Del banner publicitario al bolsillo: la nueva tecnología de Intellexa hackea móviles sin clics

Investigadores Insikt Group de la empresa Recorded Future detectaron nuevos elementos de la red global alrededor del proveedor del software espía Intellexa y su paquete Predator — pese a sanciones, investigaciones internacionales y escándalos, esta infraestructura sigue operando y expandiéndose. A través de una cadena de empresas pantalla y afiliadas, incluidas en Dubái y la República Checa, Intellexa sigue suministrando sus productos a organismos estatales de todo el mundo, y Predator se emplea cada vez más no solo contra periodistas y activistas, sino también contra la élite empresarial y funcionarios de alto rango.

Predator es un software espía por contrato para Android e iOS, en funcionamiento desde 2019. Inicialmente fue desarrollado por la empresa Cytrox, y ahora se distribuye a través de un conjunto más amplio de entidades legales vinculadas a Intellexa. Tras la infección, Predator otorga al operador control total del dispositivo: acceso al micrófono y la cámara, lectura de mensajes, contactos, fotos y documentos. La arquitectura se basa en módulos en Python que pueden cargarse de forma remota sin necesidad de volver a comprometer el teléfono, lo que dificulta su análisis y detección.

Vectores de ataque de Predator y geografía de sus operadores

Para la entrega de Predator se utilizan tanto ataques de «un solo clic» con enlaces de phishing como escenarios más complejos de inserción a nivel de red y a través de redes publicitarias. No obstante, públicamente no se han registrado casos de uso de exploits «zero-click» al nivel de Pegasus, en los que basta recibir un mensaje en un mensajero para que el dispositivo quede comprometido. Sin embargo, según Insikt Group, en los últimos dos años se han identificado presuntos operadores de Predator en más de una decena de países — desde Angola, Kazajistán y Mongolia hasta Omán, Filipinas, Arabia Saudita y Trinidad y Tobago, así como en Grecia, Sudán y Vietnam.

Grecia ocupa un lugar destacado en el informe. Allí, según las investigaciones, Intellexa construyó uno de los centros clave para Predator: en Atenas había un centro de formación para operadores, y la formación y el soporte 24/7 se prometían como parte de las ofertas comerciales. El escándalo griego sobre escuchas y vigilancia ilegales a periodistas, políticos y hombres de negocios, conocido como «Predatorgate», condujo a registros en las oficinas de Intellexa y del contratista Krikel y sigue siendo objeto de procesos judiciales.

Red corporativa de Intellexa y el «clúster checo»

Insikt Group analiza en detalle la «telaraña» corporativa de Intellexa, donde las empresas pantalla desempeñan un papel clave y están relacionadas con el llamado «clúster checo». Los investigadores describen varias compañías nuevas que con alta probabilidad forman parte de esa red: registrada en la zona franca de Dubái PULSE FZCO, así como Zelus Analytics, Pulse Advertise y MorningStar TEC. Sus sitios web e infraestructura conviven en un mismo conjunto de direcciones IP con dominios ya conocidos de Intellexa, y su funcionalidad va desde la ciberconsultoría y el análisis de datos hasta las tecnologías publicitarias y el marketing.

Parte de estas empresas, según datos de bases de exportación e importación, se usan de hecho como escaparates para las entregas de Predator y soluciones relacionadas a clientes finales. Así, PULSE FZCO aparece en suministros de equipos técnicos a Botsuana, Kazajistán y Filipinas. En Botsuana el envío lo recibió la Dirección de Inteligencia y Seguridad (DIS), que anteriormente ya había sido vinculada con compras de herramientas de vigilancia; aproximadamente un mes después de esa entrega Insikt Group registró el inicio de la actividad de Predator en el país.

En Kazajistán el receptor fue la empresa OOO Seven Hills, ya conocida por importaciones de otro equipo controvertido para vigilancia — el monto de la entrega se estima en aproximadamente 12,4 millones de dólares. En Filipinas el socio identificado es el distribuidor de telecomunicaciones ComWorks, vinculado a otro revendedor de equipo especializado, Neo‑Tech Asia.

Los investigadores prestan atención particular a dos empresas «publicitarias» — Pulse Advertise y MorningStar TEC. Oficialmente ofrecen servicios en el ámbito del marketing digital y las tecnologías publicitarias; sin embargo, según Insikt Group, estas estructuras podrían estar relacionadas con un ataque experimental de Intellexa con nombre en clave Aladdin. Esta idea, descrita por primera vez en filtraciones de 2022 e investigaciones de medios israelíes, plantea la infección de dispositivos a través de publicidad dirigida en línea.

Proyecto Aladdin y sus posibles desarrolladores

Anuncios especialmente preparados funcionan solo para la audiencia objetivo y sirven como vehículo para exploits dirigidos a iOS y Android. No se han documentado señales de uso operativo de Aladdin por ahora, pero una empresa vinculada al «clúster checo» aparece en facturas por el proof‑of‑concept de este proyecto.

