Arabia Saudita multada con 3 millones de libras por el uso del software espía Pegasus contra disidentes en el extranjero

Sentencia histórica contra la vigilancia patrocinada por el Estado

En enero de 2026, un tribunal británico concedió al activista saudí y YouTuber político Ghanem Al-Masarir 3 millones de libras en concepto de daños y perjuicios tras declarar al Reino de Arabia Saudita responsable de desplegar sofisticado software espía contra él. El fallo representa una de las victorias legales más significativas contra la vigilancia digital patrocinada por el Estado dirigida a disidentes que viven en el extranjero.

Al-Masarir, quien ha sido un crítico vocal del gobierno saudí desde su base en el Reino Unido, demostró con éxito que agentes de la inteligencia saudí utilizaron el notorio software espía Pegasus de NSO Group para infiltrarse en su dispositivo móvil. El tribunal determinó que esta intrusión digital formaba parte de un patrón más amplio de acoso que incluyó agresiones físicas por parte de agentes saudíes.

La indemnización de 3 millones de libras abarca la compensación por daños psicológicos, costes asociados y pérdida de ingresos resultantes de la campaña de vigilancia y las tácticas de intimidación relacionadas.

Cómo el operador KINGDOM atacó a los disidentes

Según las pruebas presentadas ante el tribunal, Arabia Saudita operaba un cliente de Pegasus identificado como KINGDOM, encargado específicamente de vigilar a críticos y figuras de la oposición fuera de sus fronteras. Este operador enviaba mensajes maliciosos que contenían enlaces diseñados para explotar vulnerabilidades en los sistemas operativos móviles.

Cuando Al-Masarir recibió estos mensajes e interactuó con los enlaces integrados, su dispositivo se infectó con el software espía Pegasus. Una vez instalado, el sofisticado malware otorgó a los atacantes un acceso integral a su vida digital: mensajes, correos electrónicos, fotos, datos de ubicación e incluso la capacidad de activar el micrófono y la cámara de forma remota sin su conocimiento.

Pegasus funciona a través de lo que los investigadores de seguridad llaman exploits de "cero clics" (zero-click) y de "un clic" (one-click). Los ataques de cero clics no requieren ninguna interacción del usuario, mientras que las variantes de un clic necesitan que el objetivo pulse un enlace o abra un archivo. El operador KINGDOM parecía emplear métodos de un clic, enviando mensajes elaborados con URLs maliciosas a Al-Masarir y otros objetivos.

Este tipo de vigilancia va mucho más allá del simple monitoreo. Transforma eficazmente un dispositivo personal en una estación de escucha portátil, capturando conversaciones privadas, rastreando movimientos en tiempo real y recopilando detalles íntimos sobre relaciones, tratos comerciales y rutinas diarias.

El polémico papel de NSO Group

NSO Group, la empresa israelí detrás de Pegasus, ha mantenido durante mucho tiempo que vende su tecnología exclusivamente a agencias gubernamentales de inteligencia y de aplicación de la ley para fines legítimos, como la lucha contra el terrorismo y el crimen organizado. La empresa afirma implementar procesos de investigación estrictos y salvaguardas contractuales para prevenir abusos.

Sin embargo, numerosas investigaciones realizadas por investigadores de ciberseguridad, periodistas y organizaciones de derechos humanos han documentado un uso indebido generalizado de Pegasus. Las listas de objetivos han incluido a periodistas, defensores de los derechos humanos, figuras de la oposición política, abogados e incluso jefes de Estado.

Las revelaciones sobre las actividades de KINGDOM se suman a un creciente cuerpo de evidencia que sugiere que las salvaguardas declaradas por NSO Group han resultado inadecuadas. Supuestamente, múltiples gobiernos han utilizado Pegasus no para fines de seguridad legítimos, sino para la represión política y la vigilancia transnacional de disidentes.

NSO Group se enfrenta a una creciente presión legal y comercial. La empresa fue incluida en una lista negra comercial de EE. UU. en 2021, y Apple ha emprendido acciones legales contra ella por atacar a usuarios de iPhone. Varios países han iniciado investigaciones sobre los despliegues de Pegasus en su territorio.

El patrón más amplio de represión transnacional

El caso de Al-Masarir ilustra un fenómeno preocupante que los expertos en seguridad llaman represión transnacional: gobiernos autoritarios que cruzan fronteras para silenciar, intimidar o dañar a disidentes y críticos que viven en países democráticos.

Las herramientas de vigilancia digital como Pegasus se han convertido en facilitadores clave de estas campañas. Permiten a los gobiernos mantener inteligencia detallada sobre las comunidades en la diáspora sin las complicaciones y los riesgos diplomáticos de desplegar agentes físicos. La información recopilada a través del software espía puede luego informar tácticas de acoso más tradicionales, incluyendo amenazas contra familiares que aún se encuentran en el país de origen, campañas de desprestigio o incluso violencia física.

El tribunal escuchó pruebas de que agentes saudíes agredieron físicamente a Al-Masarir, lo que sugiere que la vigilancia digital formaba parte de una estrategia de intimidación integrada. Esto refleja patrones observados con otros críticos saudíes prominentes, sobre todo el periodista Jamal Khashoggi, quien fue asesinado en el consulado saudí en Estambul en 2018.

Freedom House, una organización de democracia y derechos humanos, ha documentado cientos de casos de represión transnacional en docenas de países. Arabia Saudita aparece regularmente en estos informes, junto a países como China, Rusia, Irán y Ruanda.

