· Jonathan Izquierdo · Noticias seguridad ·
Spyware LandFall explota zero-day de Samsung vía WhatsApp: análisis forense
Descubierto nuevo spyware que infecta dispositivos Samsung enviando imágenes maliciosas por WhatsApp. Samsung emite parche urgente. Análisis de las implicaciones legales.
En noviembre de 2025, investigadores de seguridad descubrieron un sofisticado spyware denominado “LandFall” que explotaba una vulnerabilidad zero-day en el procesamiento de imágenes de dispositivos Samsung. El vector de infección era devastadoramente simple: bastaba con recibir una imagen maliciosa a través de WhatsApp para comprometer completamente el dispositivo, sin necesidad de que el usuario la abriera.
Samsung emitió un parche de emergencia, pero millones de dispositivos quedaron expuestos durante semanas. Como perito informático forense, analizo las implicaciones técnicas y legales de este ataque.
¿Qué es el spyware LandFall?
LandFall es un spyware de grado militar descubierto en noviembre de 2025 que explotaba una vulnerabilidad en la biblioteca de procesamiento de imágenes de Samsung. El nombre “LandFall” (traducido como “recalada” o “llegada a tierra”) hace referencia a cómo el malware “aterriza” en el dispositivo sin interacción del usuario.
Zero-click: infección sin interacción
LandFall es un ataque zero-click: la infección ocurre automáticamente cuando WhatsApp descarga la imagen para generar la miniatura. La víctima no necesita abrir, ver ni interactuar con el archivo malicioso.
Características técnicas
| Aspecto | Detalle |
|---|---|
| Vector de entrada | Imagen maliciosa vía WhatsApp |
| Interacción requerida | Ninguna (zero-click) |
| Dispositivos afectados | Samsung Galaxy (Android 12-14) |
| Componente vulnerable | Biblioteca de procesamiento de imágenes Samsung |
| Privilegios obtenidos | Root completo del dispositivo |
| Persistencia | Sobrevive reinicios, difícil de eliminar |
Capacidades del spyware
Una vez instalado, LandFall tenía acceso total al dispositivo:
🔴 Capacidades de LandFall
├── 📱 Mensajes: WhatsApp, Signal, Telegram, SMS
├── 📞 Llamadas: Grabación de llamadas y audio ambiente
├── 📍 Ubicación: GPS en tiempo real e histórico
├── 📸 Cámara: Activación remota de cámaras
├── 🎤 Micrófono: Escucha ambiental
├── 📁 Archivos: Acceso completo al almacenamiento
├── 🔑 Credenciales: Keylogger, capturas de pantalla
└── 🌐 Red: Interceptación de tráfico, proxy silencioso¿Cómo funcionaba el ataque?
Selección del objetivo: El atacante identifica el número de WhatsApp de la víctima
Envío del payload: Se envía una imagen aparentemente normal pero que contiene código malicioso en sus metadatos o estructura
Procesamiento automático: WhatsApp descarga la imagen y solicita a Samsung que genere una miniatura
Explotación del zero-day: La biblioteca de Samsung procesa la imagen maliciosa y el código explota una vulnerabilidad de corrupción de memoria
Ejecución de código: El exploit obtiene ejecución de código con privilegios elevados
Instalación de spyware: LandFall se instala de forma silenciosa y persistente
Exfiltración: El spyware comienza a enviar datos al servidor de comando y control
Diagrama del ataque
Atacante → [Imagen maliciosa] → WhatsApp → Samsung Image Lib
↓
Buffer Overflow
↓
Ejecución de código
↓
Instalación LandFall
↓
Exfiltración de datosImplicaciones forenses de LandFall
Como perito, identifico cinco aspectos críticos para la investigación de casos:
1. Detección en análisis forense
LandFall dejaba rastros identificables en un análisis exhaustivo:
| Indicador | Ubicación |
|---|---|
| Procesos anómalos | Lista de procesos con nombres sospechosos |
| Conexiones de red | Tráfico a IPs/dominios de C2 conocidos |
| Archivos ocultos | Directorios ocultos en /data/local/ |
| Permisos modificados | Apps con permisos no declarados |
| Logs de sistema | Errores de procesamiento de imagen previos a la infección |
2. Timeline de infección
En un peritaje, es crucial establecer:
Fecha de recepción: ¿Cuándo llegó la imagen maliciosa?
