Spyware
Software malicioso diseñado para infiltrarse en un dispositivo y recopilar información del usuario sin su conocimiento ni consentimiento. Incluye desde keyloggers y screen recorders hasta sofisticados programas de vigilancia comercial como Pegasus. En forense digital, la detección y análisis de spyware es fundamental para investigaciones de ciberacoso, espionaje corporativo y violaciones de privacidad.
Spyware
Los ataques de malware móvil alcanzaron 33,3 millones de infecciones en 2024 (Kaspersky Security Bulletin), con Android representando el 92% de los dispositivos afectados. El spyware comercial es “mucho más prevalente de lo que la gente cree”, según un estudio de iVerify (2025) que detectó infecciones de Pegasus en ratios de 1 por cada 1.000 dispositivos analizados, una cifra 50 veces superior a las estimaciones previas. En España, el escándalo CatalanGate (2022) reveló que más de 65 dispositivos de políticos y activistas catalanes habían sido infectados con Pegasus, situando al spyware en el centro del debate entre seguridad nacional y derechos fundamentales.
Definición técnica
El spyware (software espía) es una categoría de malware diseñada específicamente para recopilar información de un dispositivo o sistema sin el conocimiento ni consentimiento del usuario. A diferencia de otros tipos de malware cuyo objetivo es causar daño directo (ransomware) o controlar el dispositivo (RAT), el spyware prioriza la recolección silenciosa y persistente de datos.
Taxonomía del spyware por nivel de sofisticación:
| Nivel | Tipo | Descripción | Ejemplo |
|---|---|---|---|
| Básico | Adware/tracking | Cookies, fingerprinting, tracking pixels | Publicidad dirigida invasiva |
| Medio | Stalkerware | Apps comerciales de control parental/pareja | mSpy, FlexiSpy, Cerberus |
| Alto | Spyware corporativo | Implantes con persistencia y C2 avanzado | FinFisher, Hacking Team RCS |
| Muy alto | Spyware estatal | Exploits zero-day, zero-click, capacidades completas | Pegasus (NSO), Predator (Intellexa) |
Capacidades típicas del spyware:
- Keylogging: Registro de todas las pulsaciones del teclado
- Screen capture: Capturas de pantalla periódicas o grabación de pantalla
- Interceptación de comunicaciones: Lectura de SMS, WhatsApp, Signal, Telegram, email
- Grabación de audio/vídeo: Activación remota de micrófono y cámara
- Geolocalización: Seguimiento GPS en tiempo real
- Extracción de archivos: Copia de fotos, documentos, bases de datos
- Credenciales: Captura de contraseñas y tokens de autenticación
- Datos de navegación: Historial, bookmarks, contraseñas guardadas
Spyware vs stalkerware
El stalkerware es un subconjunto de spyware comercializado legalmente (a menudo como “control parental” o “monitorización de empleados”). En España, su instalación sin consentimiento del usuario del dispositivo constituye delito de descubrimiento y revelación de secretos (Art. 197 CP).
Cómo se instala el spyware
Los vectores de infección varían según el nivel de sofisticación:
Vectores de infección por nivel:
| Vector | Interacción requerida | Nivel |
|---|---|---|
| Apps troyanizadas | El usuario instala la app | Básico-Medio |
| Phishing con enlace | El usuario hace clic en enlace malicioso | Medio |
| Acceso físico | Alguien instala la app en el dispositivo | Medio (stalkerware) |
| Exploit 1-click | El usuario hace clic en enlace que explota vulnerabilidad | Alto |
| Exploit zero-click | Ninguna (exploit vía iMessage, WhatsApp, etc.) | Muy alto |
| Cadena de suministro | El dispositivo viene infectado de fábrica | Muy alto |
Persistencia y evasión:
El spyware avanzado emplea múltiples técnicas para sobrevivir reinicios y evadir la detección:
Técnicas de persistencia:
─────────────────────────
- Inyección en procesos del sistema (system services)
- Modificación del boot loader (rooted devices)
- Abuso de perfiles MDM (iOS)
- Implantación en partición de sistema (Android rooted)
- Reinfección periódica desde C2 (Pegasus "zero-click reload")
Técnicas de evasión:
─────────────────────
- Cifrado de comunicaciones C2
- Uso de dominios legítimos como fachada (domain fronting)
- Autodestrucción si detecta análisis forense
- Ofuscación de código y empaquetado dinámico
- Operación solo en RAM (fileless) sin escritura en discoDetección forense de spyware
La detección de spyware es uno de los análisis más complejos en forense digital. El proceso requiere una combinación de técnicas:
Triage inicial del dispositivo
Análisis de indicadores superficiales: consumo anómalo de batería, uso elevado de datos móviles, calentamiento excesivo, comportamiento errático. Aunque estos síntomas no son concluyentes, orientan la investigación.
