Hay pocos software espía tan populares como Pegasus, la herramienta israelí que se usó para espiar al presidente del gobierno de España y grupos independentistas del estado allá por 2022 y que en 2026 ya tiene imputados. El programa desarrollado por la empresa NSO Group era uno de los más avanzados y sofisticados dentro del ciberespionaje, ya que permitía que el atacante controlase un móvil ajeno a distancia para robar todos sus datos datos.

Pegasus tiene capacidad para leer mensajes de texto o llamadas, obtener contraseñas, localizar dispositivos mediante GPS, acceder a las fotografías remotas y controlar aplicaciones tan vitales como WhatsApp. No se sabe a ciencia cierta cómo llega a los teléfonos y su detección es complicada, no basta con un antivirus cualquiera. Para facilitarlo, la firma de seguridad Kaspersky desarrolló una herramienta capaz de detectar Pegasus.

Cómo averiguar si tu iPhone está infectado con Pegasus

De acuerdo con la investigación de la empresa de sKasperski, Pegasus deja huella en el registro del sistema Shutdown.log, presente a través de la ruta /private/var/db/. En iOS, este archivo se encuentra en sysdiagnose. Y su tarea es almacenar información cada vez que reiniciamos sesión. Así, si nuestro teléfono está infectado, el malware genera anomalías que quedan presentes en ese archivo.

Este patrón ha sido observado tanto en infecciones de políticos como en otros usuarios: la herramienta permite identificar malware como Pegasus, Reign y Predator en dispositivos Apple. Para descubrir la presencia de estos elementos no deseados en el iPhone es necesario ejecutar la herramienta de Kaspersky que puede descargarse desde GitHub. Para hace falta un ordenador con Windows, MacOS o Linux.

Según explica Maher Yamout, analista jefe de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky, este análisis de sysdiag 'es mínimamente intrusivo y consume pocos recursos, apoyándose en herramientas del sistema para identificar posibles infecciones del iPhone'.

Finalmente, este equipo especializado en ciberseguridad deja algunos consejos para dificultar los ataques de software espía. Entre los que se encuentran: reiniciar el dispositivo a diario para limpiar el registro de inicio, usar el modo de bloqueo o Lockdown, deshabilitar iMessage y FaceTime que vienen activados por defecto, mantener el dispositivo actualizado a la última versión, extremar las precauciones con los enlaces que nos llegan y contar con copias de seguridad cifradas.

¿Y qué pasa con Pegasus en Android?

En Xataka Móvil

Los mejores antivirus para tu router de este 2026

Amnistía Internacional desarrolló un método universal con el que identificar una infección de Pegasus. Se llama Mobile Verification Toolkit, está basado en Python y puede descargarse gratuitamente desde su GitHub. Permite identificar el rastro de Pegasus siguiendo la metodología forense de Amnistía Internacional. Es una de las mejores y más fiables formas de detectar el software de la NSO.

Pese a que el riesgo es real, lo cierto es que tenemos una posibilidad cercana a cero de ser infectados por Pegasus. Al menos mientras no seamos un político importante o una personalidad: es un software extremadamente caro que va dirigido al espionaje de alto nivel.

Portada | Iván Linares con fondo de pantalla de Midjourney

En Xataka Móvil | El malware se ha vuelto demasiado listo: ahora usa la propia IA de Google para estafar a la publicidad. Y controlar Android a su antojo

Entrar en enlaces sospechosos o descargar aplicaciones raras puede ser más peligroso de lo que parece: nuestros móviles podrían infectarse con TrickMo, un troyano bancario capaz de capturar nuestras credenciales bancarias sin que nos demos cuenta. El propio Banco de España alertaba hace unos días acerca de sus riesgos.

Este malware en concreto lleva ya varios años en circulación, aunque cada cierto tiempo aparecen nuevas variantes: una de las más recientes es capaz de robar el código de bloqueo del móvil de las víctimas y no solo las credenciales de las aplicaciones del banco. Para hacerse con nuestro nombre de usuario y contraseña, TrickMo utiliza pantallas de inicio de sesión fraudulentas.

TrickMo se distribuye a través de campañas de phishing y ya hay miles de dispositivos infectados

La empresa de ciberseguridad Cleafy alertó en septiembre acerca de la existencia de una nueva variante de este peligro malware bancario. Posteriormente, una investigación llevada a cabo por Zimperium reveló un total de 40 nuevas variantes distintas, que cuentan con capacidades de grabación de pantalla y control remoto del dispositivo, además de ser capaces de interceptar los códigos de verificación en dos pasos y de modificar los permisos del dispositivo.