Procesamiento: ¿Cuándo generó Samsung la miniatura?
Primera conexión C2: ¿Cuándo contactó el spyware a su servidor?
Datos exfiltrados: ¿Qué información salió del dispositivo y cuándo?
3. Distinción entre mensajes legítimos y exfiltrados
Problema de autenticidad
Si LandFall estaba activo, los mensajes de WhatsApp podían ser leídos por terceros en tiempo real. Esto no invalida los mensajes, pero significa que su confidencialidad estaba comprometida durante el periodo de infección.
4. Cadena de custodia comprometida
Un dispositivo infectado con LandFall plantea problemas serios:
- Integridad cuestionable: El spyware tenía acceso root y podía modificar cualquier archivo
- Posible plantado de evidencia: En teoría, el atacante podría haber añadido o modificado mensajes
- Eliminación selectiva: El atacante podría haber borrado mensajes incriminatorios
5. Identificación del atacante
LandFall requería:
- Acceso a exploits zero-day (coste estimado: millones de euros)
- Infraestructura de comando y control
- Conocimientos técnicos de nivel estado-nación o empresa especializada
Esto limita el perfil del atacante a:
- Agencias gubernamentales
- Empresas de vigilancia (tipo NSO Group, Candiru, etc.)
- Grupos APT bien financiados
Casos de uso en procedimientos judiciales
Escenario 1: Defensa por dispositivo comprometido
Si un cliente alega que sus mensajes fueron manipulados o leídos por terceros:
| Evidencia a buscar | Significado |
|---|---|
| Rastros de LandFall | Confirmación de compromiso del dispositivo |
| Timeline de infección | ¿Coincide con el periodo de mensajes disputados? |
| Imagen maliciosa | ¿Existe en el historial de WhatsApp? |
| Conexiones C2 | Evidencia de exfiltración de datos |
Escenario 2: Espionaje corporativo
Una empresa sospecha que información confidencial fue filtrada:
Análisis de dispositivos: Verificar si los móviles de empleados clave tienen rastros de LandFall
Correlación temporal: ¿Coincide la infección con las fugas de información?
Identificación de vector: ¿Quién envió imágenes sospechosas por WhatsApp?
Valoración de daños: ¿Qué información pudo ser exfiltrada?
Escenario 3: Protección de fuentes periodísticas
Para periodistas cuyos teléfonos pudieron ser infectados:
- Documentar el compromiso del dispositivo
- Identificar qué conversaciones fueron expuestas
- Evaluar el riesgo para las fuentes
- Preparar evidencia para posibles acciones legales contra los responsables
Precedente: caso Pegasus
Este caso sigue el patrón del spyware Pegasus de NSO Group, que resultó en una multa de 167 millones de dólares. Los tribunales ya han establecido que el uso de spyware contra periodistas y activistas es ilegal en la mayoría de jurisdicciones.
Respuesta de Samsung
Parche de emergencia
Samsung emitió una actualización de seguridad clasificada como crítica en noviembre de 2025:
- CVE asignado: CVE-2025-XXXX (clasificación pendiente)
- Severidad: Crítica (CVSS 9.8)
- Dispositivos parcheados: Galaxy S21 y posteriores, A52 y posteriores
- Dispositivos sin soporte: Modelos anteriores a 2021
Recomendaciones oficiales
Actualizar inmediatamente a la última versión de seguridad
Reiniciar el dispositivo tras la actualización
Si hay sospecha de infección, realizar restablecimiento de fábrica
Activar actualizaciones automáticas
Cómo detectar si fuiste víctima
Indicadores visibles
- Batería: Consumo excesivo sin explicación
- Datos móviles: Uso anómalo de datos en segundo plano
- Temperatura: Dispositivo caliente sin uso intensivo
- Rendimiento: Ralentización inexplicable
Análisis técnico
Si tienes conocimientos técnicos o eres profesional:
# Buscar procesos sospechosos
adb shell ps -A | grep -v "com.google\|com.samsung\|com.android"
# Verificar conexiones de red activas
adb shell netstat -tuln
# Buscar archivos ocultos recientes
adb shell find /data/local -mtime -30 -type fNo comprometas evidencias
Si sospechas infección y estás involucrado en un procedimiento judicial, no reinicies ni restablezca el dispositivo. Contacta con un perito forense para preservar las evidencias antes de cualquier acción.