Análisis de aplicaciones instaladas
Listado completo de apps con permisos concedidos. Identificación de apps con permisos excesivos (micrófono + cámara + ubicación + SMS + contactos), apps desconocidas o con nombres genéricos, apps que no aparecen en el launcher.
Análisis de tráfico de red
Captura de tráfico saliente del dispositivo para identificar conexiones a servidores C2 conocidos, comunicaciones cifradas a IPs sospechosas, exfiltración de datos en horarios inusuales, uso de dominios recién registrados.
Análisis de memoria y procesos
En dispositivos con acceso root/jailbreak, análisis de procesos en ejecución, bibliotecas cargadas, hooks de sistema y modificaciones del kernel.
Análisis forense de artefactos
Examen de bases de datos SQLite, logs del sistema, archivos de configuración, almacenamiento de apps y restos de actividad en cache/tmp.
Herramientas especializadas de detección
Uso de MVT (Mobile Verification Toolkit) de Amnistía Internacional para detección de Pegasus y otros spyware de grado estatal en iOS y Android.
Herramientas forenses para detección de spyware:
| Herramienta | Plataforma | Capacidad |
|---|---|---|
| MVT (Mobile Verification Toolkit) | iOS/Android | Detección Pegasus, Predator, otros spyware estatales |
| iVerify | iOS | Detección de spyware en tiempo real |
| Lookout | iOS/Android | Detección de stalkerware y spyware comercial |
| Cellebrite UFED | iOS/Android | Extracción completa + análisis de artefactos |
| Wireshark | Red | Análisis de tráfico C2 del spyware |
| YARA Rules | Multiplataforma | Firmas para identificación de familias de spyware |
| Volatility | Memoria | Análisis de procesos y bibliotecas maliciosas en RAM |
El spyware avanzado se autodestruye
Spyware como Pegasus implementa mecanismos de autodestrucción si detecta que el dispositivo está siendo analizado forense. Es fundamental realizar una imagen forense completa ANTES de cualquier interacción con el dispositivo sospechoso.
Caso práctico: spyware stalkerware en caso de violencia de género
Nota: El siguiente caso es un ejemplo compuesto y anonimizado basado en tipologías reales de peritaje informático. No representa un caso específico real.
Contexto: Una mujer denunció que su expareja conocía detalles íntimos de sus conversaciones y ubicaciones pese a haber cambiado de domicilio y tener orden de alejamiento. Su abogada solicitó peritaje forense del teléfono móvil.
Investigación forense:
- Extracción forense: Imagen completa del iPhone 13 mediante Cellebrite UFED con documentación de cadena de custodia
- Análisis de perfiles MDM: Se detectó un perfil de gestión de dispositivos (MDM) no autorizado que permitía instalación remota de apps
- Identificación del stalkerware: Se localizó la app mSpy oculta bajo el nombre “System Service”, con permisos de ubicación, micrófono, cámara, SMS y acceso a iCloud
- Análisis del tráfico: La app exfiltraba datos cada 15 minutos a servidores de mSpy cifrados con TLS
- Logs de acceso: Se obtuvieron judicialmente los registros de mSpy que vinculaban la cuenta de monitorización al email del expareja
- Timeline de vigilancia: Se documentaron 4 meses de seguimiento continuado, con 12.000+ localizaciones GPS, 3.400 capturas de pantalla y grabaciones de 200+ llamadas
Resultado: El informe pericial fue clave para que el juzgado ampliara la orden de alejamiento, se abriera causa penal por delito de descubrimiento y revelación de secretos (Art. 197 CP) con agravante de género, y se dictara condena de 3 años de prisión.
