¿Cómo funcionan los ataques de zero-click en dispositivos móviles?

El fin de la era del clic: la nueva frontera de la inseguridad

Durante décadas, la educación en ciberseguridad se basó en una premisa sencilla: no hagas clic en enlaces sospechosos. Nos enseñaron a desconfiar de los correos de príncipes lejanos, de los mensajes de texto que reclamaban paquetes no entregados y de los archivos adjuntos con extensiones extrañas. Sin embargo, esa barrera psicológica y técnica ha sido pulverizada por una amenaza que no requiere que el usuario cometa un solo error. Bienvenidos al mundo de los ataques de zero-click o cero clics.

Imaginen que su teléfono, ese dispositivo que vive en su bolsillo y conoce sus secretos más íntimos, es vulnerado mientras duermen. No hubo una notificación extraña, no hubo un enlace engañoso, ni siquiera una llamada que tuvieran que contestar. El atacante simplemente envió un mensaje invisible que el sistema operativo procesó en segundo plano, otorgando control total sobre el micrófono, la cámara y los mensajes cifrados. Esta no es una trama de ciencia ficción; es la realidad técnica que define la guerra fría digital actual.

¿Qué es exactamente un ataque de zero-click?

En términos técnicos, un ataque de zero-click es una vulnerabilidad de ejecución remota de código (RCE) que no requiere interacción humana. A diferencia del phishing tradicional, donde el atacante debe convencer a la víctima para que ejecute una acción, aquí el software malicioso aprovecha fallos en la forma en que el dispositivo procesa los datos entrantes. El dispositivo recibe una información —un mensaje, una imagen, un paquete de datos de red— y, al intentar interpretarla para mostrarla en pantalla o gestionarla internamente, activa el código malicioso.

La sofisticación de estos ataques radica en su invisibilidad. La mayoría de las aplicaciones de mensajería moderna, como iMessage, WhatsApp o Signal, están diseñadas para ofrecer una experiencia de usuario fluida. Esto implica que el sistema previsualiza enlaces, procesa imágenes para crear miniaturas o indexa contenido antes de que el usuario abra la aplicación. Es precisamente en ese proceso de pre-procesamiento donde reside el peligro.

La anatomía técnica del silencio

Para entender cómo ocurre esto, debemos sumergirnos en la gestión de memoria de los sistemas operativos móviles. Tanto iOS como Android utilizan bibliotecas complejas para manejar diferentes formatos de archivos. Cuando recibes un archivo PDF por iMessage, el sistema utiliza una biblioteca específica para renderizar ese PDF. Si esa biblioteca tiene un fallo de desbordamiento de búfer (buffer overflow), un atacante puede enviar un PDF malformado que, al ser procesado, escriba datos en áreas de la memoria que no le corresponden.

Este proceso suele seguir una cadena de explotación muy precisa:

• Entrega silenciosa: El atacante envía un paquete de datos a través de un servicio de red (SMS, MMS, iMessage, WhatsApp, o incluso protocolos de señalización telefónica como SS7).
• Procesamiento automático: El sistema operativo recibe los datos y los pasa a un ‘parser’ o analizador. El usuario no ve nada porque el sistema está programado para manejar estas tareas en segundo plano para ahorrar tiempo al usuario.
• Disparo de la vulnerabilidad: El analizador encuentra un error lógico o de memoria en el archivo malformado. Esto permite al atacante ‘saltar’ fuera del entorno seguro de la aplicación.
• Escalada de privilegios: Una vez que el código malicioso se ejecuta dentro del proceso de la aplicación, busca vulnerabilidades adicionales en el kernel del sistema operativo para obtener permisos de administrador (root).
• Persistencia y exfiltración: El malware se instala, borra las huellas del mensaje original y comienza a enviar datos a un servidor de comando y control.

El caso Pegasus y la explotación ForcedEntry

No se puede hablar de ataques de zero-click sin mencionar al NSO Group y su software espía Pegasus. Uno de los hitos más alarmantes en la historia de la ciberseguridad fue el descubrimiento de la vulnerabilidad denominada ForcedEntry. Los investigadores de Citizen Lab descubrieron que Pegasus estaba utilizando un fallo en la biblioteca de renderizado de imágenes de Apple (CoreGraphics) para infectar iPhones.

El ataque era de una elegancia técnica aterradora. Utilizaba un archivo PDF disfrazado de extensión .gif. Cuando iMessage intentaba procesar este supuesto GIF para mostrar una vista previa, activaba un desbordamiento de enteros en un decodificador de compresión de imágenes antiguo (JBIG2). Lo asombroso es que los atacantes utilizaron las capacidades lógicas de este decodificador para construir una computadora virtual dentro de la memoria del iPhone, permitiéndoles ejecutar comandos complejos sin tocar un solo bit del código principal del sistema al inicio.

Este nivel de profundidad demuestra que los atacantes no solo buscan errores simples; están realizando ingeniería inversa de bibliotecas de código que tienen décadas de antigüedad y que los desarrolladores modernos a menudo olvidan auditar. Es una arqueología digital con fines bélicos.

Por qué los dispositivos móviles son el objetivo perfecto

Podríamos pensar que un ordenador de sobremesa es más vulnerable, pero el smartphone es el santo grial de la vigilancia por varias razones fundamentales:

La convergencia de sensores

Un teléfono tiene micrófonos, cámaras frontales y traseras, GPS, acelerómetros y giroscopios. Un ataque exitoso de zero-click convierte al dispositivo en un espía ambiental que sigue a la víctima a todas partes, incluso a reuniones privadas o al dormitorio.

La confianza ciega en las aplicaciones de mensajería

Confiamos en el cifrado de extremo a extremo de WhatsApp o Signal. Sin embargo, el cifrado solo protege los datos en tránsito. Si el ataque ocurre en el punto final (el dispositivo), el atacante puede leer los mensajes directamente desde la memoria de la aplicación después de que hayan sido descifrados por el sistema legítimo. El cifrado se vuelve irrelevante si el sistema que debe descifrar el mensaje está comprometido.

La superficie de ataque de la red celular

Los smartphones están constantemente comunicándose con torres de telefonía. Protocolos como el SS7 (Signalling System No. 7), que gestiona las llamadas y los SMS a nivel global, son intrínsecamente inseguros. Un atacante con acceso a la red troncal de telecomunicaciones puede redirigir llamadas o interceptar mensajes sin que el sistema operativo del teléfono tenga oportunidad de defenderse.

El mercado de las vulnerabilidades zero-day

Un ataque de zero-click no es algo que un hacker aficionado pueda realizar en su garaje. Requiere el uso de vulnerabilidades zero-day (fallos desconocidos por el fabricante). Estas vulnerabilidades tienen un valor de mercado inmenso. Empresas como Zerodium ofrecen hasta 2 millones de dólares por una cadena de explotación de zero-click completa y persistente para iOS o Android.

Este incentivo económico ha creado una industria de vigilancia privada que vende estas herramientas a gobiernos y agencias de inteligencia. El problema es que, una vez que estas armas digitales se crean, es solo cuestión de tiempo que se filtren o que otros actores encuentren el mismo agujero. Lo que hoy es una herramienta de ‘seguridad nacional’ para un estado, mañana es una herramienta de extorsión para un grupo criminal.

Estrategias de defensa: ¿estamos realmente protegidos?

La industria ha respondido con medidas de endurecimiento del sistema. Apple, por ejemplo, introdujo BlastDoor en iOS 14, un servicio de sandbox (caja de arena) extremadamente estricto cuya única función es procesar los datos de iMessage de forma aislada del resto del sistema. Si un ataque ocurre dentro de BlastDoor, en teoría, no puede propagarse al resto del iPhone.

Sin embargo, la historia nos enseña que por cada muro que se construye, se diseña una escalera más alta. Los ataques de zero-click ahora buscan vulnerabilidades en otros componentes, como los controladores de Wi-Fi o los chips de banda base (baseband), que operan a un nivel incluso más bajo que el sistema operativo principal.

El modo de aislamiento (Lockdown Mode)

Para usuarios de alto riesgo, como periodistas, activistas o políticos, Apple introdujo el Lockdown Mode. Este estado reduce drásticamente la funcionalidad del teléfono: bloquea la mayoría de los archivos adjuntos en mensajes, desactiva tecnologías web complejas y bloquea llamadas de desconocidos. Es, esencialmente, convertir tu smartphone en un ‘dumbphone’ glorificado para reducir la superficie de ataque. Es una admisión implícita de que, en un estado de funcionamiento normal, la seguridad total es imposible.

Reflexión sobre la arquitectura de la confianza

El problema de fondo no es solo un error de código aquí o allá. El problema es nuestra demanda de conveniencia. Queremos que las fotos se descarguen solas, que los videos se reproduzcan automáticamente y que el teléfono anticipe nuestras necesidades. Cada una de estas funciones automáticas es una puerta abierta para un ataque de zero-click.

Como sociedad, debemos preguntarnos si la arquitectura actual de nuestros sistemas operativos es sostenible. Quizás necesitemos volver a un modelo donde la interacción del usuario sea un requisito físico para el procesamiento de datos externos. Pero en un mundo que se mueve a la velocidad de la luz, ¿quién está dispuesto a aceptar esa fricción?

La ciberseguridad ya no se trata de evitar el clic erróneo; se trata de gestionar la exposición en un entorno donde el simple hecho de estar conectado nos hace vulnerables. La transparencia de los fabricantes y la auditoría constante de las bibliotecas de código abierto son los únicos caminos hacia una defensa real, aunque nunca será absoluta.

Preguntas Frecuentes (FAQs)