigación de vulnerabilidades. Esto implica que NSO, o bien prioriza la I+D a pesar de sus problemas financieros, quizás considerándola esencial para su supervivencia y para mantener su ventaja en el mercado, o bien tiene un canal sólido, posiblemente externo, para adquirir vulnerabilidades de día cero, que son activos extremadamente valiosos. La adaptación continua sugiere que la «capacidad» técnica de Pegasus no está decayendo al mismo ritmo que la salud corporativa de NSO. Para las víctimas, esto significa que, incluso si NSO Group como empresa enfrenta un declive, la amenaza que representa Pegasus, o sus capacidades técnicas subyacentes, sigue siendo alta, ya que su capacidad para eludir las defensas actuales persiste. También subraya la dificultad de aplicar parches contra amenazas tan sofisticadas y en constante evolución.

Despliegue Global Documentado y Preocupaciones por los Derechos Humanos

A pesar de la intención declarada de NSO Group de que Pegasus se utilice contra delincuentes y terroristas, existe una amplia evidencia de su despliegue por parte de gobiernos, tanto autoritarios como democráticos, para espiar a críticos, opositores, periodistas, activistas, abogados y defensores de los derechos humanos. Se han documentado casos específicos de uso indebido en numerosos países, incluidos Armenia, Azerbaiyán, Baréin, Jordania, Serbia, India, México y Tailandia. Por ejemplo, en febrero de 2025, dos periodistas de BIRN en Serbia fueron blanco de Pegasus , y en diciembre de 2023, investigaciones forenses revelaron el uso continuado contra periodistas prominentes en India.

Un relator especial de la ONU sobre la libertad de opinión encontró que el uso del software espía por parte de gobiernos abusivos podría «facilitar ejecuciones y asesinatos extrajudiciales, sumarios o arbitrarios, o la desaparición forzada de personas». La vigilancia generalizada facilitada por Pegasus afecta derechos fundamentales como la privacidad, la protección de datos, la libertad de expresión, asociación y reunión, lo que a su vez incide en las instituciones democráticas y los procesos electorales. Documentos legales han revelado que NSO Group, y no solo sus clientes gubernamentales, opera directamente el software espía Pegasus, lo que contradice las afirmaciones anteriores de la empresa y plantea mayores preocupaciones sobre su papel en los abusos de los derechos humanos.

El uso persistente y documentado de Pegasus contra la sociedad civil, incluso años después de sus revelaciones iniciales y las afirmaciones de NSO de supervisión ética, sugiere que el programa interno de cumplimiento y derechos humanos de NSO Group  es ineficaz, se elude deliberadamente o es simplemente una fachada de relaciones públicas. Esto contradice el compromiso declarado de NSO de respetar los Principios Rectores de la ONU sobre las Empresas y los Derechos Humanos. NSO Group afirma que Pegasus se utiliza para combatir el crimen y el terrorismo, y que está comprometido con los derechos humanos. Sin embargo, numerosos informes de organizaciones de renombre, como Citizen Lab y Amnistía Internacional, documentan consistentemente el uso de Pegasus contra periodistas, activistas, opositores políticos y sus familias. La pregunta que surge es si, a pesar de tener un «programa de cumplimiento y derechos humanos líder en la industria» , el uso indebido sigue siendo tan generalizado y bien documentado, incluso en años recientes (2023-2025). La persistencia del uso indebido, a pesar de las afirmaciones y programas internos de NSO, indica una desconexión fundamental entre la política y la práctica. Esto podría deberse a una falta de aplicación genuina, a una deliberada indiferencia ante las actividades de los clientes, o a una dificultad inherente para controlar una herramienta tan poderosa una vez que se licencia. La revelación legal de que NSO opera directamente el software espía  complica aún más sus afirmaciones de desconocimiento sobre las acciones de sus clientes. Este patrón continuo de uso indebido socava la confianza en la autorregulación dentro de la industria del software espía comercial y refuerza los argumentos a favor de una supervisión internacional más estricta y mecanismos de rendición de cuentas. También destaca el dilema ético para cualquier entidad que considere licenciar dicha tecnología.

