El panorama global de la ciberseguridad se enfrenta a una escalada exponencial en la sofisticación de los ciberataques, situando a México en el top 3 de los países más ciberatacados en América Latina en 2024, ejemplificado por la recientemente descubierta vulnerabilidad Zero-Click CVE-2025-43200 en la aplicación Mensajes de Apple. La vulnerabilidad fue descrita por Apple como un “problema de lógica” que surgía al procesar una foto o video maliciosamente diseñado y compartido a través de un enlace de iCloud. Esta vulnerabilidad crítica en los mecanismos de validación de entrada o análisis de la aplicación permitía a un atacante ejecutar código arbitrario en el dispositivo objetivo.
Apple confirmó que la vulnerabilidad “pudo haber sido explotada en un ataque extremadamente sofisticado”. El análisis forense de Citizen Lab proporcionó evidencia de que la vulnerabilidad fue específicamente explotada para atacar al periodista italiano Ciro Pellegrino y a un periodista europeo prominente no identificado, lo que llevó a la infección de sus dispositivos con el spyware Graphite
de Paragon, vinculado a ataques de usuarios de WhatsApp en más de 24 de países.
Graphite permite a los operadores acceder de forma encubierta a datos sensibles, incluidos mensajes, correos electrónicos, transmisiones de cámara, micrófonos y datos de ubicación, todo ello sin requerir ninguna acción del usuario lo que subraya la naturaleza avanzada del ciberespionaje y la necesidad de contar con mecanismos y protocolos avanzados de detección de intrusiones.
En México Pegasus es el spyware cuyo uso ha sido públicamente más documentado e implicado en la vigilancia de miles de personas, incluyendo periodistas y defensores de derechos humanos, las pruebas presentadas en el juicio de WhatsApp en contra de NSO Group revelan que 456 personas en México fueron espiadas con el spyware Pegasus, representando un 37% del total de los incidentes que constituyen el caso, siendo el país con más incidentes documentados, seguido de la India con 100 incidentes y Baréin con 82.
La industria del spyware es global, el desafío, por lo tanto, no es solo técnico, sino también geopolítico y regulatorio. La mitigación efectiva requiere una respuesta internacional coordinada, incluido el desarrollo y la aplicación de marcos legales consistentes para las tecnologías de vigilancia, y mecanismos robustos para responsabilizar a los proveedores y sus clientes por el uso indebido, teniendo como referente judicial de la región la reciente sentencia de un jurado federal de Estados Unidos que ordenó a NSO Group pagar a WhatsApp $167,254,000 dólares en daños punitivos y $444,719 dólares en daños compensatorios por una campaña de 2019 dirigida a 1.400 usuarios, los incidentes de Graphite y Pegasus demuestran que el spyware es una industria caracterizada por cadenas de suministro complejas, clientes internacionales y un impacto transfronterizo impulsado por los exploits zero-click.
La dimensión del problema requiere proporcionalmente una inversión en recursos y capacidades necesarias para enfrentarla, misma que debe ser ponderada en función del grado de exposición, el perfil de riesgo y el nivel de protección a los activos críticos individuales o colectivos por ello la defensa contra el spyware y los exploits zero-click exige un enfoque multidimensional que combine medidas proactivas con capacidades avanzadas de detección y respuesta.
Frente a la creciente amenaza del spyware, las organizaciones deben evolucionar hacia un modelo ágil de ciberresiliencia ya que, dada la inevitabilidad de las brechas, es crucial integrar capacidades de ciberinteligencia para anticiparse a las tácticas, técnicas y procedimientos de los atacantes, detectar compromisos en tiempo real, contenerlos eficazmente y garantizar la continuidad operativa bajo condiciones adversas. Para ello, se requiere una visibilidad integral del entorno mediante indicadores de compromiso, mecanismos de respuesta automatizada y procesos ágiles de detección y remediación guiados por inteligencia contextualizada. Solo así será posible minimizar el impacto reputacional, operativo y financiero de ciberamenazas.
Hugo Vilches
Chief Commander for Cyber Operations, Lead Officer for Advanced Cyber Exploitation & Adversary Emulation, Senior Strategic Intelligence Advisor, Professor of Cyber Warfare & Strategic Defense Studies
Instagram, X, LinkedIn: @blackeagleintel
