Zero-Click Malware
Malware que infecta dispositivos sin requerir ninguna accion de la victima: ni clic, ni descarga, ni apertura de archivo. Explotando vulnerabilidades en el procesamiento automatico de datos (iMessage, WhatsApp, SMS), logra control total del dispositivo de forma silenciosa e indetectable.
Zero-Click Malware
167 millones de dolares. Esa fue la indemnizacion que un tribunal estadounidense ordeno pagar a NSO Group en mayo de 2025 por explotar WhatsApp con ataques zero-click para instalar Pegasus en dispositivos de periodistas y activistas. Tres meses despues, Meta notifico a 90 usuarios en 24 paises que habian sido atacados con el spyware Graphite de Paragon Solutions, tambien mediante un exploit zero-click en WhatsApp. En 2025 se documentaron al menos 14 vulnerabilidades zero-click significativas que afectaron a miles de millones de dispositivos a nivel mundial. El precio de un exploit zero-click completo para iPhone alcanza los 5-7 millones de dolares en el mercado negro, con una inflacion del 44% anual. No hay enlace que abrir, no hay archivo que descargar: el dispositivo se infecta con solo recibir un mensaje.
Definicion tecnica
Zero-click malware es una categoria de software malicioso que explota vulnerabilidades en el procesamiento automatico de datos de un sistema operativo o aplicacion para ejecutar codigo arbitrario sin ninguna interaccion del usuario. A diferencia del malware tradicional que requiere que la victima haga clic en un enlace, abra un adjunto o instale una aplicacion, los exploits zero-click se activan automaticamente cuando el dispositivo recibe y procesa datos (un mensaje, una imagen, un PDF, una notificacion push).
Comparativa: malware tradicional vs zero-click:
| Caracteristica | Malware tradicional | Zero-click malware |
|---|---|---|
| Interaccion requerida | Clic, descarga, instalacion | Ninguna |
| Vector de entrada | Email, web, USB, app | Mensaje, push notification, llamada |
| Deteccion por usuario | Posible (archivo sospechoso) | Imposible (silencioso) |
| Complejidad tecnica | Media | Extremadamente alta |
| Coste en mercado negro | 1,000-50,000 USD | 1-7 millones USD |
| Objetivo tipico | Masivo (miles de victimas) | Selectivo (periodistas, politicos, activistas) |
| Vida util | Meses-anos | Dias-semanas (se parchea rapido) |
Estadisticas 2025:
- 14+ vulnerabilidades zero-click significativas documentadas en 2025
- 5-7 millones USD: precio de un exploit zero-click iOS completo (Crowdfense, 2025)
- 44% inflacion anual en precios de exploits zero-click
- 32% de ventas de exploits en dark web son zero-day, muchos zero-click
- 90 usuarios notificados por Meta tras ataque Graphite/Paragon (febrero 2025)
Como funciona un ataque zero-click
Descubrimiento de vulnerabilidad: El atacante (o un vendor de spyware como NSO Group o Paragon) identifica un fallo en el procesamiento automatico de datos de una aplicacion. Ejemplo: un bug en como iMessage renderiza imagenes GIF, o como WhatsApp procesa archivos PDF recibidos.
Desarrollo del exploit: Se construye un payload que explota la vulnerabilidad. Los exploits mas sofisticados encadenan multiples vulnerabilidades (exploit chain). FORCEDENTRY, por ejemplo, usaba un fallo en el parser de PDF de CoreGraphics de Apple para ejecutar codigo a traves de imagenes JBIG2 manipuladas.
Entrega silenciosa: El exploit se envia al dispositivo victima a traves del vector vulnerable. En el caso de Paragon Graphite (2025), el atacante anadio a la victima a un grupo de WhatsApp y envio un PDF. El dispositivo proceso automaticamente el archivo sin que el usuario lo abriera.
Ejecucion automatica: Al recibir los datos, el proceso vulnerable del sistema operativo los parsea automaticamente. El exploit corrompe memoria (heap overflow, use-after-free, type confusion) y logra ejecucion de codigo arbitrario con privilegios del proceso afectado.
Escalada de privilegios: Desde el proceso comprometido, el malware ejecuta un segundo exploit para obtener privilegios de root/kernel, escapando del sandbox de la aplicacion y logrando control total del dispositivo.
Implante de spyware: Se instala el spyware persistente (Pegasus, Graphite, Predator). Este puede acceder a: mensajes cifrados (WhatsApp, Signal), microfono y camara, geolocalizacion, contrasenas almacenadas, archivos y fotos, y todo el contenido del dispositivo.