NSO Group Bajo Presión: ¿Un Declive Manifiesto?

NSO Group está innegablemente experimentando un período de declive significativo, marcado por batallas legales severas, dificultades financieras y una reputación empañada. Estas presiones están redefiniendo fundamentalmente su capacidad operativa y su posición en el mercado.

Desafíos Legales y Regulatorios

El gobierno de EE. UU. incluyó a NSO Group en la lista negra en octubre de 2021, colocándolo en la Lista de Entidades de la Oficina de Industria y Seguridad, lo que restringe su capacidad para hacer negocios con empresas estadounidenses sin una aprobación gubernamental específica. Un golpe legal importante provino de la demanda de WhatsApp, donde un jurado estadounidense dictaminó en mayo de 2025 que NSO Group debe pagar 167 millones de dólares en daños punitivos por una campaña de piratería de 2019 que afectó a más de 1.400 personas. NSO está impugnando esta decisión, calificando los daños de «inconstitucionalmente excesivos e ilegales» y argumentando que la cantidad «excede con creces la capacidad de pago de NSO».

En febrero de 2024, un tribunal estadounidense ordenó a NSO Group que proporcionara su código de software espía Pegasus a WhatsApp como parte del litigio, un avance significativo en la batalla legal. La negativa de NSO a cumplir con las órdenes de divulgación, incluida la de no proporcionar el código fuente o los motivos de sus clientes, generó «obstáculos» y contribuyó a mayores daños. La Corte Suprema de EE. UU. permitió que la demanda de WhatsApp procediera en enero de 2023, a pesar de los argumentos de NSO sobre la «inmunidad soberana extranjera». Sin embargo, los expertos señalan que el precedente legal establecido por el caso WhatsApp para que las víctimas individuales demanden a empresas extranjeras de software espía en los tribunales estadounidenses sigue siendo «bastante limitado». Apple, según informes, abandonó su demanda contra NSO Group en septiembre de 2024, citando preocupaciones de que continuar podría exponer detalles sensibles que podrían dañar a la comunidad de ciberseguridad.

El resultado de la demanda de WhatsApp, en particular los 167 millones de dólares en daños punitivos, es una consecuencia directa del incumplimiento de las órdenes judiciales por parte de NSO y su dependencia del secreto. Esto revela un dilema estratégico para NSO: mantener la confidencialidad del cliente y el secreto operativo, que es fundamental para su modelo de negocio, entra en conflicto directo con las demandas legales de transparencia, lo que lleva a sanciones severas. NSO Group fue condenado a pagar 167 millones de dólares en daños punitivos en el caso de WhatsApp. Además, la negativa de NSO a cumplir con las órdenes de divulgación, incluida la de proporcionar el código fuente y los motivos de sus clientes, fue citada como una razón para aumentar los daños. El modelo de negocio de NSO se basa fundamentalmente en el secreto extremo con respecto a sus operaciones y clientes. Sus abogados incluso afirmaron que no saben qué hacen los clientes con Pegasus. Este secreto, si bien es crucial para sus clientes (a menudo agencias de inteligencia estatales), lo pone directamente en conflicto con los procesos judiciales que exigen transparencia. El fallo de WhatsApp demuestra que los tribunales están dispuestos a imponer sanciones financieras severas por el incumplimiento, creando una «elección de perder-perder» para NSO: cooperar y alienar a los clientes, o negarse y enfrentar daños punitivos que amenazan la bancarrota. Esta presión legal podría obligar a NSO, o a empresas similares, a alterar fundamentalmente su modelo de negocio hacia una mayor transparencia, o a arriesgarse al colapso financiero. También destaca el desafío que enfrentan los sistemas legales para penetrar el velo de secreto que rodea las operaciones de software espía comercial.