En Xataka Móvil

Solo necesitaban unos segundos para robar todo nuestro dinero. La Policía destapa la peligrosa estafa del falso gestor bancario

Para conseguirlo, TrickMo se encarga de mostrar pantallas de inicio de sesión fraudulentas: la víctima piensa que está accediendo a su banco, pero en realidad está facilitando las credenciales a los ciberdelincuentes. Además, una de las versión más recientes también es capaz de hacerse con el patrón o el código PIN que utilizamos para proteger el móvil.

La mayoría de las víctimas se encuentran en Canadá, aunque el número de afectados también es elevado en países como Alemania, Emiratos Árabes Unidos y Turquía. Según el análisis llevado a cabo por Zimperium se han llegado a detectar casos en España, aunque la incidencia es más baja. A nivel mundial hay más de 13.000 dispositivos infectados.

En cuanto a los consejos para protegernos, el Banco de España recomienda mantener actualizado el software de nuestros dispositivos y tener cuidado con las aplicaciones que instalamos en el móvil: se ha detectado que TrickMo se distribuye mediante ataques de phishing, por lo que debemos evitar hacer clic en enlaces sospechosos que recibamos vía email o SMS.

Además de lo anterior, es recomendable activar la autenticación en dos pasos. Se trata de un método que aumenta la seguridad de nuestras cuentas de usuario añadiendo una capa de seguridad adicional: aunque los estafadores tengan nuestra contraseña, necesitarán también un código de verificación para acceder a la cuenta.

Imagen de portada | Ibrahim Boran (Unsplash)

En Xataka Móvil | Los estafadores se han cansado de internet y van a por tu buzón: vuelve la estafa de las cartas de la Seguridad Social

Si eres cliente de Endesa, Iberdrola o Naturgy y acostumbras a recibir las facturas de tu compañía por correo electrónico, es importante extremar las precauciones: hay una nueva campaña de distribución de malware que infecta los dispositivos de las víctimas haciéndoles creer que están descargando la factura de su compañía eléctrica.

Tal y como se hacen eco desde el INCIBE, los cibercriminales están suplantando la identidad de las empresas mencionadas y enviando correos electrónicos con un enlace desde el que supuestamente podemos descargar la factura más reciente. Es fácil caer en la trampa si no estamos atentos, ya que los emails imitan la apariencia de las comunicaciones reales de estas compañías.

El objetivo de los ciberdelincuentes es infectar nuestros equipos con un troyano bancario

Si has recibido uno de estos correos electrónicos, asegúrate de no hacer clic en el enlace de descarga. En caso de hacerlo estarás descargando un archivo que podría infectar tus dispositivos, con los riesgos que ello conlleva. Según afirman desde el INCIBE, el malware en cuestión es un troyano bancario capaz de robar los datos de las víctimas.

En Xataka Móvil

Mucho ojo si has solicitado el certificado digital de la FNMT: los estafadores están intentando aprovecharse de ello

El Instituto Nacional de Ciberseguridad alerta de que hay varios tipos de correos fraudulentos en circulación. En uno de ellos se reclama a las víctimas el pago de una factura pendiente y se proporciona un enlace de descarga, algo que podría hacer que muchos descarguen el archivo para comprobar a cuánto asciende el pago pendiente.

Imagen | INCIBE

Eso sí, no se trata del único correo en circulación. En algunos de los emails detectados simplemente se hace mención a la posibilidad de descargar la factura más reciente y se incluye un enlace para descargarla, aunque en otra de las campañas se adjunta el archivo infectado directamente en el propio correo electrónico.

El INCIBE ha analizado los archivos infectados y ha confirmado que estamos ante una campaña de distribución de un troyano bancario que lleva por nombre Grandoreiro. Teniendo en cuenta lo anterior, es importante extremar las preocupaciones y eliminar el correo sin hacer clic en los enlaces ni abrir el archivo adjunto.

Si has llegado a ejecutar el archivo, es probable que el equipo esté infectado. El INCIBE recomienda desconectar el dispositivo de la red para evitar que el malware se extienda a otros equipos y aconsejan realizar un análisis completo con un antivirus. En caso de no lograr eliminar el malware, seguramente no quede más remedio que formatear el equipo, algo que puede conllevar pérdida de datos.

Llegados a este punto, es necesario recordar la importancia de asegurarnos de que los correos electrónicos que recibimos proceden de fuentes oficiales, especialmente si nos instan a descargar un archivo o hacer clic en un enlace. Esto es algo que podemos hacer revisando la dirección del remitente y comparando el estilo del correo con comunicaciones previas. Además, la presencia de errores en los correos suele ser una pista clara de que estamos ante un intento de fraude.