Implicaciones legales y técnicas

La indemnización de 3 millones de libras contra Arabia Saudita podría establecer precedentes importantes para responsabilizar a los gobiernos por las violaciones de los derechos digitales cometidas extraterritorialmente. Sin embargo, la ejecución sigue siendo un desafío. Las doctrinas de inmunidad estatal a menudo protegen a los gobiernos de demandas en tribunales extranjeros, aunque existen excepciones para ciertas categorías de daños.

Desde una perspectiva técnica, el caso subraya la necesidad urgente de una seguridad robusta en los dispositivos móviles. Apple y Google han implementado diversas protecciones contra el software espía, incluyendo actualizaciones de seguridad que parchean vulnerabilidades explotadas y nuevas funciones del sistema operativo diseñadas para detectar actividades sospechosas.

Los investigadores de seguridad recomiendan varios pasos prácticos para personas con un riesgo elevado:

Reinicios regulares del dispositivo: Muchas infecciones de Pegasus no pueden persistir tras un reinicio, requiriendo una reinfección. Reiniciar diariamente puede interrumpir la vigilancia.

Modo de aislamiento (Lockdown Mode): El iOS 16 de Apple y versiones posteriores incluyen el Modo de aislamiento, que desactiva muchos vectores de ataque utilizados por software espía sofisticado. Android ofrece opciones similares de endurecimiento.

Actualizar con prontitud: Los parches de seguridad a menudo abordan vulnerabilidades explotadas por el software espía. Instalar actualizaciones a los pocos días de su lanzamiento reduce significativamente las ventanas de exposición.

Dispositivos separados: Las personas de alto riesgo deberían considerar mantener dispositivos distintos para comunicaciones sensibles, utilizando aplicaciones de mensajería cifrada en un teléfono dedicado que se mantenga fuera de línea excepto cuando sea necesario.

Análisis forense profesional: Organizaciones como Amnistía Internacional y Citizen Lab ofrecen servicios de detección de software espía para activistas y periodistas en riesgo.

Qué significa esto para los derechos digitales

El fallo de Al-Masarir llega en un momento de creciente atención internacional hacia la industria del software espía mercenario. El Parlamento Europeo estableció una comisión de investigación para investigar el uso de Pegasus dentro de los estados miembros de la UE. Estados Unidos ha tomado medidas diplomáticas, incluyendo restricciones de visa a personas involucradas en el uso indebido de software espía comercial.

Varios países están considerando o han promulgado legislación para restringir el comercio de software espía. Sin embargo, la industria opera en una zona gris regulatoria, con empresas a menudo registradas en jurisdicciones con poca supervisión mientras realizan operaciones a nivel mundial.

Las organizaciones de derechos humanos abogan por una moratoria global sobre la venta y transferencia de tecnología de vigilancia hasta que se puedan establecer salvaguardas internacionales sólidas. Señalan casos como el de Al-Masarir como evidencia de que los controles de exportación actuales y los programas de cumplimiento corporativo no han logrado prevenir el abuso sistemático.

El mercado del software espía comercial sigue siendo lucrativo, con estimaciones que sugieren que genera miles de millones de dólares anualmente. Más allá de NSO Group, numerosos competidores ofrecen capacidades similares, incluyendo empresas con sede en Europa, América del Norte y otros lugares. Algunos operan de manera más discreta, evitando el escrutinio público que ha envuelto a NSO Group.

Consejos prácticos para activistas y periodistas

Si trabajas como activista, periodista o en cualquier capacidad que pueda convertirte en un objetivo de la vigilancia estatal:

Asume el compromiso: Opera bajo el supuesto de que tus dispositivos principales pueden estar siendo monitoreados. Utiliza este supuesto para guiar tu postura de seguridad.

Compartimentaliza: Separa tu trabajo más sensible de las comunicaciones cotidianas. Utiliza diferentes dispositivos, cuentas y redes para diferentes niveles de riesgo.

Busca apoyo en la comunidad: Conéctate con capacitadores en seguridad digital y organizaciones que se especializan en proteger a personas de alto riesgo. Recursos como la Electronic Frontier Foundation, Access Now y Front Line Defenders ofrecen orientación.

Documenta incidentes: Mantén registros detallados de mensajes sospechosos, comportamientos inusuales del dispositivo o acoso físico. Esta documentación puede resultar crucial en procedimientos legales.

Busca asesoramiento legal: Conoce tus derechos en tu país de residencia y explora si existen opciones legales para responsabilizar a los perpetradores.

Prioriza la salud mental: Ser el objetivo de una vigilancia sofisticada causa un daño psicológico legítimo, como reconoció el tribunal en el caso de Al-Masarir. Busca el apoyo adecuado.

Los 3 millones de libras en daños otorgados a Ghanem Al-Masarir representan más que una compensación financiera. Reconocen la profunda violación que el software espía patrocinado por el Estado inflige a los individuos y señalan que los tribunales en países democráticos pueden responsabilizar a los gobiernos autoritarios por los abusos de los derechos digitales, incluso cuando esos gobiernos operan desde miles de kilómetros de distancia.

Fuentes

• Amnesty International Security Lab - Pegasus Project investigations and technical analyses
• Citizen Lab, University of Toronto - Research publications on NSO Group and Pegasus spyware
• Freedom House - "Out of Sight, Not Out of Reach" report series on transnational repression
• Electronic Frontier Foundation - Documentation of commercial spyware cases
• Apple Security Research - Technical details on spyware exploits and protections
• The Guardian, The Washington Post, BBC News - Reporting on Saudi surveillance campaigns and NSO Group
• European Parliament Committee of Inquiry on Pegasus - Official proceedings and findings