Salud Financiera y Restricciones Operativas

NSO Group ha estado en dificultades financieras durante años, incumpliendo un pago de 500 millones de dólares en deuda en 2021 después de ser incluido en la Lista de Entidades de EE. UU.. En 2023, los acreedores ejecutaron la hipoteca de la empresa matriz de NSO. La indemnización de 167 millones de dólares del caso WhatsApp «excede con creces la capacidad de pago de NSO» y podría ser un «golpe mortal» para la empresa. Se cree que la inclusión en la lista negra ha provocado una reducción de los ingresos, y NSO ha gastado millones en defenderse en múltiples demandas. Las restricciones operativas incluyen el despido de aproximadamente 100 empleados en 2022. NSO Group ha estado presionando activamente al gobierno de EE. UU., particularmente a la administración Trump, para que lo eliminen de la Lista de Entidades, una estrategia descrita como un «Ave María».

Los agresivos esfuerzos de lobbying de NSO para ser eliminado de la Lista de Entidades de EE. UU.  son un intento desesperado por mitigar su grave situación financiera y operativa, lo que sugiere que la inclusión en la lista negra de EE. UU. ha tenido un impacto mucho mayor de lo que las declaraciones públicas de NSO podrían implicar. NSO Group se encuentra en una situación financiera desesperada, ha incumplido pagos de deuda y se enfrenta a multas masivas. Están presionando activamente al gobierno de EE. UU. para que los elimine de la Lista de Entidades. El CEO de NSO afirmó que la Lista de Entidades «simplemente obliga a las empresas estadounidenses, si queremos comprarles tecnología, a pedir permiso para vendérnosla. Eso es todo». Sin embargo, si el impacto de la Lista de Entidades es «solo eso», ¿por qué están gastando millones en lobbying y calificándolo de «Ave María»? La discrepancia entre la minimización pública del impacto de la Lista de Entidades por parte de NSO y sus intensos y costosos esfuerzos de lobbying revela que la inclusión en la lista negra ha tenido un efecto mucho más profundo y paralizante en su viabilidad financiera y en su acceso a tecnologías y mercados críticos de lo que se reconoce. La descripción de «Ave María» subraya la desesperación. Esto sugiere que las sanciones y listas negras específicas, cuando las aplican naciones influyentes, pueden ser herramientas eficaces para interrumpir las operaciones de los proveedores de software espía comercial, incluso si no detienen inmediatamente toda la actividad. También destaca la importancia estratégica del acceso a la tecnología y los mercados estadounidenses para estas empresas.

Consecuencias para la Reputación: La «Marca Tóxica» y sus Implicaciones

NSO se ha convertido en una «marca tóxica» ampliamente asociada con abusos de derechos humanos y amenazas a la seguridad nacional de países como EE. UU., Reino Unido y Francia. Este daño a la reputación limita sus operaciones y su capacidad para mantener agresivos esfuerzos de lobbying debido a flujos de caja más pequeños.

El estatus de «marca tóxica» de NSO Group  crea un efecto dominó que va más allá de los problemas financieros y legales, influyendo potencialmente en futuras inversiones, la adquisición de talento y la voluntad de los gobiernos, incluso aquellos interesados en la vigilancia, de asociarse abiertamente con ellos, lo que podría llevar a que algunas de sus operaciones se vuelvan aún más clandestinas o se realicen a través de socios menos escrutados. NSO es calificada como una «marca tóxica»  debido a su asociación con abusos de derechos humanos y amenazas a la seguridad nacional. Esto impacta negativamente la percepción pública y, potencialmente, las relaciones con los clientes. La pregunta es cómo esta «toxicidad» afecta la capacidad de NSO para operar y competir a largo plazo, más allá de las sanciones legales y financieras inmediatas. Una marca tóxica dificulta la atracción de los mejores talentos, la obtención de nueva financiación y la interacción abierta con empresas legítimas o gobiernos preocupados por su imagen internacional. Esto podría obligar a NSO, o a cualquier entidad sucesora, a operar con aún mayor sigilo, potencialmente a través de empresas fantasma o intermediarios, lo que dificultaría la rendición de cuentas. También podría alentar a los clientes a buscar alternativas menos controvertidas, aunque potencialmente menos capaces, o a utilizar las herramientas de forma más encubierta. El daño a la reputación se convierte en un ciclo de retroalimentación negativa de legitimidad reducida y mayor dificultad operativa.