Defensa casi imposible para el usuario
Segun los investigadores de Google Project Zero, “exceptuando no usar el dispositivo, no existe forma de prevenir la explotacion mediante un exploit zero-click”. El unico mecanismo efectivo es mantener el software actualizado y, para objetivos de alto riesgo, activar iOS Lockdown Mode o funciones equivalentes.
Casos reales documentados
FORCEDENTRY (NSO Group/Pegasus) - 2021
CVE: CVE-2021-30860 Vector: iMessage (procesamiento automatico de imagenes) Objetivo: Activistas, periodistas, politicos en mas de 45 paises
Mecanismo tecnico:
1. Atacante envia iMessage con imagen GIF (realmente TIFF)
2. ImageIO de Apple procesa automaticamente la imagen
3. Exploit explota parser JBIG2 en CoreGraphics
4. JBIG2 se usa como maquina virtual rudimentaria
5. Ejecucion de codigo arbitrario sin interaccion usuario
6. Pegasus se instala con privilegios completosGoogle Project Zero califico FORCEDENTRY como “el exploit mas sofisticado tecnicamente jamas visto”. El exploit construia una maquina virtual completa dentro del descompresor JBIG2, una tecnica sin precedentes en la historia de la ciberseguridad.
Impacto: Citizen Lab documento 9 activistas de derechos humanos en Bahrain comprometidos entre junio 2020 y febrero 2021.
Paragon Graphite (WhatsApp) - 2024-2025
CVE: CVE-2025-55177 (CVSS 8.0) + CVE-2025-43300 (CVSS 8.8) Vector: WhatsApp (sincronizacion de mensajes + ImageIO) Objetivo: 90+ periodistas y activistas en 24 paises
Mecanismo tecnico:
1. Atacante anade victima a grupo de WhatsApp
2. Envia PDF al grupo
3. WhatsApp procesa automaticamente el PDF
4. CVE-2025-55177: fallo en autorizacion de sincronizacion
de mensajes permite abusar del parsing DNG
5. Se encadena con CVE-2025-43300: escritura fuera de limites
en ImageIO (Apple) para corrupcion de memoria
6. Ejecucion remota de codigo → instalacion GraphiteMeta notifico a las victimas en febrero 2025 y parcheo la vulnerabilidad del lado del servidor el 11 de noviembre de 2025, aunque Google senalo que el parche fue solo parcial.
LANDFALL (Samsung) - 2025
CVE: CVE-2025-21042 Vector: WhatsApp (archivos DNG/imagen) Objetivo: Dispositivos Samsung Android
El exploit fue utilizado como zero-day antes del parche de Samsung de abril 2025. Archivos DNG (imagen raw) maliciosos enviados via WhatsApp activaban la ejecucion de codigo sin interaccion del usuario, instalando el spyware LANDFALL.
NICKNAME (iMessage) - 2025
CVE: Descubierto por iVerify en junio 2025 Vector: iMessage (actualizaciones de apodo) Objetivo: Figuras politicas, periodistas, ejecutivos de IA (EE.UU. y UE)
Una vulnerabilidad use-after-free en el proceso imagent de iOS se activaba mediante actualizaciones rapidas de apodo enviadas por iMessage. Aparecio en menos del 0.001% de logs de fallo pero afecto desproporcionadamente a individuos de alto perfil.
