Te nombraste — y te convertiste en blanco: hackean iPhones a través de los apodos en iMessage

Desde finales de 2024 hasta la primavera de 2025, el equipo de iVerify registró una serie de incidentes inusuales en iPhones pertenecientes a representantes de campañas políticas, medios de comunicación, empresas tecnológicas y gobiernos de EE. UU. y países de la Unión Europea. El análisis del comportamiento de los dispositivos reveló fallos extremadamente raros en un componente de iOS, característicos de los ataques Zero Click a través de iMessage — una clase de exploits que no requiere interacción del usuario. Esta técnica no se había detectado sistemáticamente en territorio estadounidense, lo que convierte su aparición en un precedente preocupante.

La investigación forense de varios dispositivos comprometidos permitió descubrir una vulnerabilidad hasta ahora desconocida en el proceso del sistema “imagent”. Este proceso gestiona la interacción de iMessage con otros componentes del sistema y tiene acceso a varias funciones sensibles. La vulnerabilidad, designada provisionalmente como NICKNAME, abre la puerta a una futura cadena completa de explotación del dispositivo.

El mecanismo del ataque parece estar relacionado con la función de establecer apodos y avatares en la lista de contactos de iOS. Al enviar una gran cantidad de actualizaciones rápidas del apodo a través de iMessage, se produce un error de tipo use-after-free — una clásica falla de corrupción de memoria que permite al atacante sobrescribir partes críticas de la RAM y ejecutar código arbitrario. Aunque el exploit completo no ha sido reconstruido, este fallo brinda al atacante un punto de entrada para avanzar en la intrusión del sistema.

iVerify destaca que los fallos asociados con NICKNAME fueron observados exclusivamente en dispositivos de alto valor estratégico. En total, de los 50 000 iPhones cuya telemetría fue analizada, solo el 0.0001 % mostró este tipo de fallos. Además, en uno de los dispositivos se detectó la creación y eliminación masiva de archivos adjuntos en iMessage en cuestión de segundos tras un fallo anómalo — comportamiento típico del spyware. Combinado con la falla, este patrón es un fuerte indicador indirecto de un ataque exitoso.

Uno de los dispositivos afectados recibió una Threat Notification oficial de Apple, lo que confirma la implicación directa de la empresa en la investigación y sugiere la veracidad de la amenaza. La notificación fue enviada a un alto funcionario de la Unión Europea, en cuyo dispositivo previamente se habían observado fallos críticos asociados con un posible ataque vía iMessage.

Los expertos de iVerify identificaron seis dispositivos que probablemente fueron objetivos de los atacantes. Cuatro mostraban fallos característicos vinculados a NICKNAME, y los otros dos evidencias claras de compromiso exitoso. Todos compartían un rasgo común: habían sido previamente atacados por el grupo chino Salt Typhoon, realizaban actividades de interés para las autoridades chinas o criticaban abiertamente al Partido Comunista de China.

Los investigadores señalan que, a pesar de contar con numerosas evidencias circunstanciales, carecen de medios técnicos para atribuir el ataque con certeza o reconstruir la cadena completa de explotación. No obstante, el conjunto de factores apunta a una posible implicación de actores relacionados con China.

El análisis comparativo de versiones de iOS muestra que la vulnerabilidad fue corregida en la actualización iOS 18.3.1. Esto indica que el exploit concreto que aprovechaba NICKNAME ha sido desactivado. Sin embargo, sigue existiendo la posibilidad de que otros eslabones de la cadena de ataque permanezcan activos y que parte de la infraestructura continúe operativa. Por eso, el equipo de iVerify revela únicamente los datos cuya veracidad ha podido confirmar, y mantiene abierta la investigación.

Los especialistas subrayan una conclusión clave: si un dispositivo está comprometido, ninguna aplicación —ya sea Signal, Gmail o cualquier otro mensajero cifrado— puede garantizar la privacidad. El incidente volvió a recordar la importancia de proteger el dispositivo en sí, no solo los canales de comunicación. Esto resulta especialmente crítico tras el caso SignalGate, que también giraba en torno al compromiso del dispositivo, no de la app.

Las conclusiones de iVerify fueron revisadas y confirmadas por expertos independientes en seguridad de iOS. Según su evaluación, la evidencia presentada demuestra de forma convincente que la amenaza de comprometer dispositivos móviles no es una teoría, sino una realidad que ya afecta a EE. UU. y Europa.