El Panorama Competitivo: ¿Existen Herramientas Mejores?

Si bien Pegasus sigue siendo altamente capaz, el mercado del software espía comercial ya no está dominado solo por NSO Group. Un número creciente de competidores sofisticados ofrece capacidades comparables y, en algunos casos, igualmente peligrosas, lo que lleva a un panorama de amenazas más fragmentado y dinámico.

Surgimiento de Competidores Clave: Perfiles de Proveedores de Software Espía Alternativos Prominentes

El mercado se caracteriza por «numerosas empresas con ofertas similares» , incluidas Intellexa, DSIRF, Variston IT y QuaDream.

  • Intellexa (Predator):
    • Desarrollado por Cytrox (parte del Consorcio Intellexa), con sede en Macedonia del Norte y Hungría.
    • Cadena de ataque similar a Pegasus, dirigida tanto a iOS como a Android.
    • Utiliza métodos de cero clic y un clic.
    • Sus capacidades incluyen la extracción no autorizada de datos, el rastreo por geolocalización y el acceso a aplicaciones e información personal. Puede aceptar nuevos módulos basados en Python sin necesidad de reinfección, lo que la hace «especialmente versátil y peligrosa».
    • Sancionada por el Departamento de Comercio de EE. UU. (julio de 2023) y el Tesoro (marzo de 2024), con sanciones adicionales en septiembre de 2024 dirigidas a ejecutivos.
    • Según se informa, se ha vendido a al menos 25 países, incluidos Austria, Alemania, Suiza, Jordania, Kenia, Omán, Pakistán y la República Democrática del Congo. Se ha documentado su uso contra la sociedad civil en Jordania, Egipto y Grecia.
  • Candiru (DevilsTongue):
    • Empresa israelí, también conocida como Saito Tech.
    • Vende software espía exclusivamente a gobiernos.
    • Sus capacidades incluyen la recopilación de archivos, la ejecución de consultas/comandos de registro, el robo de credenciales del navegador y el descifrado de conversaciones de Signal. Utiliza múltiples vectores de ataque, incluido el acceso físico, el método man-in-the-middle, enlaces maliciosos y documentos infectados.
    • Fue sorprendida explotando una vulnerabilidad de día cero de Google Chrome para atacar a periodistas.
    • Sancionada por EE. UU. en 2021 junto con NSO Group. Entre sus víctimas se encuentran defensores de los derechos humanos, disidentes, periodistas, activistas y políticos en varios países.
  • QuaDream (Reign/KingsPawn):
    • Empresa israelí, fundada por antiguos empleados de NSO.
    • Su producto principal, Reign (también conocido como KingsPawn), utiliza exploits de cero clic (por ejemplo, ENDOFDAYS a través de invitaciones invisibles de calendario de iCloud) para infiltrarse en dispositivos móviles.
    • Ofrece acceso completo a los datos y funciones del dispositivo: exfiltración de datos, grabación de audio, captura de cámara, rastreo de ubicación, búsqueda de archivos, acceso a llaveros, generación de contraseñas de iCloud y autodestrucción
    • Cesó sus actividades en mayo de 2023 debido a las restricciones del gobierno israelí a las exportaciones de software espía.
    • Se identificaron víctimas en América del Norte, Asia Central, el Sudeste Asiático, Europa y Oriente Medio. Se vendió a gobiernos como Marruecos, Arabia Saudita, México, Ghana, Indonesia y Singapur.
  • RCS Lab (Hermit):
    • Proveedor italiano de software espía comercial.
    • Puede instalarse de forma encubierta en iOS y Android.
    • Sus capacidades incluyen el seguimiento de llamadas, la ubicación, la lectura de mensajes de texto, el acceso a fotos, la grabación de audio y la realización/interceptación de llamadas telefónicas; puede obtener acceso de root en Android.
    • Los vectores de infección incluyen hacerse pasar por operadores de telefonía móvil o aplicaciones de mensajería legítimas para engañar a las víctimas para que descarguen el software.
    • Se utilizó en Kazajistán e Italia. RCS Lab fue adquirida recientemente por Cy4Gate.