Vía | INCIBE

Imagen de portada | Image Creator de Microsoft Designer

En Xataka Móvil | Hay una oleada de estafas telefónicas que parece no terminar nunca. Estas son las más comunes y así puedes protegerte

Hecho el software, hecho el malware. Desde que los smartphones invadieron nuestra realidad tecnológica son un blanco para esos softwares maliciosos que antiguamente se limitaban a hacernos la vida imposible sólo a nivel de ordenadores. En anteriores ocasiones hemos hablado de ciertas apps o recursos de software con los que se intentaba entrar a los terminales para husmear en los datos del usuario o simplemente de fastidiar a éste, y hoy en Nokia publican un informe sobre el estado de las infecciones de malware en los smartphones.

En el trabajo se muestran las conclusiones tras examinar los datos y estadísticas sobre infecciones de malware tanto en redes móviles como redes fijas en la segunda mitad de 2015. Un informe cuya fuente de datos son los centros anti-malware que la empresa finlandesa tiene instalados en las redes de todo el mundo, monitorizando el tráfico de más de 100 millones de dispositivos.

Buenas noticias en perspectiva

Lo que concluye el informe es que, tras dos años de crecimiento más o menos constante en cuanto a la tasa de infecciones en las redes móviles, en 2015 ésta bajó en abril (del 0,69% en enero a un 0,51%) y en diciembre (del 0,75% en junio al 0,49%). Algo que el personal de Nokia Threat Intelligence Lab achaca a los siguientes hechos:

• Un descenso de las infecciones de malware en Android durante principios de año. Algo que ocurrir gracias a los esfuerzos de Google por limpiar su tienda de apps de software malicioso.
• Un descenso en el adware en ordenadores Windows conectados a redes móviles durante el tercer trimestre (tras un aumento a mediados de 2015).

Algo que se ve en uno de los gráficos que incluyen en el informe. Al plasmar la tasa de infección por dispositivos desde 2013 vemos que a mediados de 2015 hay un pico, que se explica por campañas agresivas de adware activas tanto en redes móviles como en banda ancha (punto señalado por una flecha azul). Lo que también se ve es un ligero incremento de las infecciones en móviles hacia finales de año. 

La desventaja de ser el gigante

Como cabría pensar por cuota de mercado, la plataforma más afectada sigue siendo Android. No obstante, es la primera vez que aparece malware de iOS en el top 20 de la lista de los software más extendidos. Se trata de Flexispy y XcodeGhost, un malware que como explicaron nuestros compañeros en Xataka fue un verdadero quebradero de cabeza para la empresa de Cupertino.

En ese top 20 de malware lo que vemos son distintos tipos de software cuya acción se ha importado de lo que puede entender como "malware tradicional" en ordenadores, y según indican en el informe el mayoritario es el ransomware, es decir, los que bloquean (o secuestran) el terminal. De hecho, aquí vimos hace unos meses el caso de la falsa app de contenido adulto).

Un tipo de estafa que recuerda al malware de la falsa Policía que estuvo rodando durante meses de PC en PC, que pedía un pago de una supuesta multa para evitar la prisión. Además de este tipo de software malicioso, encontramos en varios casos de la lista los que pueden robar ciertos datos del usuario (personales o bancarios) como los troyanos o adware malicioso que usa información personal sin permiso para bombardear de anuncios "personalizados" al usuario.

Cada vez más virulentos

Algo que era de esperar pero que se ha comprobado en este trabajo es que los malware son cada vez más complejos y más difíciles de eliminar. Una evolución en consonancia a la de los sistemas operativos, que cada vez son más seguros, si bien los hackers y demás expertos en crear y manejar estos software suelen averiguar y (sin mucha demora) dónde tienen agujeros por los que poder entrar en cada nueva versión.

Lo que muestra el equipo de Nokia es que hay malware de Android capaz de resistir a las restauraciones de fábrica. Estos software maliciosos se instalan en los directorios de las apps que se preinstalan por defecto al iniciar el ordenador (en el directorio /system/app). Cuando ocurre esto, el único modo de eliminar el malware es hacer root y eliminar manualmente los archivos.

No hay era post-PC ni era post-SMS tampoco en malware

La proporción aproximada de móviles infectados en 2015 es más o menos de un smartphone con malware de cada 300. Un dato que per se puede no sorprendernos, como sí ocurre con el hecho de que en muchas ocasiones son los ordenadores los responsables de las infecciones, debido al uso de la red compartida por los smartphones (tethering) o al uso de dongles USB, concretamente en un 40% de los casos.

¿La explicación? Windows sigue siendo la plataforma favorita para los creadores de malware, donde muchos tienen una amplia cosecha que va circulando por las diferentes redes. Al conectar los ordenadores a los smartphones, los software maliciosos pasan a las redes móviles ampliando su espectro de actuación.

