Incidentes Asociados
El software espía adquirido por los gobiernos amenaza cada vez más a la población civil. Si bien los ataques de software espía sofisticados pueden ser muy difíciles de evitar, mantener una higiene básica en internet y mantenerse alerta puede ayudar a minimizar los riesgos.
En febrero, el Sindicato Nacional de Periodistas de Italia presentó una denuncia penal contra el gobierno del país tras silenciar las preguntas sobre presunto espionaje en el parlamento.
Basándose en las alertas de WhatsApp enviadas a unos 90 usuarios en Europa, el sindicato afirmó que su gobierno utilizó el software espía Graphite, creado por la empresa israelí Paragon Solutions, para espiar al activista Luca Casarini y a los periodistas del país.
El gobierno italiano negó estas acusaciones. Sin embargo, Paragon Solutions, adquirida por la empresa de inversión estadounidense el año pasado, rescindió el contrato por incumplir sus términos de servicio, según fuentes de The Guardian (https://www.theguardian.com/technology/2025/feb/06/owner-of-spyware-used-in-alleged-whatsapp-breach-ends-contract-with-italy).
Este fue solo uno de los muchos ejemplos de cómo las herramientas de spyware, inicialmente diseñadas para espiar a delincuentes y terroristas, se descontrolaron y atacaron a civiles. Este año, Michael Casey, director del Centro Nacional de Contrainteligencia y Seguridad de EE. UU., afirmó que casi 100 gobiernos, incluidos muchos regímenes autoritarios, han adquirido herramientas de software de vigilancia para teléfonos inteligentes.
Los datos de Casey sugieren que la industria está creciendo. Entre 2011 y 2023, 74 gobiernos firmaron contratos con empresas comerciales para obtener software espía o tecnología forense digital, según el centro de estudios estadounidense Carnegie Endowment (https://carnegieendowment.org/research/2023/03/why-does-the-global-spyware-industry-continue-to-thrive-trends-explanations-and-responses?lang=en).
Casey también advirtió que el software espía es cada vez más accesible para los ciberdelincuentes en el mercado negro.
8 de cada 1000 infecciones de Pegasus
La mayoría del software espía a nivel gubernamental proviene de Israel o es creado por exfuncionarios de los servicios de inteligencia del país, seguido por varios países de la Unión Europea, como Italia.
Las herramientas más sofisticadas, como Graphite de Paragon o Pegasus de NSO Group, son de "cero clics", lo que significa que los usuarios no necesitan hacer clic en un enlace ni realizar ninguna otra acción para que un dispositivo se infecte.
Pegasus se ha considerado indetectable durante muchos años; sin embargo, los fabricantes de smartphones y software han comenzado a notificar a los usuarios sobre el spyware más recientemente. También existen herramientas disponibles públicamente, como el kit de Amnistía Internacional y la aplicación de escaneo de iVerify, que permiten a los usuarios escanear dispositivos y potencialmente detectar Pegasus.
"Los teléfonos móviles están en la primera línea de la proliferación de spyware, y las llamadas capacidades de "cero clics" siguen siendo la última novedad en cuanto a herramientas. Las mejores capacidades las desarrollan empresas como NSO Group, Intellexa y Paragon, aunque estamos viendo que los grupos de hackers tradicionales rápidamente igualan su destreza", declaró Rocky Cole, cofundador y director de operaciones del proveedor de soluciones de seguridad móvil iVerify.
Señala que la arquitectura que hace que los teléfonos sean muy seguros para el público general los hace más vulnerables a atacantes decididos, ya que es difícil recopilar suficiente telemetría de un teléfono moderno para detectar spyware.
iVerify afirma haber detectado 11 casos de Pegasus en diciembre de 18 000 intentos, y todos los positivos se dieron en el ámbito empresarial.
Cole afirma que los ataques móviles se han vuelto más frecuentes y ya no se limitan a objetivos de alto perfil, lo que pone en riesgo a empresas enteras.
"Cuando está a punto de realizarse una gran transacción financiera, es cuando aparece el spyware. El año pasado realizamos un experimento natural que sugirió que podría haber alrededor de 0,8 infecciones de spyware por cada 1000 teléfonos móviles entre la población "frecuentemente hackeada"", añade.
¿Por qué es difícil detectar spyware?
Además de NSO Group y Paragon Solutions, existen docenas de otros proveedores de spyware. El año pasado, el Grupo de Análisis de Amenazas de Google identificó 40 empresas involucradas en la venta y el suministro de exploits de seguridad y servicios de spyware a gobiernos.
