Zero-click: La técnica invisible con la que espiaron el móvil de Pedro Sánchez (Pegasus)
Qué es Zero-click y por qué es la técnica más temida
No hubo enlace sospechoso. Ni archivo extraño. Ni llamada perdida que despertara sospechas. El espionaje al teléfono móvil del presidente del Gobierno, Pedro Sánchez, se produjo sin que el usuario realizara ninguna acción visible. La clave estuvo en una modalidad de ataque extremadamente sofisticada conocida como Zero-click, un método que ha cambiado las reglas del juego en el ámbito de la ciberinteligencia.
El caso, vinculado al uso del software Pegasus desarrollado por la empresa israelí NSO Group, puso el foco sobre una técnica que hasta hace pocos años parecía reservada a escenarios de alta guerra digital. La intrusión no requirió interacción humana. Bastó con que el dispositivo estuviera encendido y conectado a una red para que el exploit hiciera su trabajo.
Definición técnica: Un ataque Zero-click es una intrusión que no requiere ninguna acción del usuario objetivo. El código malicioso se ejecuta automáticamente al procesar datos especialmente diseñados, explotando vulnerabilidades en el sistema operativo o aplicaciones.
Cómo funciona un ataque Zero-click en la práctica
Un ataque Zero-click aprovecha vulnerabilidades previamente identificadas en aplicaciones de uso masivo como servicios de mensajería (WhatsApp, iMessage) o sistemas de llamadas. A diferencia de las campañas tradicionales de phishing, no necesita que la víctima pulse sobre un enlace ni descargue ningún archivo.
El proceso técnico de infección
| Fase | Proceso técnico | Visible para el usuario |
|---|---|---|
| 1. Inyección | Paquete de datos malicioso se envía al dispositivo objetivo (mensaje, llamada VoIP, notificación push). | ❌ Ninguna. Puede llegar como mensaje "invisible" sin notificación. |
| 2. Explotación | El exploit aprovecha vulnerabilidades en gestión de memoria o interpretación de contenido multimedia (imágenes HEIF, PDFs, GIFs). | ❌ Ninguna. Procesamiento automático en segundo plano. |
| 3. Escalada de privilegios | El spyware obtiene acceso root/administrador mediante cadena de exploits encadenados. | ❌ Ninguna. Ocurre en milisegundos. |
| 4. Persistencia | Pegasus se instala en zonas protegidas del sistema, sobreviviendo a reinicios y actualizaciones menores. | ❌ Ninguna. Sin íconos, sin consumo anómalo de batería detectable. |
| 5. Extracción | Acceso total: mensajes, contactos, archivos, micrófono, cámara, ubicación GPS en tiempo real. | ⚠️ Potencialmente: Luces de cámara/micro activándose "solas" (raro, generalmente suprimido). |
Desde el punto de vista técnico, el exploit se inyecta en el sistema operativo aprovechando fallos en la gestión de memoria o en la interpretación de contenidos multimedia. Una vez dentro, el software espía obtiene privilegios elevados que le permiten acceder a contactos, mensajes, archivos almacenados e incluso activar micrófono y cámara de forma remota.
Por qué Zero-click es casi imposible de detectar
La sofisticación del Zero-click radica en su invisibilidad. Al no existir interacción, no hay rastro psicológico que alerte al usuario. Tampoco suelen quedar evidencias evidentes en registros accesibles sin herramientas forenses avanzadas. Esta capacidad de operar sin fricción convierte la técnica en una de las más temidas en el ámbito gubernamental y diplomático.
Pegasus y el modelo de negocio del espionaje estatal
Pegasus se comercializa exclusivamente a Estados bajo el argumento de combatir terrorismo y crimen organizado. Su fabricante, NSO Group, factura por objetivo intervenido, lo que significa que cada intrusión supone un desembolso significativo para el cliente.
Diversas investigaciones internacionales han estimado que las operaciones con este tipo de software pueden alcanzar cifras de varios millones de euros en contratos anuales. Un solo "objetivo de alto valor" (como un jefe de Estado o ministro) puede costar entre 500.000 y 1.5 millones de dólares por instalación y mantenimiento anual.
