La era del "día cero": ya no existen smartphones seguros, solo la ilusión de seguridad

El FBI llevó a cabo una reunión informativa cerrada para empleados del Congreso de Estados Unidos con el objetivo de reforzar las medidas de seguridad en dispositivos móviles, después de que la lista de contactos del teléfono personal de Suzie Wiles, jefa de gabinete de la Casa Blanca, cayera en manos de delincuentes. Según fuentes, la lista fue utilizada para enviar mensajes y realizar llamadas intentando hacerse pasar por Wiles para contactar a legisladores estadounidenses.

Como informa The Wall Street Journal, los atacantes no solo enviaron mensajes y llamaron, sino que probablemente usaron inteligencia artificial para imitar la voz de Wiles. La funcionaria informó a sus allegados que su teléfono fue hackeado y su lista de contactos robada, lo que permitió obtener los números telefónicos de influyentes políticos del país.

Aunque el ataque parecía inicialmente una tentativa de extorsión económica más que una operación de servicios de inteligencia profesionales, las consecuencias fueron graves. Los congresistas comenzaron a sospechar cuando la supuesta Wiles formuló preguntas sobre Donald Trump cuyas respuestas ella debería conocer, además de solicitar transferencias de dinero. Los destinatarios notaron un tono extraño, excesivamente formal, con errores gramaticales. Además, los mensajes y llamadas no provenían del número de teléfono real de Wiles.

La situación se agravó tras el asesinato de la expresidenta de la Cámara de Representantes de Minnesota, Melissa Hortman, y su esposo, además del ataque contra el senador estatal John Hoffman y su esposa. Tras estos incidentes, el FBI organizó una reunión con personal del Senado estadounidense a la que asistieron más de 140 personas, una cifra inusual para eventos de este tipo, especialmente dada la ausencia del tradicional refrigerio gratuito.

No obstante, según el senador Ron Wyden, uno de los miembros más familiarizados con tecnología en el Senado, las recomendaciones del FBI resultaron demasiado superficiales. En su carta dirigida al director del FBI, Kash Patel, criticó a la agencia por limitarse a consejos básicos como evitar enlaces sospechosos, actualizar el software, apagar el Bluetooth y reiniciar regularmente el dispositivo.

Según el senador, estas medidas son completamente insuficientes para proteger a los empleados del Congreso y otras figuras destacadas frente a ciberespionaje que utiliza métodos avanzados. Actualmente están ampliamente disponibles herramientas conocidas como "zero-click", que infectan dispositivos sin ninguna acción del usuario y son comercializadas a gobiernos por empresas privadas.

Wyden exigió al FBI que recomiende obligatoriamente el uso de funciones avanzadas de seguridad ya incorporadas en las plataformas móviles, como el "Modo Aislamiento" de iPhone, creado especialmente para usuarios vulnerables a ataques dirigidos. Este modo desactiva funciones innecesarias del sistema, reduciendo significativamente sus vulnerabilidades potenciales. Android ofrece una función similar llamada "Modo de Protección Avanzada".

Además, el senador propone actualizar la formación en seguridad para informar al personal sobre medidas adicionales de protección, como desactivar identificadores publicitarios, evitar el rastreo por redes de publicidad, utilizar bloqueadores de anuncios y dejar de emplear servicios que recolectan datos personales (según la investigación, estos servicios ayudaron al sospechoso a localizar las direcciones de las víctimas en Minnesota).

Wyden destacó que el FBI ya había proporcionado este tipo de recomendaciones en boletines anteriores, pero frente a la gravedad de los ataques recientes, considera necesario que las indicaciones sean más claras, exhaustivas y obligatorias.

Nicholas Weaver, investigador del Instituto Internacional de Ciencias Informáticas en Berkeley, respaldó la iniciativa. Considera que todos los miembros del Congreso y sus asistentes deberían activar por defecto el "Modo Aislamiento" o una protección equivalente en sus dispositivos. Recordó que en septiembre de 2023 el grupo Citizen Lab registró la prevención exitosa de una infección en iOS gracias al "Modo Aislamiento". Dicho ataque explotaba una vulnerabilidad de día cero para instalar spyware sin interacción del usuario.

Recientemente, Citizen Lab descubrió otro ataque similar en el que se utilizó un archivo multimedia infectado enviado por iMessage para infectar dispositivos de periodistas. Esta vulnerabilidad, identificada como CVE-2025-43200, fue corregida por Apple en febrero de 2025 mediante la actualización iOS 18.3.1.

Aunque Apple no comentó si esta vulnerabilidad podía explotarse en dispositivos con "Modo Aislamiento" activado, ese mismo mes la compañía corrigió otra grave brecha de seguridad, la CVE-2025-24200, que permitía desactivar la protección de los puertos USB en dispositivos bloqueados, pero solo si el atacante tenía acceso físico al teléfono.

Los expertos señalan que una vez que el dispositivo cae en manos del atacante, ninguna protección digital será suficiente. Por ello, ahora se presta especial atención a métodos que impiden infecciones remotas, principalmente aquellos integrados en los sistemas operativos móviles.