Otro hallazgo que puede sorprender es el hecho de que los espionajes por SMS estén entre los ataques más frecuentes. Hace unos meses hablábamos del descenso del uso de este sistema de comunicación en España debido al auge de la mensajería instantánea y otras apps (sin coste y con más posibilidades), pero si bien en este país son algo casi anecdótico o restringido casi a servicios empresariales, en países como Estados Unidos sigue usándose con relativa normalidad.

Por el buen camino, pero sin descuidarnos

En resumen, las infecciones se han reducido en el año 2015 pese a los continuos intentos de los ciberatacantes de que no sea así. Lo que hemos de tener en cuenta es que, aunque los sistemas cada vez son más seguros, nunca podemos bajar la guardia dado que nos puede llegar una amenaza por cualquier vía, ya sea mensajería, SMS o al descargarnos una app fuera de la tienda oficial del sistema.

Por otro lado está el hecho de que, pese a que Android es la plataforma más afectada, en 2015 se han registrado ataques importantes en iOS como KeyRaider o XcodeGhost. Hace poco, además, hablábamos de una página web que provocaba reinicios en los dispositivos iOS, algo que per se no era malware pero que nos servía para recordar que ningún sistema está exento de vulnerabilidades en cuanto a software.

Vía | Nokia
En Xataka Móvil | Esta app no es un juego para adultos, es malware y te bloquea el terminal

No sabemos si, hablando de sistemas operativos móviles, será la epidemia del siglo XXI, pero lo cierto es que el malware (o mejor dicho sus ataques) son noticia con relativa frecuencia sobre todo si las afectadas son las plataformas mayoritarias. Hace poco os hablábamos del caso de XCodeGhost para iOS y hace algunas semanas más sobre una app que no era tal y bloqueaba los terminales Android. Esta vez fueron algunas tiendas de apps las afectadas.

Según nos cuentan desde la web de Cheetah Mobile, Ghost Push es un malware de tipo troyano que descubrieron hace aproximadamente un mes (el 18 de septiembre). Un código malicioso que se extendió rápidamente infectando unos 900.000 dispositivos, siendo smartphones y tablets de distintos fabricantes que, aunque fue frenado tras su descubrimiento, aún causa algunas infecciones.

Las "appariencias" engañan

El contagio ocurre de manera similar al que comentábamos en el inicio, el falso “Adult Player”, ya que utiliza las tiendas de apps (Google Play, Aptoide, etc.) para entrar en los dispositivos. Así, el software infecta al teléfono entrando mediante apps que son versiones falsas de las originales, entre las cuales se encuentran Amazon, Smart Touch, Assistive Touch, Super Mario y otras hasta un total de 93.

Lo que ocasiona es la pérdida de control del dispositivo por parte del usuario, ya que este software malicioso accede al mismo y actúa en el sistema de raíz, y es por esto que en un principio era complicadísimo de eliminar. Tras tomar el control del dispositivo, los hackers pueden realizar instalaciones sin el permiso del usuario, y según estima Cheetah Mobile, Ghost Push consiguió recaudar unos 4,05 millones de dólares por día.

Hay que andarse con ojo

Estas apps fueron eliminadas en cuanto se supo del problema, reduciendo la posibiliad de contagio. No obstante, aún hay algunos casos de infección, y para estos casos el equipo de Cheetah Mobile creó una herramienta específica para detectar y eliminar este malware. De hecho, aunque no hayamos detectado nada anómalo en el funcionamiento de nuestro terminal, podemos usarla para realizar un escaneo de seguridad.

Vía | Cheetah Mobile
En Xataka Móvil | Un nuevo ataque DDoS llega desde China, y miles de smartphones infectados han formado parte de él

La empresa de antivirus McAfee ha descubierto un gusano que se propaga a móviles que disponen de Windows Mobile.

El WinCE/Infojack instala archivos no solicitados y roba información personal del usuario, además eliminar la alerta al instalar aplicaciones sin firmar, dejando así una puerta abierta para otras infecciones. El troyano cambia los ajustes de seguridad del móvil dejandolo en sus nivel más bajo, de este modo cualquier malware puede instalarse sin que el usuario se de cuenta.

El troyano se distribuye a través de un conjunto de aplicaciones que engloban una colección de juegos, los cuales están infectados con el virus.

Algunos problemas que pueden sufrir los usuarios infectados es comprobar que se ha remplazado la página de inicio del navegador y la eliminación de la alerta al instalar aplicaciones sin firmar. Se propaga instalando un programa autoarrancable en la tarjeta de memoria infectando el teléfono y protegiendose ante el borrado.

McAfee recomienda mantener el antivirus actualizado para evitar la infección del terminal móvil.

Vía | avertlabs