Análisis Comparativo de Capacidades de Software Espía Avanzado

Todas estas herramientas de software espía avanzadas (Pegasus, Predator, DevilsTongue, Reign, Hermit) comparten características principales: están diseñadas para una instalación encubierta, buscan privilegios de alto nivel (acceso de root/kernel) y proporcionan capacidades integrales de exfiltración de datos (mensajes, llamadas, ubicación, medios, credenciales). Un diferenciador clave es la prevalencia y sofisticación de los exploits de cero clic. Pegasus, Predator y Reign se destacan explícitamente por sus capacidades de cero clic. Hermit también emplea ingeniería social sofisticada, pero su estado de cero clic se enfatiza menos en los fragmentos. La capacidad de persistir en los dispositivos a pesar de los reinicios o de autodestruirse también es una característica avanzada común.

A continuación, se presenta una tabla comparativa de las principales herramientas de software espía comercial, destacando sus características clave:

Software Espía Desarrollador/Consorcio País de Origen SO Objetivo Capacidad Cero Clic Vectores de Infección Clave Alcance de Exfiltración de Datos Estado Legal/Sanciones del Desarrollador Estado Operativo Conocido
Pegasus NSO Group Israel iOS, Android Sí (prevalente) iMessage, Photos, Apple Music, FaceTime, enlaces, inyección de red Llamadas, mensajes, GPS, cámara/micrófono, contraseñas, apps (WhatsApp, Gmail, etc.) Lista de Entidades de EE. UU., Demandas (WhatsApp, Apple – retirada) Activo, pero bajo presión
Predator Cytrox (Intellexa Consortium) Macedonia del Norte, Hungría iOS, Android WhatsApp, enlaces, exploits de día cero Extracción de datos, GPS, apps, información personal, módulos Python Sanciones de EE. UU. (Comercio y Tesoro) Activo, pero bajo presión
DevilsTongue Candiru (Saito Tech) Israel Windows, iOS, Android Sí (Chrome zero-day) Acceso físico, MiTM, enlaces maliciosos, documentos infectados Archivos, registros, credenciales de navegador, Signal Sanciones de EE. UU. (junto con NSO) Activo
Reign/KingsPawn QuaDream Israel iOS Sí (ENDOFDAYS via iCloud calendar) Invitaciones de calendario iCloud, correos electrónicos, SMS, redes sociales Datos de dispositivo, audio, cámara, ubicación, archivos, contraseñas iCloud Restricciones de exportación del gobierno israelí Cesó actividades (mayo 2023)
Hermit RCS Lab Italia iOS, Android Menos enfatizado Suplantación de operadores/apps de mensajería Llamadas, ubicación, mensajes, fotos, audio, root en Android Adquirido por Cy4Gate Activo

Dinámicas del Mercado y Tendencias de Proliferación

El mercado del software espía comercial se está expandiendo, y la accesibilidad de estas herramientas está reduciendo la barrera de entrada para actores estatales y no estatales. Si bien los principales proveedores de software como Apple y Google están invirtiendo en mitigaciones de exploits, lo que lleva a «disminuciones notables en la explotación de día cero de algunos objetivos históricamente populares como navegadores y sistemas operativos móviles», los atacantes se están volcando cada vez más hacia tecnologías específicas de la empresa (por ejemplo, productos de seguridad y redes como Ivanti, Palo Alto Networks, Cisco). Sin embargo, las cadenas de exploits compuestas por múltiples vulnerabilidades de día cero continúan siendo utilizadas «casi exclusivamente (~90%)» para atacar dispositivos móviles, lo que indica que el móvil sigue siendo un objetivo de alto valor para ataques sofisticados. Los proveedores de vigilancia comercial (CSVs) están aumentando sus prácticas de seguridad operativa, lo que podría conducir a una menor atribución y detección. Algunas empresas, cuando son expuestas, simplemente «dejan de existir» o se adaptan cambiando repetidamente sus identidades y estructuras corporativas, trasladando operaciones a diferentes jurisdicciones y aprovechando una financiación transfronteriza sustancial.

