Ciberespionaje a empresarios, líderes políticos y otras personas de interés

El ciberespionaje a empresarios y otras personas de interés busca obtener información confidencial crítica y extorsionar a las compañías para monetizar los ataques

Emmanuel Macron, Pedro Sánchez, Charles Michel… Seguro que recuerdas el escándalo que se produjo cuando se hizo público que los móviles de líderes políticos habían sido espiados usando el spyware Pegasus. A pesar de que su creadora, la empresa NSO Group, solo puede comercializarlo a Gobiernos para perseguir a terroristas y criminales, su uso se ha descontrolado.

De hecho, este mismo año, un tribunal estadounidense condenó a la compañía a pagar a Meta, la empresa propietaria de WhatsApp, una indemnización de 167 millones de $ por haber espiado a 1.200 políticos, periodistas y activistas vulnerando esta aplicación.

Aunque la atención mediática se ha centrado en los cargos públicos, lo cierto es que en los últimos años el ciberespionaje a empresarios se ha convertido en una amenaza real para directivos de compañías y para las propias organizaciones. Es más, hace unos meses se hizo público que se había detectado la presencia de Pegasus en 18.000 dispositivos y que el spyware también se había empleado para realizar ciberespionaje a empresarios y directivos de sectores como el financiero o el logístico.

Lo cierto es que el auge de los spyware es innegable a estas alturas. Aunque algunos spyware se emplean para realizar ciberespionaje a empresarios y otros targets de gran valor a través de sus ordenadores, en los últimos meses hemos conocido diversos incidentes en los que se usan spyware para infectar móviles Android e iOs.

¿Qué se puede hacer para prevenir y detectar el ciberespionaje a empresarios? ¿Cómo logran los actores maliciosos infectar los dispositivos de sus víctimas? Más allá del uso de spyware, ¿qué otros riesgos debemos tener en cuenta para combatir el ciberespionaje a empresarios, líderes políticos o celebridades?

1. Los ataques de ciberespionaje a empresarios y otros targets son sofisticados

Por desgracia, en estos últimos años nos hemos familiarizado con los fraudes a ciudadanos y sus mecánicas, que generalmente combinan técnicas de ingeniería social y el uso de malware.

Sin embargo, los ataques de ciberespionaje a empresarios son notablemente más difíciles de detectar y los actores maliciosos detrás de ellos deben contar con conocimientos avanzados y recursos económicos notables.

Así lo ha señalado Apple, después de que tuviera alertar a ciudadanos franceses a lo largo de 2025 sobre el hecho de que estaban en el punto de mira de ciberataques de spyware contra sus móviles. La compañía que fabrica los móviles iOs destaca que en estos ataques:

• Se usan recursos excepcionales.
• Los objetivos son un pequeñísimo grupo de personas y sus dispositivos.
• Cuestan millones de dólares.

De hecho, en no pocos casos, los ataques de ciberespionaje a empresarios u otros targets se llevan a cabo empleando spyware de click cero. ¿Qué quiere decir esto? Se pueden infiltrar en los dispositivos explotando vulnerabilidades sin que los usuarios tengan que realizar ninguna acción como descargar o instalar una aplicación o abrir un archivo.

Igualmente, también se han detectado campañas en las que la ingeniería social es relevante. Por ejemplo, a finales de agosto, conocimos que un grupo delictivo estaba suplantando la identidad de la agencia rusa de servicios de seguridad (FSB) y del banco central ruso para conseguir que empresarios de este país se descargaran software en sus móviles que parecía legítimo, pero que, en realidad, servía para infectar sus móviles con un spyware.

2. ¿Qué buscan los actores maliciosos al lanzar ataques de ciberespionaje a empresarios?

