En 2025, Google y Apple reportaron más de 200 campañas activas de spyware que no necesitan que el usuario haga clic. Las vulnerabilidades zero-click aprovechan fallos en ImageIO, WebKit y parsers multimedia para ejecutar código al abrir una imagen o vista previa. Los founders que administran wallets, cuentas cloud o datos de fusiones son objetivos de alto valor porque su dispositivo da acceso a fondos y propiedad intelectual.
Apple responde con Lockdown Mode: una configuración en Ajustes > Privacidad y
Google ofrece Advanced Protection Program, gratuito para cuentas individuales y Workspace. Exige llaves FIDO2 o passkeys, bloquea el ingreso desde apps no verificadas y añade pasos extras contra phishing y robo de sesión. Es obligatorio para CFOs, administradores de infraestructura y cualquier empleado con acceso a secretos técnicos o financieros.
Meta y WhatsApp no disponen de un “modo bloqueo”, pero mantienen verificación en dos pasos, alertas de cambio de dispositivo y cifrado de extremo a extremo. El cifrado, sin embargo, no evita que un spyware ya instalado lea el contenido antes o después de cifrarlo; solo protege la transmisión.
La amenaza dejó de ser exclusiva de Estados hostiles. Grupos criminales venden acceso a dispositivos comprometidos en mercados oscuros y monetizan la información bancaria o los secretos de compañías. Diciembre de 2025 cerró con parches de emergencia de Apple y Google por la explotación activa de CVE-2025-3652, fallo en el procesamiento de imágenes que permitía ejecución remota de código.
Las campañas recurrentes apuntan a carteras crypto, cuentas bancarias, repositorios de GitHub, Slack y paneles de administración cloud. El patrón común: enviar un archivo multimedia que dispara la vulnerabilidad sin interacción del usuario y establece persistencia para robar credenciales y desplazarse luego a la infraestructura de la empresa.
No se necesita un equipo grande de ciberseguridad para mitigar el riesgo. Las compañías pueden empezar por activar Lockdown Mode en iPhones expuestos, inscribir cuentas críticas en Advanced Protection y retirar el SMS como segundo factor de autenticación. Tres pasos que, según los fabricantes, reducen la superficie de ataque y blindan la información que más vale para la operación.
Etiquetas: spyware, ciberseguridad, Apple, Google, Meta, zero-click, founders, CVE-2025-3652
About the Author