El cambio observado en la explotación de día cero de los sistemas operativos móviles y navegadores de usuario final a tecnologías específicas de la empresa , mientras que los dispositivos móviles siguen siendo un objetivo principal para cadenas de exploits complejas, sugiere una adaptación estratégica por parte de los proveedores de software espía comercial. Esto indica un movimiento hacia objetivos de mayor valor dentro de las redes organizacionales, utilizando potencialmente los dispositivos de los empleados como puntos de entrada iniciales. Los informes de Google indican una disminución en la explotación de día cero de sistemas operativos móviles y navegadores debido a las inversiones de los proveedores en mitigaciones. Al mismo tiempo, hay un aumento en el enfoque en tecnologías específicas de la empresa (productos de seguridad y redes) para la explotación de día cero. Sin embargo, los dispositivos móviles siguen siendo el objetivo de «casi exclusivamente (~90%)» cadenas de exploits de múltiples días cero. Esto no es una contradicción, sino una evolución estratégica. A medida que la seguridad de los sistemas operativos móviles mejora, los atacantes se ven obligados a utilizar cadenas de exploits más complejas y de varias etapas, que son más difíciles de detectar y parchear, para comprometer los dispositivos móviles. El mayor enfoque en los productos empresariales sugiere que estos dispositivos móviles comprometidos, como el teléfono de un ejecutivo, se utilizan luego como puerta de entrada para infiltrarse en las redes corporativas, que ofrecen objetivos de valor aún mayor. El compromiso móvil inicial podría ser el «primer paso» en una campaña de espionaje empresarial más amplia. Esto implica una creciente convergencia de las amenazas de seguridad móvil y empresarial. Las organizaciones deben proteger los dispositivos móviles de los empleados con el mismo rigor que sus redes corporativas, especialmente considerando las políticas de «traiga su propio dispositivo» (BYOD), ya que estos dispositivos pueden servir como puntos de acceso iniciales críticos para ataques sofisticados de software espía comercial o patrocinados por el estado. La amenaza se está volviendo más integrada y menos confinada a dispositivos personales aislados.

El Futuro del Software Espía Comercial y las Respuestas Internacionales

La industria del software espía comercial probablemente continuará su crecimiento y evolución, impulsada por una demanda persistente y la disponibilidad constante de vulnerabilidades explotables. Si bien los esfuerzos internacionales para regular y controlar estas tecnologías están aumentando, su eficacia sigue siendo un desafío significativo.

Trayectorias Tecnológicas

La industria continuará su dependencia de los exploits de día cero y cero clic, ya que estos ofrecen los medios más efectivos para comprometer dispositivos sin la interacción del usuario. Los desarrolladores de plataformas móviles están introduciendo continuamente protecciones, pero los proveedores de software espía comercial confían en su capacidad para comprometer repetidamente los teléfonos, a veces ni siquiera implementando mecanismos de persistencia porque un simple reinicio solo conduce a la reinfección. Existe una clara tendencia hacia el aumento de los ataques dirigidos a tecnologías específicas de la empresa (por ejemplo, productos de seguridad y redes), ya que la violación de estos sistemas puede conducir a compromisos de sistemas y redes más extensos. Las futuras tendencias en tecnología de seguridad incluyen el análisis de comportamiento impulsado por IA, unidades de vigilancia móvil (MSUs), sistemas avanzados de control de acceso (biometría), reconocimiento de matrículas (LPR), guardias virtuales de puertas y vigilancia con drones para la protección perimetral. Si bien algunas de estas son de seguridad física, indican una tendencia más amplia en la tecnología de vigilancia.

