Cómo los hackers pueden controlar teléfonos sin que el usuario haga clic en un enlace
Foto: Ilustración fotográfica de Justin Sullivan/Getty Images
Compartir artículo
Tiempo de lectura: 12 Min.
Tiempo de lectura: 12 Min.
En 2025, la mayoría de las personas se han vuelto inseparables de sus ordenadores portátiles y teléfonos inteligentes. Esa familiaridad ha traído consigo una desconfianza hacia los peligros de hacer clic en correos electrónicos, SMS o mensajes de WhatsApp no solicitados.
Pero existe una amenaza creciente llamada «ataques de cero clics», también conocida como «clic cero», que anteriormente solo se dirigían a personas VIP o muy adineradas debido a su coste y sofisticación.
Un ataque de cero clics es un ciberataque que piratea un dispositivo sin que el usuario haga clic en nada. Puede ocurrir con solo recibir un mensaje, una llamada o un archivo. El atacante utiliza fallos ocultos en aplicaciones o sistemas para tomar el control del dispositivo sin que el usuario tenga que hacer nada, y este no se da cuenta del ataque.
«Aunque la concienciación pública ha aumentado recientemente, estos ataques han evolucionado constantemente a lo largo de muchos años, y se han vuelto más frecuentes con la proliferación de los teléfonos inteligentes y los dispositivos conectados», explicó Nathan House, director ejecutivo de StationX, una plataforma de formación en ciberseguridad con sede en el Reino Unido, a The Epoch Times.
«La vulnerabilidad clave se encuentra en el software y no en el tipo de dispositivo, lo que significa que cualquier dispositivo conectado con debilidades explotables podría ser potencialmente atacado».
Aras Nazarovas, investigador de seguridad de la información de Cybernews (Noticias cibernéticas), declaró a The Epoch Times por qué los ataques de cero clics suelen dirigirse a personas importantes en lugar de a personas comunes.
«Dado que encontrar este tipo de vulnerabilidades sin necesidad de hacer clic es difícil y costoso, la mayoría de las veces se utilizan para obtener acceso a información de figuras clave, como políticos o periodistas en regímenes autoritarios», afirmó.
«A menudo se utilizan en campañas específicas. Es poco habitual que se utilicen para robar dinero».
En junio de 2024, la BBC informó de que la plataforma de redes sociales TikTok había admitido que un número «muy limitado» de cuentas, incluidas las del medio de comunicación CNN, habían sido comprometidas.
„
«Ha sido un mercado de miles de millones de dólares durante años, vendiendo exploits de cero clics y cadenas de exploits». (Aras Nazarovas, investigador de seguridad de la información, Cybernews)
Aunque ByteDance, propietaria de TikTok, no confirmó la naturaleza del ataque, empresas de ciberseguridad como Kaspersky y Assured Intelligence sugirieron que se trataba de un exploit de cero clics.
«La parte que requiere un alto nivel de sofisticación es encontrar los errores que permiten este tipo de ataques y escribir exploits para ellos», aseguró Nazarovas.
«Durante años, la venta de exploits de cero clics y cadenas de exploits ha sido un mercado de miles de millones de dólares. Algunos intermediarios del mercado gris/negro suelen ofrecer entre 500 000 y 1 millón de dólares (entre 443 000 y 886 000 euros) por este tipo de cadenas de exploits para dispositivos y aplicaciones populares».
House indicó que los exploits de clic cero suelen buscar vulnerabilidades en software y aplicaciones que son costosas de descubrir, lo que significa que los autores suelen ser «actores estatales o grupos con gran financiación».
Ampliación de los mercados de spyware
Aunque recientemente se han producido innovaciones en inteligencia artificial (IA) que han hecho más frecuentes ciertos delitos cibernéticos, como la clonación de voz o el vishing, Nazarovas afirma que aún no hay pruebas de que haya aumentado el riesgo de ataques de cero clic.
House afirma que se podría utilizar la IA para «escribir cadenas de exploits de clic cero para personas que, de otro modo, carecerían del tiempo, la experiencia o los conocimientos necesarios para descubrir y escribir dichos exploits».
„
En 2021, The Guardian y otros 16 medios de comunicación denunciaron que algunos gobiernos extranjeros utilizaron Pegasus para vigilar al menos a 180 periodistas y otras personas en todo el mundo
„
Sin embargo, el aumento de los ataques sin clic en los últimos años «se debe principalmente a la expansión de los mercados de spyware y a la mayor disponibilidad de exploits sofisticados, más que a técnicas impulsadas directamente por la IA», afirmó.
House señaló que los ataques sin clic existen desde hace más de una década, y que el más famoso fue el caso del spyware Pegasus.
En julio de 2021, The Guardian y otros 16 medios de comunicación publicaron una serie de artículos en los que se afirmaba que gobiernos extranjeros habían utilizado el software Pegasus, de la empresa israelí NSO Group, para vigilar al menos a 180 periodistas y a muchos otros objetivos en todo el mundo.
Entre los presuntos objetivos de la vigilancia de Pegasus se encontraban el presidente francés Emmanuel Macron, el líder de la oposición india Rahul Gandhi y el escritor del Washington Post Jamal Khashoggi, asesinado en Estambul el 2 de octubre de 2018.
El 6 de mayo, un jurado de California concedió a Meta, la empresa matriz de WhatsApp, 444 719 dólares (409 000 euros aproximadamente) en concepto de indemnización por daños y perjuicios y 167 300 millones de dólares (148 120 millones de euros) en concepto de daños punitivos en un caso de privacidad contra NSO Group.
La demanda de WhatsApp se centró en el software espía Pegasus, que, según la demanda, fue desarrollado «para ser instalado de forma remota y permitir el acceso y control remoto de la información —incluidas llamadas, mensajes y ubicación— en dispositivos móviles que utilizan los sistemas operativos Android, iOS y BlackBerry».
«Objetivos colaterales»
«Aunque los usuarios normales pueden convertirse ocasionalmente en objetivos colaterales, los atacantes suelen reservar estos costosos exploits para personas cuya información es especialmente valiosa o sensible», manifestó Nazarovas.
Según Nazarovas, las empresas ofrecen a los hackers «recompensas por errores» para incentivarlos a encontrar estos exploits y denunciarlos a la empresa en lugar de venderlos a un intermediario que luego los vende a terceros que los utilizan ilegalmente.
House indicó que defenderse de los ataques de cero clics es «difícil», pero que algunas medidas sencillas de ciberseguridad pueden reducir el riesgo.
«Los usuarios deben mantener siempre actualizados el software y los sistemas operativos, reiniciar regularmente sus dispositivos y utilizar modos de seguridad reforzados, como el modo de bloqueo de Apple, especialmente si creen que son objetivos de alto riesgo», expresó.
House señaló que, independientemente de las precauciones que se tomen, es fundamental reconocer que «los ataques excepcionalmente sofisticados, como los de adversarios avanzados de estados-nación, pueden eludir incluso las defensas más robustas».
«Cuando se detectan vulnerabilidades que permiten este tipo de ataques, se pueden corregir rápidamente y aplicar casi de inmediato a miles de millones de personas gracias a las actualizaciones automáticas», subrayó Nazarovas.
Artículo publicado originalmente en The Epoch Times con el título « How Hackers Can Control Phones Without the User Clicking on a Link»
Artículos actuales del autor
SALUD
