La estafa de Pegasus: así operan los supuestos hackers que amenazan con divulgar datos privados

“Instalé Pegasus en todos tus dispositivos. Tengo acceso a tus fotos, tus chats y tus contactos. Si no pagas, compartiré todo con tu familia y tus colegas.” Ese es el tipo de mensaje que numerosos usuarios han comenzado a recibir en sus correos electrónicos o teléfonos móviles en distintos países.

La amenaza, redactada con precisión para generar pánico, busca convencer a la víctima de que su información personal ha sido comprometida y puede ser difundida en cualquier momento.

Aunque no hay pruebas de que los atacantes hayan accedido realmente a los dispositivos, los mensajes aseguran que el espionaje fue posible gracias a Pegasus, un software que efectivamente existe y ha sido utilizado en contextos de vigilancia estatal. En este caso, sin embargo, se trata de una táctica de engaño.

Los ciberdelincuentes aprovechan el desconocimiento general sobre herramientas de espionaje para obtener dinero mediante extorsión.

El mensaje no se limita a la amenaza. Incluye también instrucciones específicas: pagar 1.900 dólares, en una billetera de Litecoin (LTC), una criptomoneda que permite transacciones anónimas.

Los extorsionadores aseguran que, una vez recibido el dinero, eliminarán toda la supuesta información recopilada y desinstalarán el software espía.

Para reforzar la amenaza, añaden que la víctima no debe contactar a la policía, ni responder al mensaje, ni intentar formatear los dispositivos, advirtiendo que cualquier intento de reacción podría activar la divulgación automática del contenido supuestamente almacenado.

Recomendaciones de seguridad

En Colombia, la Superintendencia de Industria y Comercio ha advertido sobre este tipo de maniobras. En su portal web señala: “Los estafadores usan herramientas técnicas o ingeniería social para comprometer la información personal del consumidor con diferentes objetivos, pero normalmente con la intención de obtener dinero por parte del consumidor”.

Ingresar a un enlace contenido en el correo puede activar la descarga de malware —programas maliciosos diseñados para robar datos o dañar el sistema—, lo que sí pondría en riesgo real la información del usuario.

Los expertos recomiendan no responder a este tipo de mensajes, no abrir enlaces ni archivos adjuntos y evitar realizar cualquier tipo de pago.

También se recomienda reforzar las medidas básicas de seguridad digital: mantener el sistema operativo actualizado, utilizar antivirus, habilitar un firewall, instalar herramientas antiespía y evitar compartir contraseñas o datos sensibles por medios digitales no seguros.

Una amenaza con alcance global

Aunque la circulación reciente de estos mensajes ha sido reportada con mayor frecuencia en Colombia, la modalidad no está restringida a un país en particular.

Este tipo de estafa ha sido documentado en Europa, América Latina y regiones de Asia, con ligeras variaciones en el texto, pero con el mismo patrón general: invocar un supuesto espionaje, reclamar un pago en criptomonedas y generar un ambiente de urgencia.

La estructura de los mensajes, la forma de dirigirse a la víctima y el tipo de amenaza utilizada responden a patrones conocidos en operaciones de fraude digital a gran escala. Se trata de campañas automatizadas, en las que se envían miles de correos electrónicos con la expectativa de que un porcentaje mínimo de usuarios, por miedo o desconocimiento, acceda a pagar.

Hasta el momento no se han reportado casos confirmados en los que los atacantes hayan difundido información real tras una negativa de pago. Las autoridades y especialistas coinciden en que se trata de un mecanismo de intimidación sin acceso técnico efectivo, aunque no se descarta que en casos puntuales se puedan combinar estas amenazas con técnicas más sofisticadas de ataque informático.

La clave para enfrentar este tipo de estafas es comprender que el uso de nombres reales como Pegasus no significa que se haya producido una intervención real de los dispositivos. El uso de herramientas de comunicación seguras, la verificación de fuentes y la denuncia de correos sospechosos son elementos fundamentales para reducir el impacto de estas campañas.