Niranjan Jayanand, del Equipo de Investigación de Amenazas de CyberProof, menciona a Candiru, NoviSpy, Hermit y Predator entre las más destacadas.
Según él, si bien el spyware suele atacar a activistas, abogados y personal gubernamental, hay indicios de que los civiles también están siendo atacados con mayor frecuencia.
Esto podría atribuirse a la creciente política de que los usuarios lleven sus propios dispositivos al trabajo, lo que ofrece un espectro más amplio de ataques para los actores de amenazas.
Los hackers chinos son conocidos por la vigilancia de civiles, y la policía local utiliza EagleMsgSpy como herramienta de interceptación legal.
"EagleMsgSpy parece requerir acceso físico al dispositivo objetivo para activar la operación de recopilación de información. El cliente de vigilancia puede obtenerse mediante diversos métodos, como códigos QR o mediante un dispositivo físico que se instala en el teléfono al conectarlo a una conexión USB", afirma Jayanand.
Además, se dice que hackers chinos, operados por el Estado, son responsables de los ataques Salt Typhoon, que podrían afectar a millones de personas, incluyendo a quienes ocupan puestos gubernamentales y políticos sensibles.
Al preguntarle por qué es tan difícil detectar el spyware, Jayanand explica que a menudo opera a nivel de kernel del sistema operativo en lugar de a nivel de usuario, lo que dificulta comprender cómo interactúan con el dispositivo.
Algunos programas espía utilizan "bombas de tiempo" que se activan solo en una fecha y hora específicas, lo que dificulta enormemente la detección temprana. Los atacantes pueden usar operaciones de bandera falsa, haciéndose pasar por una operación de software espía conocida o atribuyendo falsamente el ataque a un gobierno o agencia específica, lo que complica aún más los esfuerzos de atribución y detección", explica Jayanand.
Criatura secreta de la industria
Según Mithilesh Ramaswamy, ingeniero sénior de seguridad en Microsoft, la principal razón por la que las empresas venden herramientas de software espía es el dinero.
"Los fabricantes de software espía han encontrado un mercado financieramente lucrativo, impulsado por la proliferación masiva de dispositivos de consumo, que sirven como la llave de nuestro reino de información personal. A medida que crece la demanda, también crece la oferta, con mercados enteros de software espía que surgen en la red oscura", afirma.
Este ciclo se retroalimenta: una mayor disponibilidad genera mejores herramientas, las mejores herramientas impulsan una mayor demanda y el mercado se expande aún más.
Es difícil estimar los ingresos y las ganancias de los proveedores de software espía debido a la naturaleza secreta de la industria.
NSO Group, por ejemplo, que quería cotizar en bolsa, reportó ingresos de 243 millones de dólares en 2020. Sin embargo, al año siguiente, en 2021, fue incluido en la lista negra del gobierno estadounidense por vender tecnología a regímenes autoritarios para atacar a civiles, lo que afectó significativamente sus finanzas y agravó sus problemas financieros.
Varias publicaciones afirman que el mercado total de software espía alcanzó un valor de 12 000 millones de dólares entre 2022 y 2023, citando un artículo del New Yorker que no incluía la fuente.
Señales de software espía
¿Qué probabilidades hay de que el dispositivo de un usuario esté infectado con software espía?
Según Cole, muchas personas son demasiado desconfiadas. Observan que su teléfono "actúa de forma extraña" y asumen que debe estar hackeado cuando, en realidad, podría estar ejecutando algún código defectuoso.
Sin embargo, los casos de spyware entre la población frecuentemente hackeada, como funcionarios gubernamentales, abogados y activistas, están aumentando.
Y como los ataques de "un solo clic" no presentan señales visibles, hay poco que uno pueda hacer para protegerse.
"Pero la mayoría del spyware es de un solo clic, lo que significa que recibirás un mensaje de texto de alguien que no conoces con un enlace o archivo malicioso. En raras ocasiones, notarás que la batería de tu teléfono se agota más rápido, o que tu internet parece repentinamente más lento dondequiera que vayas", añade Cole.
Según Ramaswamy, la activación del micrófono o la cámara sin ninguna acción es una clara advertencia de que algo o alguien podría estar observando.
Jayanand añade que anomalías, como funciones que funcionan mal y software de seguridad defectuoso, también podrían ser señales de la presencia de spyware en un dispositivo.
Aunque los ataques sofisticados pueden ser difíciles de detectar, los expertos recomiendan mantener la seguridad actualizando periódicamente el sistema operativo y las aplicaciones, instalando software solo de fuentes confiables y evitando mensajes y correos electrónicos no solicitados.