Implicaciones legales
Para las víctimas
Las víctimas de LandFall pueden:
- Denunciar ante las autoridades por acceso ilícito a sistemas informáticos
- Demandar a los responsables identificables
- Solicitar investigación sobre quién ordenó la vigilancia
- Reclamar daños por violación de privacidad
Para empresas de vigilancia
El uso de exploits zero-day contra ciudadanos implica:
- Posible violación de leyes de exportación de armas (exploits clasificados)
- Responsabilidad civil por daños causados
- Posibles sanciones internacionales
- Precedente del caso NSO/Pegasus aplicable
Para Samsung
Samsung podría enfrentar:
- Reclamaciones por vulnerabilidad en software preinstalado
- Requisitos regulatorios de notificación de breach
- Presión para extender soporte de seguridad a dispositivos antiguos
Preguntas frecuentes
¿Mi Samsung está afectado?
Si tienes un Samsung Galaxy con Android 12, 13 o 14 que no ha sido actualizado desde octubre 2025, podrías ser vulnerable. Verifica en Ajustes → Actualización de software.
¿WhatsApp es responsable?
WhatsApp fue el vector de entrega, pero la vulnerabilidad residía en el código de Samsung. Sin embargo, WhatsApp podría implementar medidas adicionales como no procesar imágenes de fuentes desconocidas automáticamente.
¿Cómo sé si me enviaron una imagen maliciosa?
Un análisis forense puede identificar imágenes con estructuras anómalas en tu historial de WhatsApp. Las imágenes maliciosas suelen tener características distintivas en sus metadatos.
¿El restablecimiento de fábrica elimina LandFall?
En la mayoría de los casos sí, pero versiones avanzadas de spyware pueden persistir en la partición del sistema. Un flasheo completo del firmware es más seguro.
Conclusiones para la práctica forense
El caso LandFall representa una evolución preocupante en el spyware móvil:
Zero-click es la nueva norma: Ya no se requiere engañar al usuario; basta con enviar un archivo
Los fabricantes son eslabones débiles: La vulnerabilidad no estaba en WhatsApp sino en el código de Samsung
Detección tardía: Estos ataques pueden pasar meses sin ser detectados
Implicaciones de cadena de custodia: Cualquier dispositivo potencialmente infectado requiere análisis de integridad exhaustivo
Perfil de atacante identificable: El coste de estos exploits limita quién puede usarlos
Como perito, incorporaré la verificación de infección por spyware avanzado como paso estándar en cualquier análisis de dispositivo Samsung que involucre conversaciones de WhatsApp potencialmente comprometidas.
¿Sospechas que tu Samsung fue infectado con spyware?
Ofrezco análisis forense especializado para detectar rastros de LandFall y otros spyware, documentar el compromiso y preparar informes periciales para procedimientos judiciales.
Solicitar análisis forenseFuentes consultadas:
- Boletín de seguridad de Samsung (noviembre 2025)
- Análisis técnico de investigadores de seguridad móvil
- Documentación sobre exploits zero-day en procesamiento de imágenes
- Precedentes legales del caso NSO Group/Pegasus
Sobre el autor: Jonathan Izquierdo es perito informático forense especializado en análisis de dispositivos móviles y certificación de comunicaciones digitales para procedimientos judiciales.
Última actualización: Noviembre 2025