Marco legal en España
Código Penal:
- Art. 197.1 CP: El que, para descubrir los secretos o vulnerar la intimidad de otro, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen. Penas de 1 a 4 años de prisión
- Art. 197.2 CP: Apoderamiento, utilización o modificación de datos reservados de carácter personal o familiar registrados en ficheros. Penas de 1 a 4 años de prisión
- Art. 197 bis CP: Acceso no autorizado a un sistema informático vulnerando medidas de seguridad. Penas de 6 meses a 2 años de prisión
- Art. 197 ter CP: Producción o facilitación de programas informáticos diseñados para cometer los delitos de los artículos anteriores. Pena de 6 meses a 2 años de prisión. Aplicable a fabricantes y distribuidores de stalkerware
Agravantes:
- Art. 197.4 CP: Si los hechos se realizan por quien está o ha estado unido sentimentalmente a la víctima (agravante género). Pena de 2 a 5 años
- Art. 197.5 CP: Si los datos afectados son de especial protección (salud, vida sexual, orientación sexual, origen racial). Pena en su mitad superior
Normativa adicional:
- RGPD (Art. 5-6): El tratamiento de datos personales mediante spyware carece de base jurídica legítima
- LO 1/2004: Ley de Medidas de Protección Integral contra la Violencia de Género. El uso de stalkerware constituye una forma de violencia de género digital
- Ley 4/2015: Estatuto de la víctima del delito. Protección reforzada para víctimas de ciberacoso y vigilancia ilegal
Conceptos relacionados
- Pegasus spyware - El spyware estatal más conocido, desarrollado por NSO Group
- Keylogger - Componente fundamental de la mayoría de spyware
- Zero-click malware - Vector de infección avanzado que no requiere interacción del usuario
- Troyano bancario - Categoría de malware con capacidades de spyware financiero
- Forense móvil - Disciplina que engloba la detección y análisis de spyware en smartphones
- Digital stalking - Uso de spyware stalkerware en contexto de acoso
Preguntas frecuentes
¿Cómo saber si mi teléfono tiene spyware?
Algunos indicadores incluyen: consumo anómalo de batería (la app espía consume recursos en segundo plano), uso elevado de datos móviles sin explicación, calentamiento excesivo del dispositivo en reposo, y aparición de apps desconocidas en los ajustes del sistema. Sin embargo, el spyware avanzado puede ser completamente invisible. Para una detección fiable, se recomienda un análisis forense profesional con herramientas como MVT (Mobile Verification Toolkit).
¿Es legal instalar una app de monitorización en el teléfono de mi hijo menor?
En España, los padres o tutores legales tienen el derecho y deber de velar por la seguridad de sus hijos menores (Art. 154 CC). La instalación de software de control parental en dispositivos de menores de edad bajo su tutela se considera generalmente legítima, siempre que sea proporcionada y se comunique al menor (según su madurez). Sin embargo, la instalación de spyware oculto en el dispositivo de un menor mayor de 14 años puede plantear conflictos con su derecho a la intimidad.
¿Puede un empleador instalar spyware en los dispositivos de trabajo?
El empleador puede implementar software de monitorización en dispositivos corporativos, pero solo si: el trabajador ha sido informado previamente de la existencia y alcance de la monitorización, existe una política de uso aceptable firmada, la monitorización es proporcionada al fin legítimo perseguido, y se respetan los derechos fundamentales del trabajador (STC 170/2013). La instalación de spyware oculto sin consentimiento del empleado es ilegal.
¿Cuánto cuesta un análisis forense para detectar spyware?
El coste varía según la complejidad. Un análisis básico de stalkerware comercial en un smartphone puede costar entre 400 y 800 EUR. Un análisis forense completo que incluya detección de spyware avanzado (tipo Pegasus), análisis de tráfico de red y elaboración de informe pericial para juicio puede oscilar entre 1.500 y 4.000 EUR. Si se requiere ratificación en sala, se añaden los honorarios de comparecencia.