El uso de spyware tiene como objetivo obtener los máximos permisos de seguridad en los dispositivos para:

• Activar el micrófono o la cámara para tener acceso a conversaciones de gran valor.
• Grabar la pantalla de los móviles de sus víctimas.
• Hacer capturas de pantalla de emails o conversaciones a través de aplicaciones como Gmail o WhatsApp.
• Obtener documentos e imágenes almacenados en los dispositivos.
• Conseguir contraseñas y credenciales de acceso a software corporativo, etc.

Resulta evidente el valor que tiene para los actores maliciosos acceder a este caudal de información del directivo de una gran empresa o de un cargo público.

Gracias a estos datos pueden:

• Extorsionar a sus víctimas o a las compañías de las que forman parte.
• Venderles sus secretos empresariales a empresas de la competencia.
• Si son actores esponsorizados por estados, facilitarles información crítica en un contexto de tensiones geopolíticas crecientes.

3. La explotación de vulnerabilidades 0-day es un vector de entrada clave para este tipo de ataques

Como ya apuntamos antes, un elemento esencial de gran parte de las campañas de ciberespionaje a empresarios, líderes políticos y otros ciudadanos de relevancia es la explotación de vulnerabilidades 0-day.

Sin ir más lejos, este mismo mes de septiembre, Samsung, una de las principales fabricantes de dispositivos digitales del mundo, parcheó una vulnerabilidad, la CVE-2025-21043, que permitiría realizar ejecución de código malicioso e infectar con spyware dispositivos de víctimas concretas para espiar sus mensajes de WhatsApp.

En la misma línea, Apple también ha lanzado parches de seguridad para solventar otra vulnerabilidad, la CVE-2025-43300, que también se ha explotado en ataques de spyware con un elevado nivel de sofisticación contra ciudadanos específicos.

4. La seguridad de los hogares inteligentes está amenazada

El ciberespionaje a empresarios, cargos públicos, periodistas u otros ciudadanos relevantes para el tejido productivo o la sociedad civil no gira, solo, en torno al uso de spyware.

A mediados de agosto, se hizo público en Italia que en una plataforma se estaba comercializando un video sexual protagonizado por un presentador de la Rai, la televisión pública italiana.

Los actores maliciosos lo consiguieron acceder al sistema de videovigilancia de la casa del presentador.

Este caso evidencia la importancia de combatir el ciberespionaje a empresarios o cargos públicos en todos los frentes, también en el ámbito doméstico.

El derecho a la intimidad está protegido constitucionalmente en nuestro país como un derecho fundamental y sucede lo mismo en la práctica totalidad de estados occidentales.

Sin embargo, el ciberespionaje a empresarios, políticos y celebridades en sus casas afecta a este derecho fundamental aprovechándose del uso masivo de dispositivos inteligentes conectados a internet que tenemos hoy en día en nuestros domicilios.

Por eso, es crítico tener en cuenta la seguridad de tecnología de uso masivo hoy en día como altavoces inteligentes, sistemas de videovigilancia o monitores infantiles. Puesto que una vulnerabilidad en estos dispositivos puede ser explotada para realizar ciberespionaje a empresarios y otros targets especialmente valiosos para los actores maliciosos.

5. El uso de dispositivos Bluetooth vulnerables puede facilitar el ciberespionaje a empresarios, políticos o periodistas

Los dispositivos IoT no solo tienen conexiones a internet, sino que también emplean otro estándar de comunicaciones global: Bluetooth.

Smartphones, portátiles, altavoces inteligentes, auriculares inalámbricos, dispositivos médicos… Todos ellos usan Bluetooth. Y los actores maliciosos lo saben.

La existencia de vulnerabilidades en los procesos de descubrimiento, emparejamiento, autenticación o cifrado Bluetooth puede abrir la puerta al ciberespionaje a empresarios u otros targets específicos. De tal forma que los actores maliciosos consigan, por ejemplo, obtener información médica del CEO de una empresa o escuchar conversaciones de índole empresarial.

