Desde que se confirmó que los teléfonos del presidente del Gobierno, Pedro Sánchez, y de la entonces ministra de Defensa, Margarita Robles, habían sido infectados con el spyware Pegasus, desarrollado por NSO Group, la palabra zero-click dejó de ser un término técnico reservado a laboratorios de ciberseguridad y pasó a formar parte de la conversación pública.
Desde entonces, algo ha cambiado. Cada vez más personas miran su móvil con sospecha. Si el dispositivo se ralentiza, si la batería dura menos, si aparece publicidad inesperada o si hay un conflicto personal de por medio, la conclusión suele ser inmediata: “me han intervenido el teléfono”. Y en ese contexto, los peritos informáticos reciben un volumen creciente de consultas relacionadas con supuestos ataques invisibles.
Como estudiante de informática especializado en ciberseguridad, y con la intención de dedicarme profesionalmente al peritaje digital, he aprendido algo esencial desde el primer curso: en tecnología no se trabaja con sensaciones. Se trabaja con evidencias.
Un ataque zero-click existe. Está documentado. No es una teoría. Pero tampoco es lo que muchos imaginan.
Un zero-click es un exploit de ejecución remota de código que aprovecha una vulnerabilidad en el procesamiento automático de datos. Cuando un teléfono recibe un mensaje, una imagen o un archivo, el sistema lo procesa en segundo plano para generar una vista previa. Si ese procesamiento contiene un fallo de seguridad, puede ejecutarse código malicioso sin que el usuario pulse nada. Sin clic. Sin descarga. Sin advertencia visible.
El caso más conocido fue documentado por Citizen Lab, que analizó una cadena de explotación contra iMessage (CVE-2021-30860). En ese caso se enviaba un archivo especialmente diseñado que activaba un fallo en el motor de renderizado. El proceso técnico, simplificado, consistía en el envío del archivo, su procesamiento automático, la activación del error de memoria, la ejecución de código y la posterior instalación del spyware. Todo ello sin intervención del usuario.
Sobre el papel parece sencillo. En la práctica es extraordinariamente complejo. Desarrollar un exploit zero-click funcional contra un sistema actualizado requiere conocimiento profundo del sistema operativo, vulnerabilidades no divulgadas y una inversión económica que puede alcanzar cifras millonarias en el mercado de exploits.
Aquí es donde empieza la parte que casi nunca se explica.
Los zero-click existen, están documentados y son reales. Pero son ataques sofisticados, dirigidos, caros y excepcionales. No forman parte del malware cotidiano que circula masivamente por Internet. No se lanzan al azar. No se emplean para espiar a cualquier ciudadano. Se utilizan contra objetivos de alto valor: cargos políticos, diplomáticos, periodistas de investigación, activistas relevantes o personas con información estratégica.
En el trabajo forense real, lo que aparece con mucha más frecuencia es otra cosa. Phishing. Ingeniería social. Aplicaciones instaladas desde fuentes no oficiales. Permisos concedidos sin revisar. Malware comercial que se instala porque alguien pulsó donde no debía. Y, en bastantes casos, simplemente miedo tecnológico amplificado por titulares.
Cuando un perito analiza una sospecha seria de infección, no empieza mirando iconos extraños ni instalando aplicaciones “anti-espía”. Empieza preservando la evidencia mediante una extracción forense certificada, generando hashes criptográficos y documentando la cadena de custodia. Después examina el sistema de archivos, los registros internos, los logs de eventos, los crash reports y los artefactos temporales. Analiza también el tráfico de red en busca de comunicaciones con servidores de mando y control. Porque todo spyware necesita comunicarse con una infraestructura externa. Y la red deja huella.
En campañas documentadas, se han identificado patrones técnicos concretos, dominios asociados a infraestructuras específicas y comportamientos anómalos en procesos del sistema. No son señales difusas ni interpretaciones subjetivas. Son indicadores técnicos contrastables.
La mayoría de los dispositivos que se analizan por sospechas de zero-click no presentan esos indicadores. Y decirlo no es minimizar el problema. Es contextualizarlo.
La ciberseguridad no se fortalece generando paranoia. Se fortalece educando, actualizando sistemas, reduciendo la superficie de ataque y aplicando metodología. La diferencia entre una sospecha y una prueba no es emocional. Es técnica.
Como estudiante, lo que más me interesa de este fenómeno no es el componente mediático, sino la responsabilidad profesional que implica. Un perito informático no está para confirmar temores, sino para analizarlos. No está para alimentar titulares, sino para aportar rigor.
Los zero-click existen. Son una realidad del ecosistema de ciberinteligencia. Pero no forman parte del riesgo habitual del ciudadano medio. Y comprender esa diferencia es el primer paso para sustituir el miedo por conocimiento.
Porque al final, la ciberseguridad no es paranoia. Es método, análisis y evidencia. Y ese es el enfoque que, como futuro perito forense, quiero defender.