Familias de spyware más relevantes en 2025-2026
Spyware estatal y comercial de alto nivel:
| Familia | Desarrollador | Capacidades | Precio estimado |
|---|---|---|---|
| Pegasus | NSO Group (Israel) | Zero-click, full device access, iOS+Android | 500.000+ USD/target |
| Predator | Intellexa/Cytrox (Grecia) | 1-click, full device access, Android+iOS | 300.000+ USD/target |
| FinSpy | FinFisher (Alemania, cerrada 2022) | Full device, desktop+mobile | Licencia gubernamental |
| Hermit | RCS Lab (Italia) | Android+iOS, módulos descargables | Licencia gubernamental |
| Candiru | Candiru (Israel) | Windows, focus en navegadores | Licencia gubernamental |
Stalkerware comercial más detectado:
| App | Detecciones anuales aprox. | Plataforma | Capacidades principales |
|---|---|---|---|
| mSpy | Alto | iOS/Android | GPS, SMS, WhatsApp, grabación llamadas |
| FlexiSpy | Medio | iOS/Android | Interceptación de llamadas, control remoto |
| Cerberus | Alto | Android | Anti-robo legítimo abusado como stalkerware |
| Hoverwatch | Medio | Android | Screenshots, keylogger, ubicación |
| Cocospy | Alto | iOS/Android | Monitorización redes sociales, fotos |
Protección contra spyware
Medidas preventivas para usuarios:
- Mantener el sistema operativo actualizado: Los parches de seguridad corrigen las vulnerabilidades que explota el spyware
- No instalar apps fuera de tiendas oficiales: Evitar APKs de fuentes desconocidas en Android; no hacer jailbreak en iOS
- Revisar permisos de aplicaciones: Desconfiar de apps que solicitan permisos excesivos (especialmente acceso a micrófono + cámara + ubicación + SMS)
- Usar contraseña fuerte para el dispositivo: Impedir que terceros puedan instalar stalkerware con acceso físico
- Activar verificación de apps (Android): Google Play Protect escanea apps instaladas en busca de comportamiento sospechoso
- Reiniciar el dispositivo periódicamente: Algunos spyware avanzados (como Pegasus) solo operan en memoria y no sobreviven reinicios
Medidas para organizaciones:
- Implementar soluciones de Mobile Threat Defense (MTD) en dispositivos corporativos
- Monitorizar tráfico DNS y de red en busca de conexiones a infraestructura C2 conocida de spyware
- Establecer políticas de BYOD (Bring Your Own Device) que incluyan requisitos mínimos de seguridad
- Realizar auditorías periódicas de dispositivos con acceso a información sensible
Spyware en España: casos de relevancia pública
Casos destacados:
CatalanGate (2022): El laboratorio Citizen Lab de la Universidad de Toronto documentó que al menos 65 dispositivos de políticos, activistas y periodistas catalanes fueron infectados con los spyware Pegasus (NSO Group) y Candiru. Este caso provocó una crisis política y la creación de una comisión de investigación en el Parlamento Europeo
Informe del Defensor del Pueblo (2023): El Defensor del Pueblo emitió recomendaciones sobre la regulación del uso de spyware comercial por parte de las autoridades españolas, pidiendo mayor transparencia y control judicial
Operación contra redes de stalkerware (2024): La Policía Nacional desarticuló en Madrid una red que comercializaba servicios de instalación de stalkerware a particulares (parejas, padres, empresarios), con precios de 150-500 EUR por dispositivo
Impacto en la sociedad española:
El stalkerware es una herramienta de violencia de género digital cada vez más denunciada en España. Según datos del Ministerio de Igualdad, las denuncias por ciberviolencia de género que incluyen uso de tecnología de vigilancia crecieron un 34% entre 2022 y 2024. La detección forense de stalkerware en dispositivos de víctimas se ha convertido en una especialidad demandada para peritos informáticos, especialmente en procedimientos de violencia de género, custodia y órdenes de protección.
Referencias y fuentes
Kaspersky Security Bulletin 2024 - “Mobile threats in 2024”, estadísticas de malware móvil. securelist.com
iVerify - “Study shows potentially higher prevalence of spyware infections than previously thought”, 2025. iverify.io
Citizen Lab - “CatalanGate: Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru”, University of Toronto, 2022. citizenlab.ca
Amnistía Internacional - “Mobile Verification Toolkit (MVT)”, herramienta de detección de spyware. github.com/mvt-project
Comparitech - “20+ Android Malware Stats for 2025”. comparitech.com
Coalition Against Stalkerware - Recursos y estadísticas sobre stalkerware. stopstalkerware.org
INCIBE - “Balance de Ciberseguridad 2025”. incibe.es
Ley Orgánica 10/1995 del Código Penal, artículos 197 y siguientes. boe.es
RGPD - Reglamento (UE) 2016/679 del Parlamento Europeo. eur-lex.europa.eu
Tribunal Constitucional - STC 170/2013 sobre monitorización de empleados. tribunalconstitucional.es
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita