No todas las amenazas de ciberseguridad viven en servidores y en macros infectadas. Algunas viajan directamente en su bolsillo, disfrazadas de procesos en segundo plano y casi sin delatar su presencia. Esa amenaza invisible es el software espía (o, más simplemente, la “intervención digital” legitimada), desarrollado por especialistas en ciberespionaje. Y si el nombre Pegasus hace tiempo que se volvió genérico, su “hermano” para Android llamado Chrysaor, así como Reign, DarkMatter, FinFisher y otras soluciones, también merecen un apartado. Al menos para comprender con qué nos enfrentamos y cómo intentar protegernos.
Por qué los teléfonos inteligentes están en el centro de atención
No hace falta ser un genio de la conspiración para notar la tendencia: cuanto más popular es un dispositivo, más atractivo resulta para la inteligencia y los atacantes. Los teléfonos inteligentes, sobre todo los que funcionan con Android e iOS, hace tiempo que dejaron de ser simples medios de comunicación. En ellos se guardan aplicaciones bancarias, secretos corporativos, contraseñas, fotos personales, notas de voz y a veces grandes volúmenes de mensajes. Todo eso es un tesoro subestimado de información al que muchas organizaciones intentan acceder. Los organismos estatales o las empresas especializadas en “armamento digital” siempre buscan vías, legales o no tanto, para penetrar la valla virtual de su privacidad.
En los últimos años se ha extendido especialmente el mercado de herramientas “legítimas” de interceptación, utilizadas por fuerzas de seguridad con fines oficiales: lucha contra el terrorismo y la delincuencia. En la práctica, sin embargo, han surgido escándalos cuando esos programas se aplican contra periodistas, opositores o personas incómodas. Y todo ello, por supuesto, no ocurre solo en el extranjero, sino también más cerca de la realidad rusa, donde también han sucedido historias curiosas con escuchas.
Árbol genealógico de Pegasus: conocemos a Chrysaor
El nombre Pegasus ha aparecido en numerosas investigaciones sonadas, pero de Chrysaor se suele hablar menos. Y con razón: se trata de una solución de la misma NSO Group que opera en Android. Algunos lo llaman “hermano” de Pegasus, pero una descripción más precisa es la de un producto especializado en las plataformas móviles de Google. En cuanto a funcionalidades, es capaz de mucho:
- Intercepción de mensajes SMS;
- Grabación de llamadas telefónicas y del entorno;
- Exfiltración de contactos, archivos multimedia y geolocalización;
- Activación remota del micrófono y la cámara sin aviso al usuario.
Suena inquietante, pero desde el punto de vista técnico no hay magia: un exploit se introduce en el sistema mediante vulnerabilidades de Android (o a través de aplicaciones no verificadas). Luego Chrysaor obtiene privilegios de superusuario, y listo: se abre un acceso completo a la cronología de su vida digital. Formalmente, como Pegasus, Chrysaor se presenta para “operaciones legales de investigación”. Pero todos entienden que su uso es realmente legal solo en casos concretos, mientras que en muchas situaciones se aprovecha un vacío en el marco jurídico.
Las víctimas rara vez se percatan de lo sucedido. Los antivirus casi no reaccionan, y el sistema Android no suele “avisar” al usuario cuando sus permisos de root están comprometidos. Detectar este software es difícil incluso para especialistas: en un teléfono rooteado quedan muy pocas huellas. De ahí el riesgo para periodistas, defensores de derechos humanos y cualquier persona que pueda entrar en una “zona de interés elevado”. Y si Pegasus es una marca rodeada de escándalos internacionales, Chrysaor conserva por ahora una sombra de menor reconocimiento, lo que juega a favor de quienes lo emplean.
Reign: otra herramienta israelí de vigilancia
Pasamos al competidor: Reign, desarrollado por la empresa QuaDream. Otra vez Israel, otra vez la reputación de producto de ciberespionaje de alto nivel, casi a la par con Pegasus. Según rumores (y la información fiable sobre estos proyectos siempre es escasa), Reign está destinado al seguimiento de dispositivos con iOS y Android, usando un conjunto de exploits complejos. En la comunidad cibernética a veces se le describe como una solución “más nicho”. Se dice que QuaDream no se expone tanto en el mercado, pero ofrece capacidades exclusivas a un círculo reducido de clientes.
Los métodos de intrusión, según analistas, se parecen a los que emplea NSO Group: se usan vulnerabilidades tipo zero-click que no requieren ninguna acción por parte del propietario del teléfono. Basta con recibir un mensaje o una notificación push especial para que en el dispositivo se ejecute un exploit que abra camino al núcleo del sistema. Dado que el mercado de estas soluciones está orientado a estructuras estatales, el coste de las licencias puede contarse en millones de dólares, y adquirirlas con rublos suele ser poco trivial, teniendo en cuenta sanciones y limitaciones financieras. Para servicios con recursos suficientes, Reign resulta demandado, pues permite extraer datos de un smartphone sin ser detectado y enviarlos a un panel remoto. En las realidades locales rusas todo depende de los vínculos políticos y las capacidades técnicas, pero los rumores sobre Reign aparecen cada vez con más frecuencia en debates de expertos.
DarkMatter: la aportación de los EAU a la carrera mundial del ciberespionaje
Israel es conocido por contar con grandes profesionales en ciberseguridad, pero ¿qué hay de los Emiratos Árabes Unidos? Tienen su propio desarrollo: DarkMatter. Esta entidad se vincula directamente con proyectos gubernamentales orientados a la vigilancia de ciudadanos y disidentes. La información pública sobre DarkMatter es escasa: investigaciones periodísticas y filtraciones indican que la compañía contrató a exfuncionarios de servicios secretos occidentales. El objetivo: crear una “sección de ciberespionaje” interna, especializada en comprometer dispositivos móviles y en perfilar usuarios.
Es notable que DarkMatter se presentara como una empresa de seguridad informática, pero al final su implicación en “vigilancia activa” aparece en todas partes. A diferencia de Pegasus y Chrysaor, las herramientas de DarkMatter aparecen menos en escándalos internacionales, porque prácticamente no se venden en el mercado abierto ni se ven en compras estatales occidentales. Se supone que se usan localmente en interés de las autoridades de los EAU, aunque nadie descarta una geografía de aplicación más amplia. Teniendo en cuenta lo poco que sabemos sobre el funcionamiento real de ese software, resulta lógico suponer que no es menos peligroso que sus homólogos israelíes.
¿Por qué hay que temerlo? En manos del Estado, estas herramientas se convierten rápidamente en instrumentos de represión del disenso. Si DarkMatter dispone de exploits para Android e iOS, al usuario común le resulta aún más difícil garantizar su privacidad. Ni siquiera los mensajeros cifrados protegen si existe acceso total al dispositivo: cualquier correspondencia puede verse en claro. Y más aún cuando el aparato se explota de forma remota mediante acceso root.
FinFisher de Gamma Group: cuando el software espía se convierte en “clásico”
FinFisher lo desarrolla la empresa alemana Gamma Group y en el mercado de la inteligencia digital ya no es una novedad. Existe desde hace tiempo y se actualiza de manera continua, ofreciendo capacidades para la “auditoría remota” de ordenadores y dispositivos móviles en todo el mundo. Se sabe que FinFisher funciona no solo en sistemas móviles (Android, iOS), sino que también soporta Windows, macOS y Linux. En esencia, es una plataforma de espionaje multifunción que se instala en el sistema camuflada como software inocuo o mediante enlaces de phishing.
Principales capacidades de FinFisher:
- Registro de pulsaciones de teclas (keylogger);
- Conexión al micrófono y a la cámara en tiempo real;
- Robo de contraseñas e historial de navegador;
- Intercepción de llamadas de Skype y otros servicios VoIP;
- Acceso a correos y conversaciones en clientes de mensajería.
Lo que distingue a FinFisher de muchos competidores es la amplia experiencia en construir esquemas “legales” para suministrar el producto a fuerzas de orden. Por supuesto, han habido escándalos sonados que revelaron que el software pudo emplearse contra activistas opositores. En la realidad rusa se ha mencionado solo en investigaciones aisladas, pero considerando la clientela global de Gamma Group, no se puede descartar su presencia en algún lugar de nuestras latitudes. Especialmente si se tiene en cuenta que para estructuras locales con presupuesto en rublos es posible encontrar esquemas “de compromiso” para el pago. Filtraciones y publicaciones sobre FinFisher confirman que su funcionalidad sigue ampliándose, por lo que los aficionados a la seguridad no deben relajarse.
Otros instrumentos de espionaje: breve repaso
La lista de sistemas similares no se reduce a cuatro nombres. El mercado del software espía es amplio y cuenta con muchos actores locales dispuestos a desarrollar o adaptar exploits según pedidos concretos. Entre proyectos parcialmente conocidos:
- Galileo de Hacking Team: desarrollo italiano con capacidad para atacar plataformas móviles y de escritorio.
- Remote Control System: aparece en diversos documentos como software para gestionar un conjunto de dispositivos, utilizado en varios países.
- Skygofree: variante rusa de software espía para Android, sobre la que han escrito medios internacionales en el contexto de ataques a usuarios locales.