La confianza de la industria del software espía comercial en la reinfección repetida de día cero y cero clic, a pesar de los parches del sistema operativo móvil, sugiere que el modelo económico de estas empresas se basa en un suministro continuo de vulnerabilidades no reveladas, en lugar de una persistencia a largo plazo en un solo dispositivo. Esto implica un «mercado de vulnerabilidades» significativo que alimenta la industria. Las empresas de software espía comercial confían tanto en sus capacidades de día cero y cero clic que no siempre implementan mecanismos de persistencia; un reinicio simplemente conduce a la reinfección. Esto resalta el poder de los exploits de cero clic. Si la reinfección es trivial, la inversión principal no está en mantener el sigilo a largo plazo en un dispositivo, sino en descubrir o adquirir constantemente nuevas vulnerabilidades de día cero y desarrollar cadenas de exploits. Esto apunta a un mercado robusto, posiblemente ilícito, de vulnerabilidades de día cero donde estas vulnerabilidades se compran y venden, proporcionando un suministro continuo a estos proveedores de software espía. El «costoso software espía»  se debe a estas cadenas de exploits precargadas. Las contramedidas efectivas deben, por lo tanto, apuntar no solo al software espía en sí, sino también al ecosistema que produce y comercializa vulnerabilidades de día cero. Esto hace que el «acaparamiento de vulnerabilidades de ciberseguridad»  sea una preocupación crítica para la regulación internacional.

Esfuerzos Regulatorios y su Eficacia

Iniciativas internacionales como el Proceso Pall Mall, liderado por el Reino Unido y Francia (lanzado en 2024), tienen como objetivo abordar la proliferación y el uso indebido de las Capacidades de Intrusión Cibernética Comercial (CCICs) a través de un código de conducta voluntario y no vinculante. Los desafíos incluyen asegurar la adhesión de un mercado diverso y evitar que las entidades simplemente operen en la clandestinidad. NSO Group ha comenzado a participar en este proceso en una etapa temprana. El gobierno de EE. UU. ha tomado medidas, incluida la inclusión de NSO Group en la lista negra (2021) y la imposición de sanciones a Intellexa y sus entidades asociadas (2023, 2024). El presidente Biden también firmó una orden ejecutiva en marzo de 2023 que prohíbe el uso por parte del gobierno de EE. UU. de software espía comercial que presente riesgos para la seguridad nacional o los derechos humanos. El Parlamento Europeo ha pedido cambios legislativos y una regulación más estricta del software espía comercial debido a que su uso ilícito pone «en juego la propia democracia».

A pesar de estas medidas, «las acciones legales y legislativas limitadas aún no han tenido un efecto positivo inmediato en la reducción del uso de software espía comercial». Es probable que las empresas sigan operando mientras sea financiera y legalmente factible, adaptándose mediante el cambio de identidades y estructuras corporativas. Un desafío significativo en la regulación es la falta de una definición acordada para «software espía comercial» o «capacidades de intrusión cibernética comercial» entre las diversas partes interesadas.

La naturaleza voluntaria y no vinculante de iniciativas como el Proceso Pall Mall , combinada con la capacidad demostrada de la industria para adaptarse a las sanciones cambiando identidades y jurisdicciones , sugiere que los marcos regulatorios actuales son insuficientes para frenar la proliferación y el uso indebido del software espía comercial de manera efectiva. Las iniciativas regulatorias internacionales, como el Proceso Pall Mall, son voluntarias y no vinculantes. Al mismo tiempo, las empresas de software espía comercial, cuando son sancionadas o expuestas, se adaptan cambiando sus identidades, estructuras corporativas y jurisdicciones. La pregunta es cuál es la eficacia a largo plazo de los enfoques regulatorios actuales, dada la adaptabilidad de la industria. La naturaleza voluntaria de las regulaciones significa que el cumplimiento es opcional, y la facilidad con la que estas empresas pueden cambiar de marca o reubicarse demuestra una laguna fundamental en la aplicación basada en la jurisdicción. Esto crea un escenario de «juego del topo» en el que cerrar una entidad o sancionar a una empresa simplemente conduce a la aparición de otras o al resurgimiento de los mismos actores bajo una nueva apariencia. Esto implica que se necesita un enfoque regulatorio más sólido, legalmente vinculante y coordinado a nivel mundial, que potencialmente incluya controles de exportación universales, responsabilidad penal por el uso indebido y mayores requisitos de transparencia, para abordar verdaderamente el problema sistémico en lugar de solo a los actores individuales. La falta de una definición unificada  complica aún más esto.