Modelo de negocio de NSO Group: Entre las funcionalidades avanzadas que se ofrecen a los clientes figura precisamente el Zero-click, considerado un complemento premium dentro del catálogo. Esta modalidad elimina la necesidad de ingeniería social y reduce drásticamente la probabilidad de fallo humano durante la operación.
El "catálogo" de capacidades
- Nivel básico: Phishing dirigido, exploits que requieren clic (más baratos, más detectables)
- Nivel avanzado: Zero-click en apps populares (WhatsApp, iMessage)
- Nivel premium: Zero-click combinado con anti-forense (autodestrucción de evidencias)
- Servicios adicionales: Soporte técnico 24/7, actualizaciones de exploits ante parches de seguridad
El sistema permite seleccionar un número de teléfono concreto y desplegar la intrusión en cuestión de minutos si se cumplen las condiciones técnicas. El verdadero desafío no es infectar, sino identificar con precisión el dispositivo objetivo en entornos con alta densidad de terminales.
La ventana operativa en Ceuta: Cómo identificaron el móvil de Sánchez
Las sospechas apuntan a que la infección se produjo durante el viaje oficial de Pedro Sánchez a Ceuta en mayo de 2021, en plena crisis migratoria con Marruecos. Ese desplazamiento generó un escenario idóneo para la identificación técnica de los dispositivos presentes en el entorno inmediato del presidente.
El papel de los IMSI-Catcher
En este contexto cobran relevancia los dispositivos conocidos como IMSI-Catcher (también llamados "Stingray" o "células falsas"), capaces de simular antenas de telefonía móvil para obligar a los teléfonos cercanos a conectarse. Estos sistemas recopilan:
- IMSI: Identificador único de la tarjeta SIM
- IMEI: Identificador único del hardware del terminal
- Potencia de señal: Para triangular la ubicación precisa del dispositivo
- Metadatos de conexión: Operadora, tipo de red (4G/5G), protocolo
Escenario en Ceuta (mayo 2021):
IMSI-Catcher identifica 150 dispositivos → Filtra por potencia de señal y ubicación GPS → Aísla 5 terminales en el perímetro de seguridad presidencial → Cruza con IMEI conocido → Lanza Zero-click al objetivo confirmado
Una vez identificado el dispositivo, la combinación con un ataque Zero-click facilita la inyección del exploit sin que el usuario detecte anomalías. El tráfico puede manipularse de forma que el paquete malicioso llegue directamente al terminal seleccionado, incluso en redes cifradas, si el atacante tiene capacidad de interceptación a nivel de infraestructura.
Qué datos pueden extraerse tras un ataque Zero-click
Cuando el spyware logra acceso total al sistema, la primera información que suele copiarse es la agenda de contactos. Este paso inicial permite mapear el entorno relacional del objetivo. A partir de ahí, el operador puede descargar mensajes, documentos, historiales de llamadas y archivos multimedia.
En algunos casos documentados internacionalmente, la cantidad de datos extraídos supera los gigabytes en cuestión de horas. El 19 de mayo de 2021, según fuentes técnicas, se produjo una transferencia masiva de información desde el dispositivo afectado. Este patrón coincide con otros episodios atribuidos a campañas similares.
Capacidades de vigilancia en tiempo real
| Categoría | Datos accesibles |
|---|---|
| Comunicaciones | Mensajes SMS, WhatsApp, Telegram, Signal, iMessage (incluso cifrados), emails, historial de llamadas |
| Archivos | Documentos, fotos, vídeos, grabaciones de voz, PDFs, contactos exportados |
| Ubicación | GPS en tiempo real, historial de ubicaciones, conexiones WiFi (revela lugares frecuentados) |
| Vigilancia activa | Activación remota de micrófono (escucha ambiental), cámara (fotos/vídeo sin notificación), captura de pantalla |
| Credenciales | Contraseñas guardadas, tokens de sesión (acceso a cuentas sin contraseña), certificados digitales |
La dificultad de la atribución judicial
La dificultad de atribución judicial reside en la mínima huella que deja el Zero-click. Las herramientas están diseñadas para autodestruirse o borrar rastros tras completar la misión. Esto complica enormemente las investigaciones y limita las posibilidades de prueba concluyente ante un tribunal.