Todas estas herramientas están diseñadas para operar de forma discreta y penetrar profundamente en el sistema. A menudo se evaden los antivirus y se utiliza un mecanismo de autodestrucción que borra las huellas si se detecta un intento de análisis.
¿Qué puede hacer un usuario común?
La primera reacción suele ser entrar en pánico y lanzar el teléfono a la primera corriente de agua. Pero, en primer lugar, eso puede acarrear una multa por contaminación, y en segundo lugar no garantiza seguridad total. Es mejor aplicar medidas de precaución sensatas:
- Mantener el sistema actualizado. Muchos ataques explotan vulnerabilidades conocidas que no se han parcheado a tiempo.
- No instalar aplicaciones sospechosas. A veces incluso Google Play permite pasar “troyanos”, pero el riesgo es mucho mayor en mercados alternativos.
- Limitar el número de fuentes de confianza: procurar descargar software desde repositorios oficiales, aunque esto no ofrece garantía del 100%.
- Usar cifrado y servicios VPN de forma activa. No protegen si el atacante tiene acceso root, pero al menos complican la tarea.
- Tener en cuenta la posibilidad de compromiso por acceso físico al dispositivo. Establecer una contraseña robusta o usar biometría.
Los profesionales de seguridad recomiendan auditorías periódicas del dispositivo, vigilando actividad sospechosa. Pero para la mayoría resulta complicado encontrar un programa capaz de detectar software espía de alto nivel. Los entusiastas pueden intentar herramientas como volcados de procesos del sistema o comparar sumas de verificación del kernel, pero eso es ya un tema bastante complejo, especialmente para usuarios no especializados.
Contexto ruso: por qué el software espía no nos evita
En Rusia, como en muchos otros países, existe la práctica de comprar o desarrollar este tipo de herramientas para las necesidades de las fuerzas de seguridad. El tema está envuelto en especial secreto, por lo que hay pocos detalles exactos. Se sabe que, si es necesario, soluciones como Chrysaor o FinFisher pueden conseguirse mediante “esquemas grises”, y pagar en rublos a veces resulta más complicado debido a sanciones y restricciones en pagos transfronterizos. Sin embargo, con voluntad todos los obstáculos se superan. También se está formando un mercado propio de proyectos de espionaje, apoyado en colectivos locales de I&D que surgen a partir de vulnerabilidades y encargos de intrusión.
Para la población en general esto significa que sus mensajes, su geolocalización y su micrófono pueden interesar no solo a la delincuencia cibernética, sino también a la vigilancia estatal. La situación es controvertida desde la perspectiva de los derechos y las libertades personales. Algunos opinan que, cumpliendo la ley y sin “esqueletos en el armario”, no hay motivo de alarma. Otros recuerdan que los casos de vigilancia de activistas y periodistas independientes no son raros, y técnicamente cada vez es más fácil llevarlo a cabo.
Pensar, actuar y mantener la vigilancia
La historia de Pegasus, Chrysaor, Reign, DarkMatter, FinFisher y otros proyectos de ciberespionaje es solo la punta del iceberg. A medida que la tecnología avanza, veremos más innovaciones que permiten leer nuestros mensajes y analizar flujos digitales. La cuestión no es solo quién crea “armas digitales”, sino quién las usa y cómo se regulan legalmente. Y a veces —no se regulan en absoluto hasta que estalla otro escándalo internacional.
La realidad es que eliminar por completo el riesgo de infectarse con software espía es imposible. Las amenazas modernas se han vuelto demasiado sofisticadas. Pero la higiene básica de seguridad, un comportamiento consciente y evitar descuidos con archivos desconocidos son pasos para aumentar las probabilidades de no ser detectado. Para quienes estén especialmente preocupados, existen herramientas profesionales para buscar rastros de rootkits y firmware malicioso, aunque son caras y no accesibles para el consumidor masivo.
Al fin y al cabo, la situación recuerda a una competición constante entre servicios secretos y expertos en seguridad: quién encuentra y cierra una vulnerabilidad más rápido, quién logra sortear una defensa, quién infiltra un exploit sin dejar rastros. Mientras ese “concurso” continúe, al usuario solo le queda mantenerse informado y entender que cada nueva función en un smartphone puede convertirse en un nuevo agujero en la privacidad.
Hoy son Chrysaor y FinFisher, mañana aparecerán nuevos nombres que ni siquiera conocemos. Y todos brotarán como setas después de la lluvia, hasta que el panorama legal y tecnológico encuentre un equilibrio entre la seguridad del Estado y el derecho a la vida privada. Solo queda desearnos a todos mantener la vigilancia y recordar que el teléfono en el bolsillo no es solo un cómodo “teléfono”, sino una potencial plataforma de vigilancia total.