Deteccion forense de zero-click malware
La deteccion forense de ataques zero-click es extremadamente compleja porque el malware esta disenado especificamente para no dejar rastro. Sin embargo, existen indicadores forenses documentados:
Artefactos en iOS
| Indicador | Descripcion | Herramienta |
|---|---|---|
| CASCADEFAIL | Borrado parcial en bases de datos de uso de datos iOS | MVT (Amnesty) |
| Procesos anomalos | Nombres como “setframed”, “roleaboutd” | iVerify, MVT |
| Crash logs | Fallos repetidos en imagent, mediaserverd, CommCenter | Sysdiagnose |
| Dominios C2 | Conexiones a infraestructura conocida NSO/Paragon | Analisis trafico red |
| Certificados anomalos | Perfiles de configuracion no autorizados | Revision manual |
Artefactos en Android
| Indicador | Descripcion | Herramienta |
|---|---|---|
| Archivos DNG sospechosos | Ficheros imagen con payload embebido | Analisis estatico |
| Procesos root no autorizados | Servicios con privilegios elevados anomalos | adb shell ps |
| Trafico red anomalo | Conexiones HTTPS a IPs no reconocidas | Wireshark, tcpdump |
| Modificacion particion sistema | Cambios en /system sin OTA oficial | Verificacion integridad |
Herramientas de deteccion
# Mobile Verification Toolkit (MVT) - Amnesty International
# Analiza backups iOS/Android en busca de indicadores Pegasus/Graphite
pip install mvt
# Analizar backup iTunes de iOS
mvt-ios check-backup --indicators pegasus_indicators.stix2 /ruta/backup/
# Analizar backup Android
mvt-android check-backup --indicators indicators.stix2 /ruta/backup/
# iVerify - Deteccion comercial zero-click
# Escanea sysdiagnose iOS en busca de anomalias
# Requiere licencia empresarialLimitaciones forenses criticas
El malware zero-click moderno opera frecuentemente solo en memoria (fileless), sin dejar rastro en el almacenamiento persistente del dispositivo. Esto significa que un reinicio puede eliminar el implante activo pero tambien destruir la unica evidencia de su existencia. Los peritos forenses recomiendan capturar el estado del dispositivo ANTES de reiniciarlo.
Marco legal espanol
Codigo Penal
Art. 197 bis CP - Acceso ilicito a sistemas:
“El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de informacion.”
- Pena: 6 meses - 2 anos prision
Art. 197.1 CP - Interceptacion de comunicaciones:
Espionaje mediante zero-click que intercepta comunicaciones cifradas (WhatsApp, Signal, email).
- Pena: 1-4 anos prision
- Agravante (Art. 197.4 bis): Si lo cometen autoridades o funcionarios publicos fuera del marco legal: 3-5 anos + inhabilitacion
Art. 264 CP - Danos informaticos:
La instalacion de spyware zero-click puede constituir danos informaticos al alterar el funcionamiento del sistema.
- Pena: 6 meses - 3 anos prision
Caso Pegasus en Espana (CatalanGate)
En 2022, Citizen Lab revelo que al menos 63 personas vinculadas al independentismo catalan (politicos, abogados, activistas) fueron espiadas con Pegasus. El Defensor del Pueblo abrio investigacion, y la Eurocamara creo la comision PEGA. El caso sigue abierto judicialmente.
Implicaciones legales:
- Si el CNI uso Pegasus con autorizacion judicial: legal bajo Ley 11/2002 CNI
- Si se uso sin autorizacion judicial: Art. 197.4 bis CP (interceptacion ilicita por autoridad)
- Las victimas pueden reclamar ante el TEDH (Tribunal Europeo Derechos Humanos)
LECrim y evidencia forense movil
Art. 588 sexies LECrim: Regula el registro de dispositivos electronicos. La extraccion forense de un movil infectado por zero-click requiere autorizacion judicial, y el perito debe documentar la cadena de custodia, los IOC (Indicators of Compromise) detectados y la metodologia de analisis empleada.
Uso de spyware zero-click por estados
El Reglamento Europeo sobre spyware (propuesta 2023) busca limitar el uso de herramientas tipo Pegasus por gobiernos de la UE. Sin embargo, hasta 2026, cada Estado miembro mantiene su propia regulacion. En Espana, la interceptacion de comunicaciones requiere autorizacion judicial del magistrado del Tribunal Supremo competente.
Proteccion contra ataques zero-click
Para usuarios de alto riesgo (periodistas, abogados, activistas)
| Medida | Plataforma | Proteccion |
|---|---|---|
| iOS Lockdown Mode | iPhone/iPad | Bloquea previsualizacion mensajes, limita superficies de ataque |
| Actualizaciones inmediatas | iOS/Android | Parchea vulnerabilidades antes de explotacion masiva |
| iVerify | iOS | Escaneo periodico de indicadores zero-click |
| Reinicio diario | Cualquiera | Elimina implantes solo en memoria (no persistentes) |
| Dispositivos desechables | Cualquiera | Movil separado para comunicaciones sensibles |
Para empresas
- MDM (Mobile Device Management): Control centralizado de actualizaciones y politicas
- Network monitoring: Deteccion de conexiones C2 anomalas desde dispositivos corporativos
- Threat intelligence feeds: Suscripcion a IOCs de NSO, Paragon, Candiru actualizados
- Formacion: Concienciacion sobre limites de la seguridad movil
Coste pericial
| Servicio | Rango precio |
|---|---|
| Extraccion forense movil (UFED/GrayKey) | 600-1,200 EUR |
| Analisis MVT/iVerify indicadores zero-click | 500-800 EUR |
| Analisis trafico red (C2 detection) | 400-700 EUR |
| Analisis memoria volatil dispositivo | 800-1,500 EUR |
| Informe pericial completo (zero-click) | 1,200-2,000 EUR |
| Ratificacion judicial | 350-600 EUR |
Total tipico: 3,850-6,800 EUR
El analisis forense de zero-click es significativamente mas costoso que el analisis de malware convencional debido a la complejidad tecnica y la necesidad de herramientas especializadas.