Una nueva muestra de indicadores de infraestructura permite a Insikt Group afirmar la presencia continua de Predator en Irak. Los investigadores hallaron dominios relacionados con contextos regionales del Kurdistán iraquí y con el dialecto badini, además de actividad de red entre la infraestructura «de alto nivel» de Predator y direcciones IP pertenecientes a proveedores iraquíes.

Además, se registraron solicitudes desde el espacio de direcciones iraquí hacia uno de los servidores de nivel 1, lo que encaja en una cadena típica de infección. Con moderada certeza Insikt Group concluye que en Irak existe un cliente de Predator que sigue activo en 2025.

Además de Irak, los investigadores encontraron indicios de infraestructura probablemente vinculada a Pakistán y orientada a la región de Beluchistán; no está claro si se dirige a objetivos locales o a un operador que trabaja desde ese país. Al mismo tiempo se observa un cambio en los enfoques de Intellexa hacia la infraestructura: se utiliza con mayor frecuencia Cloudflare y otros servicios en la nube para ocultar los servidores reales.

Ocultamiento de la infraestructura de Intellexa y dinámica del mercado de software espía

La parte visible desde el exterior del espacio de dominios se reduce y se complican los esquemas de asociación de dominios con países y clientes concretos. En 2025 se detecta públicamente menos infraestructura que el año anterior, lo que puede significar tanto una disminución de la actividad como un éxito en la complejidad del ocultamiento.

Insikt Group describe también tendencias más generales del mercado del software espía por contrato. La industria se fragmenta por líneas geopolíticas: unas empresas — bajo sanciones y presión pública — intentan volver al mercado «respetable» mediante adquisiciones y rebranding, mientras otras se desplazan a regiones con regulación más laxa.

En ese contexto se mantiene un núcleo estable de intermediarios y actores que aparecen alrededor de distintas marcas y entidades legales, proporcionando el núcleo jurídico, financiero y logístico del negocio. Se destaca además la importancia del coste de los exploits. Las cadenas para comprometer smartphones actuales pueden costar decenas de millones de dólares: se mencionan ofertas de intermediarios del Oriente Medio dispuestos a pagar hasta 20 millones de dólares por exploits de ejecución remota de código (RCE) para iOS y Android o por herramientas de intrusión vía SMS.

Formación de un ecosistema espía oculto y riesgos para las víctimas

No está del todo claro si empresas como Intellexa desarrollan vulnerabilidades críticas por sí mismas o las compran a terceros, ni cómo se entrelazan en este ecosistema los intereses de agencias estatales y proveedores comerciales. En uno de los informes se cita el caso en que un grupo APT utilizó los mismos exploits que Intellexa y NSO Group.

Según Insikt Group, la fragmentación de la estructura corporativa aumenta los riesgos no solo para las víctimas, sino también para los clientes del software espía. Redes complejas de empresas afiliadas con poca ciberseguridad son más fáciles de comprometer, y empleados con «doble vida» —que trabajan tanto para Intellexa como para otras firmas— obtienen acceso a redes corporativas externas e incluso a canales intergubernamentales de intercambio de datos, lo que crea vías para filtraciones.

Todo esto ocurre en un contexto de aumento de la demanda: Estados y fuerzas de seguridad, enfrentados a restricciones de exportación, siguen buscando formas de acceder a estas herramientas. A pesar de las sanciones de EE. UU. contra Intellexa y personas vinculadas, las prohibiciones de visado, la resolución del Parlamento Europeo y las iniciativas internacionales como el proceso Pall Mall, Predator sigue empleándose. El foco sigue siendo la sociedad civil — periodistas, activistas y políticos de la oposición.

Nuevos objetivos de alto valor y el secretismo de la industria

Cada vez con más frecuencia caen bajo ataque líderes empresariales y otras figuras privadas con alto valor para la inteligencia: altos directivos, personas con acceso a información cerrada y representantes de empresas privadas en sectores estratégicos. Muchos prefieren no hacer pública la vigilancia por temor a perder la confianza de socios y fuentes, lo que hace que la parte visible de los escándalos sea solo la punta del iceberg.

Insikt Group recomienda a posibles objetivos reforzar la protección de sus dispositivos móviles: usar el modo Lockdown cuando esté disponible, no instalar aplicaciones innecesarias, filtrar estrictamente enlaces y archivos entrantes, emplear bloqueadores de publicidad y rastreo, y mantener los sistemas operativos y programas actualizados.

Sin embargo, los propios investigadores admiten que incluso con todas las precauciones el software espía de alto nivel sigue siendo prácticamente invulnerable para el usuario común, y que enfrentarlo de verdad solo es posible combinando medios técnicos, investigaciones transparentes y presión política sobre la industria. Mientras tanto, el mercado del espionaje por contrato continúa creciendo y complejizándose, convirtiéndose en un sistema global de control oculto sobre quienes resultan de interés para el poder y los negocios.