Solo análisis forenses extremadamente avanzados, realizados por empresas especializadas como Citizen Lab o Amnesty Tech, pueden detectar fragmentos de código residual o patrones de tráfico anómalos que delaten la presencia de Pegasus.
Dato clave: El caso ha impulsado revisiones en protocolos de protección de comunicaciones gubernamentales y ha acelerado inversiones en análisis forense avanzado. También ha abierto un debate internacional sobre el control de exportación de software de vigilancia.
Preguntas frecuentes sobre Zero-click y Pegasus
¿Puede un antivirus detectar un ataque Zero-click?
No. Los antivirus convencionales funcionan por firmas y patrones de comportamiento conocidos. Pegasus utiliza vulnerabilidades de día cero (desconocidas para el fabricante) y técnicas anti-forenses avanzadas. Solo herramientas forenses especializadas como MVT (Mobile Verification Toolkit) de Amnesty Tech pueden detectar rastros indirectos de infección.
¿Los iPhones con iOS actualizado son inmunes a Zero-click?
No. Aunque iOS tiene fama de ser más seguro, Pegasus ha explotado vulnerabilidades Zero-click en iMessage (CVE-2021-30860 "FORCEDENTRY"), iCloud, FaceTime y procesamiento de PDFs. Apple corrige las vulnerabilidades cuando las descubre, pero existe una "ventana de exposición" entre el descubrimiento del fallo y su corrección. Durante ese periodo, incluso dispositivos actualizados son vulnerables.
¿Cómo puedo protegerme de un ataque Zero-click?
La protección total es imposible, pero puedes reducir el riesgo: (1) Mantén el sistema operativo siempre actualizado, (2) Activa el Modo Bloqueo (Lockdown Mode) en iOS 16+ que desactiva funciones explotables, (3) Reinicia el dispositivo diariamente (Pegasus pierde persistencia en algunos casos), (4) Usa dispositivos desechables para comunicaciones sensibles, (5) Análisis forenses periódicos con MVT si eres objetivo de alto valor.
¿Qué es el "Modo Bloqueo" de iOS y cómo ayuda contra Pegasus?
El Modo Bloqueo (introducido en iOS 16) desactiva funciones que históricamente han sido explotadas por Zero-click: bloquea adjuntos multimedia en mensajes de remitentes desconocidos, desactiva previsualización de enlaces, bloquea conexiones USB cuando el dispositivo está bloqueado, y restringe perfiles de configuración. Es la medida más efectiva actualmente disponible para usuarios de alto riesgo.
¿Es legal que los gobiernos compren y usen Pegasus?
Depende de cada jurisdicción. NSO Group sostiene que vende solo a gobiernos "legítimos" para combatir terrorismo y crimen, pero múltiples investigaciones (Pegasus Project, Citizen Lab) han documentado uso contra periodistas, activistas y políticos de oposición. La UE ha abierto investigaciones sobre el uso indebido de Pegasus, y algunos países han prohibido su compra. El caso de España (espionaje a Sánchez) ha generado crisis diplomática con Marruecos.
⚠️ Conclusión crítica: El uso del Zero-click en un teléfono de alta seguridad evidencia que ningún dispositivo es invulnerable si se explotan fallos desconocidos por el fabricante. Incluso sistemas actualizados pueden ser vulnerables durante el periodo que transcurre entre el descubrimiento de la brecha y su corrección oficial. La sofisticación de este tipo de intrusiones marca un punto de inflexión en la seguridad móvil: ya no basta con desconfiar de enlaces o archivos sospechosos. El Zero-click demuestra que el riesgo puede materializarse sin ninguna acción por parte del usuario, transformando el concepto tradicional de ataque digital.