Cómo los hackers pueden controlar su teléfono sin que haga clic en un enlace

En 2025, la mayoría de las personas son inseparables de sus ordenadores portátiles y teléfonos inteligentes. Esa familiaridad trajo consigo una desconfianza hacia los peligros de hacer clic en correos electrónicos, SMS o mensajes de WhatsApp no solicitados.

Pero existe una amenaza creciente llamada «ataques sin clic», que antes solo se dirigían a personas VIP o muy adineradas debido a su costo y sofisticación.

Un ataque sin clic es un ciberataque que piratea un dispositivo sin que el usuario haga clic en nada. Puede ocurrir con solo recibir un mensaje, una llamada o un archivo. El atacante utiliza fallos ocultos en aplicaciones o sistemas para tomar el control del dispositivo, sin que el usuario tenga que hacer nada y sin que este se dé cuenta del ataque.

«Aunque la concienciación pública aumentó recientemente, estos ataques evolucionaron constantemente a lo largo de muchos años y se volvieron más frecuentes con la proliferación de los teléfonos inteligentes y los dispositivos conectados», declaró Nathan House, director ejecutivo de StationX, una plataforma de formación en ciberseguridad con sede en el Reino Unido, a The Epoch Times.

«La vulnerabilidad clave se encuentra en el software, más que en el tipo de dispositivo, lo que significa que cualquier dispositivo conectado con debilidades explotables podría ser potencialmente atacado», afirmó.

Aras Nazarovas, investigador de seguridad de la información de Cybernews, explicó a The Epoch Times por qué los ataques de cero clics suelen dirigirse a personas importantes, en lugar de a individuos comunes.

«Dado que encontrar estos exploits de cero clics es difícil y costoso, la mayoría de las veces se utilizan para obtener acceso a información de figuras clave, como políticos o periodistas en regímenes autoritarios», afirmó.

«A menudo se utilizan en campañas específicas. Es raro que se utilicen para robar dinero».

En junio de 2024, la BBC informó de que la plataforma de redes sociales TikTok admitió que un número «muy limitado» de cuentas, incluidas las del medio de comunicación CNN, fueron comprometidas.

Aunque ByteDance, propietaria de TikTok, no confirmó la naturaleza del hackeo, empresas de ciberseguridad como Kaspersky y Assured Intelligence sugirieron que se trataba de un exploit de cero clics.

«La parte que requiere un alto nivel de sofisticación es encontrar los errores que permiten este tipo de ataques y escribir exploits para ellos», explicó Nazarovas.

«Durante años, la venta de exploits de cero clics y cadenas de exploits es un mercado de miles de millones de dólares. Algunos intermediarios del mercado gris/negro suelen ofrecer entre USD 500 mil y 1 millón por este tipo de cadenas de exploits para dispositivos y aplicaciones populares».

Un asistente inspecciona el nuevo iPhone 16 Pro Max durante un evento en la sede de Apple en Cupertino, California, el 9 de septiembre de 2024. Los expertos advierten del aumento de los ataques de cero clics, ciberataques que comprometen los dispositivos sin ninguna interacción del usuario. (Justin Sullivan/Getty Images)

Nazarovas añadió que, aunque los usuarios normales se vieron afectados en el pasado por ataques «drive-by» de cero clics, estos son ataques que surgen tras la instalación involuntaria de software malicioso en un dispositivo, a menudo sin que el usuario se dé cuenta. Se volvieron menos frecuentes con el crecimiento del mercado gris de este tipo de exploits.

House afirmó que los exploits de clic cero suelen buscar vulnerabilidades en software y aplicaciones que son costosas de descubrir, lo que significa que los autores suelen ser «actores estatales o grupos con gran financiación».

Ampliación de los mercados de spyware

House afirmó que se podría utilizar la IA para «escribir cadenas de exploits de cero clics para personas que, de otro modo, carecerían del tiempo, la experiencia o los conocimientos necesarios para descubrir y escribir dichos exploits».