FAQ
P: Puede un antivirus protegerme de un ataque zero-click? R: No. Los antivirus moviles operan a nivel de aplicacion y no tienen acceso a las capas del sistema operativo donde se ejecutan los exploits zero-click. La unica defensa efectiva es mantener el sistema actualizado, usar iOS Lockdown Mode si eres objetivo de alto riesgo, y monitorizar indicadores de compromiso con herramientas especializadas como MVT.
P: Si reinicio mi movil, se elimina el spyware zero-click? R: Depende. Algunos implantes modernos operan solo en memoria y se eliminan con un reinicio. Sin embargo, versiones avanzadas de Pegasus logran persistencia sobreviviendo reinicios. Ademas, si reinicias antes de realizar una extraccion forense, puedes destruir la unica evidencia de la infeccion.
P: Solo los gobiernos usan zero-click malware? R: Historicamente si, debido a su coste (millones de dolares). Sin embargo, la tendencia MaaS (Malware-as-a-Service) esta democratizando el acceso. Ademas, la vulnerabilidad de WhatsApp grupos de enero 2026 demostro que fallos zero-click mas sencillos pueden ser explotados por actores con menos recursos.
P: Como se si mi movil ha sido infectado por un exploit zero-click? R: Los sintomas visibles son practicamente inexistentes. Indicadores sutiles pueden incluir: consumo anomalo de bateria, calentamiento sin uso, consumo de datos inusual. Para confirmacion, se requiere analisis forense profesional con MVT (Mobile Verification Toolkit) de Amnesty International o herramientas equivalentes.
Conceptos relacionados
- Pegasus spyware - El spyware zero-click mas conocido, desarrollado por NSO Group
- Zero-day - Vulnerabilidades sin parche que hacen posibles los ataques zero-click
- Malware (analisis forense) - Tecnicas generales de analisis de software malicioso
- Troyano bancario - Malware movil que puede usar vectores zero-click
Referencias y fuentes
- Google Project Zero. (2021). “A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution”. projectzero.google - Analisis tecnico FORCEDENTRY
- Citizen Lab. (2021). “FORCEDENTRY: NSO Group iMessage Zero-Click Exploit Captured in the Wild”. citizenlab.ca - Descubrimiento y documentacion
- Malwarebytes. (2025). “WhatsApp fixes vulnerability used in zero-click attacks”. malwarebytes.com - CVE-2025-55177
- Malwarebytes. (2026). “A WhatsApp bug lets malicious media files spread through group chats”. malwarebytes.com - Vulnerabilidad grupos WhatsApp
- SOCRadar. (2025). “CVE-2025-55177: Zero-Click WhatsApp Exploit Leveraged in Targeted Spyware Attacks”. socradar.io - Analisis Paragon Graphite
- The Hacker News. (2025). “Meta Confirms Zero-Click WhatsApp Spyware Attack Targeting 90 Journalists”. thehackernews.com - 90 victimas en 24 paises
- CybersecurityNews. (2025). “One Year of Zero-Click Exploits: What 2025 Taught Us”. cybersecuritynews.com - 14+ vulnerabilidades zero-click en 2025
- Darknet.org.uk. (2025). “Inside Dark Web Exploit Markets in 2025: Pricing, Access & Active Sellers”. darknet.org.uk - Precios exploits 5-7M USD
- DeepStrike. (2025). “Zero-Day Exploit Statistics 2025”. deepstrike.io - 32% ventas dark web son zero-day, inflacion 44%
- The Hacker News. (2025). “Samsung Zero-Click Flaw Exploited to Deploy LANDFALL Spyware”. thehackernews.com - CVE-2025-21042
- Codigo Penal espanol: Arts. 197, 197 bis, 197.4 bis, 264 (interceptacion ilicita, danos informaticos)
- LECrim: Art. 588 sexies (registro dispositivos electronicos)
Ultima actualizacion: 12 Febrero 2026 Categoria: Malware Nivel tecnico: Avanzado
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita