En 2025, la mayoría de las personas se han vuelto inseparables de sus ordenadores portátiles y teléfonos inteligentes. Esa familiaridad ha traído consigo una desconfianza hacia los peligros de hacer clic en correos electrónicos, SMS o mensajes de WhatsApp no solicitados.
Pero existe una amenaza creciente llamada «ataques de cero clics», también conocida como «clic cero», que anteriormente solo se dirigían a personas VIP o muy adineradas debido a su coste y sofisticación.
Un ataque de cero clics es un ciberataque que piratea un dispositivo sin que el usuario haga clic en nada. Puede ocurrir con solo recibir un mensaje, una llamada o un archivo. El atacante utiliza fallos ocultos en aplicaciones o sistemas para tomar el control del dispositivo sin que el usuario tenga que hacer nada, y este no se da cuenta del ataque.
«Aunque la concienciación pública ha aumentado recientemente, estos ataques han evolucionado constantemente a lo largo de muchos años, y se han vuelto más frecuentes con la proliferación de los teléfonos inteligentes y los dispositivos conectados», explicó Nathan House, director ejecutivo de StationX, una plataforma de formación en ciberseguridad con sede en el Reino Unido, a The Epoch Times.
«La vulnerabilidad clave se encuentra en el software y no en el tipo de dispositivo, lo que significa que cualquier dispositivo conectado con debilidades explotables podría ser potencialmente atacado».
Aras Nazarovas, investigador de seguridad de la información de Cybernews (Noticias cibernéticas), declaró a The Epoch Times por qué los ataques de cero clics suelen dirigirse a personas importantes en lugar de a personas comunes.
«Dado que encontrar este tipo de vulnerabilidades sin necesidad de hacer clic es difícil y costoso, la mayoría de las veces se utilizan para obtener acceso a información de figuras clave, como políticos o periodistas en regímenes autoritarios», afirmó.
«A menudo se utilizan en campañas específicas. Es poco habitual que se utilicen para robar dinero».
En junio de 2024, la BBC informó de que la plataforma de redes sociales TikTok había admitido que un número «muy limitado» de cuentas, incluidas las del medio de comunicación CNN, habían sido comprometidas.
«Ha sido un mercado de miles de millones de dólares durante años, vendiendo exploits de cero clics y cadenas de exploits». (Aras Nazarovas, investigador de seguridad de la información, Cybernews)
Aunque ByteDance, propietaria de TikTok, no confirmó la naturaleza del ataque, empresas de ciberseguridad como Kaspersky y Assured Intelligence sugirieron que se trataba de un exploit de cero clics.
«La parte que requiere un alto nivel de sofisticación es encontrar los errores que permiten este tipo de ataques y escribir exploits para ellos», aseguró Nazarovas.
«Durante años, la venta de exploits de cero clics y cadenas de exploits ha sido un mercado de miles de millones de dólares. Algunos intermediarios del mercado gris/negro suelen ofrecer entre 500 000 y 1 millón de dólares (entre 443 000 y 886 000 euros) por este tipo de cadenas de exploits para dispositivos y aplicaciones populares».
Nazarovas señaló que los usuarios comunes han sido víctimas en el pasado de ataques «drive-by» de cero clics. Se trata de ataques que surgen tras la instalación involuntaria de software malicioso en un dispositivo, a menudo sin que el usuario se dé cuenta. Se han vuelto menos frecuentes con el crecimiento del mercado gris de este tipo de exploits.
House indicó que los exploits de clic cero suelen buscar vulnerabilidades en software y aplicaciones que son costosas de descubrir, lo que significa que los autores suelen ser «actores estatales o grupos con gran financiación».
Ampliación de los mercados de spyware
Aunque recientemente se han producido innovaciones en inteligencia artificial (IA) que han hecho más frecuentes ciertos delitos cibernéticos, como la clonación de voz o el vishing, Nazarovas afirma que aún no hay pruebas de que haya aumentado el riesgo de ataques de cero clic.
House afirma que se podría utilizar la IA para «escribir cadenas de exploits de clic cero para personas que, de otro modo, carecerían del tiempo, la experiencia o los conocimientos necesarios para descubrir y escribir dichos exploits».
En 2021, The Guardian y otros 16 medios de comunicación denunciaron que algunos gobiernos extranjeros utilizaron Pegasus para vigilar al menos a 180 periodistas y otras personas en todo el mundo
Sin embargo, el aumento de los ataques sin clic en los últimos años «se debe principalmente a la expansión de los mercados de spyware y a la mayor disponibilidad de exploits sofisticados, más que a técnicas impulsadas directamente por la IA», afirmó.
House señaló que los ataques sin clic existen desde hace más de una década, y que el más famoso fue el caso del spyware Pegasus.
En julio de 2021, The Guardian y otros 16 medios de comunicación publicaron una serie de artículos en los que se afirmaba que gobiernos extranjeros habían utilizado el software Pegasus, de la empresa israelí NSO Group, para vigilar al menos a 180 periodistas y a muchos otros objetivos en todo el mundo.
Entre los presuntos objetivos de la vigilancia de Pegasus se encontraban el presidente francés Emmanuel Macron, el líder de la oposición india Rahul Gandhi y el escritor del Washington Post Jamal Khashoggi, asesinado en Estambul el 2 de octubre de 2018.
En una declaración realizada en ese momento, NSO Group afirmó: «Como NSO ha declarado anteriormente, nuestra tecnología no estuvo relacionada de ninguna manera con el atroz asesinato de Jamal Khashoggi».
El 6 de mayo, un jurado de California concedió a Meta, la empresa matriz de WhatsApp, 444 719 dólares (409 000 euros aproximadamente) en concepto de indemnización por daños y perjuicios y 167 300 millones de dólares (148 120 millones de euros) en concepto de daños punitivos en un caso de privacidad contra NSO Group.
La demanda de WhatsApp se centró en el software espía Pegasus, que, según la demanda, fue desarrollado «para ser instalado de forma remota y permitir el acceso y control remoto de la información —incluidas llamadas, mensajes y ubicación— en dispositivos móviles que utilizan los sistemas operativos Android, iOS y BlackBerry».
«Objetivos colaterales»
«Aunque los usuarios normales pueden convertirse ocasionalmente en objetivos colaterales, los atacantes suelen reservar estos costosos exploits para personas cuya información es especialmente valiosa o sensible», manifestó Nazarovas.
Según Nazarovas, las empresas ofrecen a los hackers «recompensas por errores» para incentivarlos a encontrar estos exploits y denunciarlos a la empresa en lugar de venderlos a un intermediario que luego los vende a terceros que los utilizan ilegalmente.
House indicó que defenderse de los ataques de cero clics es «difícil», pero que algunas medidas sencillas de ciberseguridad pueden reducir el riesgo.
«Los usuarios deben mantener siempre actualizados el software y los sistemas operativos, reiniciar regularmente sus dispositivos y utilizar modos de seguridad reforzados, como el modo de bloqueo de Apple, especialmente si creen que son objetivos de alto riesgo», expresó.
House señaló que, independientemente de las precauciones que se tomen, es fundamental reconocer que «los ataques excepcionalmente sofisticados, como los de adversarios avanzados de estados-nación, pueden eludir incluso las defensas más robustas».
Nazarovas añadió que muchas grandes empresas tecnológicas, como Apple, Google y Microsoft, recopilan una gran cantidad de datos de telemetría de miles de millones de dispositivos y los utilizan para detectar exploits de cero clics y otros ataques sofisticados. Los datos de telemetría son información recopilada de forma remota desde dispositivos como teléfonos y ordenadores. Estos datos, especialmente los relacionados con el uso y el comportamiento de las aplicaciones, se envían a un sistema central para ayudar a mejorar el rendimiento, solucionar problemas o realizar un seguimiento de la actividad.
«Cuando se detectan vulnerabilidades que permiten este tipo de ataques, se pueden corregir rápidamente y aplicar casi de inmediato a miles de millones de personas gracias a las actualizaciones automáticas», subrayó Nazarovas.
Artículo publicado originalmente en The Epoch Times con el título « How Hackers Can Control Phones Without the User Clicking on a Link»
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en España y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.