Sin embargo, afirmó que el aumento de los ataques de clic cero en los últimos años «se debe principalmente a la expansión de los mercados de spyware y a la mayor disponibilidad de exploits sofisticados, más que directamente a las técnicas impulsadas por la IA».

Afirmó que los ataques de clic cero existen desde hace más de una década y que el más famoso fue el caso del spyware Pegasus.

En julio de 2021, The Guardian y otros 16 medios de comunicación publicaron una serie de artículos en los que se afirmaba que gobiernos extranjeros utilizaron el software Pegasus, de la empresa israelí NSO Group, para vigilar al menos a 180 periodistas y a muchos otros objetivos en todo el mundo.

Entre los presuntos objetivos de la vigilancia de Pegasus se encontraban el presidente francés Emmanuel Macron, el líder de la oposición india Rahul Gandhi y el escritor del Washington Post Jamal Khashoggi, asesinado en Estambul el 2 de octubre de 2018.

Una mujer consulta la página web del software espía Pegasus, fabricado en Israel, en una oficina de Nicosia, Chipre, el 21 de julio de 2021. Pegasus es relacionado con varios ataques internacionales de alto perfil en los últimos años. (Mario Goldman/AFP a través de Getty Images)

En una declaración realizada en ese momento, NSO Group afirmó: «Como NSO declaró anteriormente, nuestra tecnología no estuvo relacionada de ninguna manera con el atroz asesinato de Jamal Khashoggi».

El 6 de mayo, un jurado de California concedió a Meta, la empresa matriz de WhatsApp, USD 444,719 en concepto de daños compensatorios y USD 167.3 millones en concepto de daños punitivos, en un caso de privacidad contra NSO Group.

La demanda de WhatsApp se centró en el software espía Pegasus, que, según la demanda, fue desarrollado «para ser instalado de forma remota y permitir el acceso y el control a distancia de la información —incluidas las llamadas, los mensajes y la ubicación— de los dispositivos móviles que utilizan los sistemas operativos Android, iOS y BlackBerry».

«Objetivos colaterales»

Según Nazarovas, las empresas ofrecen a los hackers «recompensas por errores» para incentivarlos a encontrar estos exploits y denunciarlos a la empresa, en lugar de venderlos a un intermediario que luego los revende a terceros que los utilizan ilegalmente.

House dijo que defenderse de los ataques de cero clics es «difícil», pero que algunas medidas sencillas de ciberseguridad pueden reducir el riesgo.

«Los usuarios deben mantener siempre actualizados el software y los sistemas operativos, reiniciar regularmente sus dispositivos y utilizar modos de seguridad reforzados, como el modo de bloqueo de Apple, especialmente si creen que son objetivos de alto riesgo», afirmó.

House señaló que, independientemente de las precauciones que se tomen, es fundamental reconocer que «los ataques excepcionalmente sofisticados, como los de adversarios avanzados de estados-nación, pueden eludir incluso las defensas más robustas».

En esta ilustración fotográfica, un hacker escribe en el teclado de un ordenador el 13 de mayo de 2025. (Anna Varavva/The Epoch Times)

Nazarovas afirma que muchas grandes empresas tecnológicas, como Apple, Google y Microsoft, recopilan grandes cantidades de datos de telemetría de miles de millones de dispositivos y los utilizan para detectar exploits de cero clics y otros ataques sofisticados. Los datos de telemetría son información recopilada de forma remota desde dispositivos como teléfonos y ordenadores. Estos datos, especialmente los relativos al uso y el comportamiento de las aplicaciones, se envían a un sistema central para ayudar a mejorar el rendimiento, solucionar problemas o realizar un seguimiento de la actividad.

«Cuando se detectan vulnerabilidades que permiten este tipo de ataques, se pueden solucionar rápidamente y aplicar casi de inmediato a miles de millones de personas gracias a las actualizaciones automáticas», afirma Nazarovas.