Para incrementar la protección de los dispositivos Bluetooth, Tarlogic diseñó BSAM, una metodología para la evaluación de seguridad de Bluetooth que sistematiza los controles de seguridad que se deben llevar a cabo para analizar la seguridad de los dispositivos con comunicaciones Bluetooth.

6. Cómo hacer frente al ciberespionaje a empresarios

El ciberespionaje a empresarios puede ser devastador para las empresas a nivel competitivo, económico e, incluso, legal, si se menoscaba la protección de datos personales. El ciberespionaje industrial y el robo de información crítica pueden lastrar los resultados de una compañía y menoscabar su posición en el mercado de una forma notable.

¿Qué pueden hacer las organizaciones y los directivos frente a la amenaza que supone el ciberespionaje a empresarios?

6.1. Consejos básicos para prevenir el ciberespionaje a empresarios

Algunas de las recomendaciones sencillas que pueden tener en cuenta las empresas y los directivos para luchar contra el ciberespionaje a empresarios son:

• Asumir que los dispositivos personales forman parte del perímetro de seguridad corporativo e incluirlos dentro de las políticas de seguridad.
• Actualizar continuamente los sistemas operativos de los dispositivos (en especial los de los móviles) y los software. Puesto que a través de las actualizaciones se incorporan parches de seguridad frente a vulnerabilidades recientemente descubiertas.
• Seguir buenas prácticas básicas en materia de ciberseguridad no solo en el trabajo, sino también en casa: cambiar las contraseñas de los dispositivos IoT que vienen por defecto, modificar las contraseñas de forma periódica, usar mecanismos de autenticación multifactor, comprobar los permisos de seguridad que tienen las aplicaciones móviles, revisar el consumo de datos en segundo plano, etc.
• Implementar mecanismos de seguridad y comprobación continua para detectar actividades inusuales en los dispositivos.

6.2. Servicios de ciberseguridad para combatir el ciberespionaje a empresarios

Habida cuenta de las graves consecuencias que puede tener el ciberespionaje a empresarios y directivos para las compañías, es fundamental que las organizaciones adapten sus estrategias de ciberseguridad para afrontar esta amenaza y dispongan de servicios de ciberseguridad avanzados que le ayuden a gestionarla con éxito:

• Gestión de vulnerabilidades para conocer y priorizar la mitigación de las debilidades que afectan a la infraestructura IT de las empresas y a los dispositivos personales que los directivos emplean, también, con fines empresariales, especialmente sus móviles.
• Auditorías de dispositivo IoT para prevenir ataques que exploten vulnerabilidades presentes en los mismos y que sirvan para realizar tareas de ciberespionaje a empresarios.
• Auditorías de seguridad Bluetooth, de cara a salvaguardar la seguridad de dispositivos como teléfonos móviles o auriculares inalámbricos.
• Threat Hunting proactivo. Es de vital importancia que los Threat Hunters trabajen mediante la asunción de hipótesis de compromiso que les permitan anticiparse a los actores maliciosos y puedan detectar ataques sofisticados que no han generado eventos de seguridad.
• Red Team. Muchos de los ataques de ciberespionaje a empresarios o políticos se caracterizan por su elevado nivel de complejidad. De ahí que los servicios de Red Team sean esenciales para formar a los responsables de la seguridad defensiva y mejorar el nivel de ciberresiliencia ante ataques de una elevada sofisticación realizados por grupos delictivos con conocimientos profusos y abundantes recursos económicos.

En definitiva, el uso de spyware para infectar móviles de personalidades relevantes económica, social o políticamente y la explotación de vulnerabilidades en dispositivos IoT suponen una amenaza de gran calibre para las compañías.

El ciberespionaje a empresarios puede abrir la puerta a extorsiones, la venta de información estratégica crítica o el robo de propiedad intelectual. Por eso, las compañías tienen que fortalecer sus estrategias de seguridad y hacer frente a esta amenaza de una forma eficaz.