Conclusiones: Evaluación de la Posición de Pegasus en un Mercado Cambiante

Pegasus sigue siendo un software espía formidable y técnicamente avanzado, que se adapta continuamente a las mejoras de seguridad móvil. Sus capacidades duraderas, en particular sus exploits de cero clic, confirman que su destreza técnica está lejos de ser decadente. Sin embargo, NSO Group, el desarrollador, se encuentra en un estado de declive manifiesto. Paralizado por importantes sentencias judiciales, la inclusión en la lista negra de EE. UU. y una reputación de «marca tóxica», la viabilidad financiera y la libertad operativa de NSO están severamente restringidas. Esta angustia corporativa, en gran parte consecuencia del uso indebido documentado de Pegasus contra la sociedad civil, ha debilitado significativamente su liderazgo en el mercado.

Crucialmente, el declive de NSO Group no significa una reducción de la amenaza general que representa el software espía comercial. Por el contrario, el mercado está en auge y diversificándose, con numerosas alternativas sofisticadas como Predator de Intellexa, DevilsTongue de Candiru, Reign de QuaDream y Hermit de RCS Lab, que llenan el vacío. Estos competidores ofrecen capacidades comparables y, en algunos casos, igualmente invasivas, a menudo empleando métodos similares de día cero y cero clic. El cambio en el enfoque de los atacantes hacia tecnologías específicas de la empresa, sin dejar de aprovechar los dispositivos móviles como puntos de acceso iniciales, indica un panorama de amenazas en evolución e integrado.

En esencia, si bien Pegasus sigue siendo un «buen programa» en términos de sus capacidades técnicas, el declive manifiesto de NSO Group significa que ya no es el líder indiscutible. El mercado se ha diversificado, y herramientas «mejores», o al menos igualmente capaces y ampliamente utilizadas, están ahora fácilmente disponibles de un ecosistema creciente de proveedores de vigilancia comercial. El desafío ha pasado de contener principalmente a Pegasus a abordar una industria más amplia, fragmentada y adaptable.

Recomendaciones

Para abordar eficazmente el panorama evolutivo del software espía comercial, las partes interesadas deben adoptar un enfoque multifacético que vaya más allá de la focalización en empresas individuales:

  1. Fortalecer los marcos regulatorios internacionales: Abogar por acuerdos internacionales legalmente vinculantes y controles de exportación universales para las capacidades de intrusión cibernética comercial, yendo más allá de los códigos de conducta voluntarios. Esto requiere establecer una definición clara y acordada internacionalmente de «software espía comercial».
  2. Mejorar la rendición de cuentas y los mecanismos de reparación: Apoyar los esfuerzos legales para responsabilizar a los proveedores de software espía comercial y a sus clientes por los abusos de los derechos humanos, trabajando para superar los obstáculos jurisdiccionales que actualmente limitan la reparación a las víctimas.
  3. Invertir en defensas de ciberseguridad proactivas: Para organizaciones e individuos de alto riesgo (periodistas, activistas, funcionarios gubernamentales), las actualizaciones continuas de software, la activación de funciones de seguridad mejoradas como el Modo de Aislamiento de Apple y las verificaciones forenses regulares son cruciales. Reconocer que los dispositivos móviles son cada vez más objetivos para el acceso inicial a redes empresariales más amplias.
  4. Abordar el mercado de vulnerabilidades de día cero: Promover políticas que incentiven la divulgación y el parcheo responsables de las vulnerabilidades de día cero en lugar de su acaparamiento y venta con fines ofensivos.
  5. Aumentar la transparencia y la conciencia pública: Apoyar el periodismo de investigación y la investigación de la sociedad civil que expone la proliferación y el uso indebido del software espía comercial, fomentando una mayor presión pública y política para la reforma.
  6. Diversificar el análisis de inteligencia y amenazas: Los gobiernos y las empresas de ciberseguridad deben reconocer el creciente número de proveedores de software espía sofisticados más allá de NSO Group y expandir su recopilación de inteligencia y análisis de amenazas para cubrir todo el espectro de este mercado en diversificación.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


El periodo de verificación de reCAPTCHA ha caducado. Por favor, recarga la página.