El ecosistema global de amenazas móviles acaba de recibir una de las revelaciones más alarmantes de los últimos años. Una investigación conjunta de Inside Story, Haaretz y WAV Research Collective expuso un nuevo y poderoso vector de ataque utilizado por Predator, el spyware insignia de la empresa de vigilancia Intellexa. Se trata de Aladdin, un mecanismo de infección zero-click capaz de comprometer dispositivos simplemente con que la víctima vea un anuncio malicioso, sin necesidad de interacción.
Este descubrimiento se basa en la filtración conocida como Intellexa Leaks, un conjunto de documentos internos, materiales de marketing, correos y datos operacionales que revelan la arquitectura real de esta industria de vigilancia mercenaria. Las conclusiones fueron además verificadas por equipos técnicos de Amnistía Internacional, Google y Recorded Future, lo que confirma la solidez del hallazgo y su enorme impacto en la ciberseguridad global.
Un ataque zero-click camuflado en el sistema publicitario global
A diferencia de otros métodos de infección que requieren un clic en un enlace malicioso, descargar un archivo o caer en un engaño de ingeniería social, Aladdin elimina por completo la interacción del usuario. La infección ocurre únicamente al cargar un anuncio infiltrado en la red publicitaria.
Según la investigación, Aladdin se desplegó por primera vez en 2024 y continúa en funcionamiento, evolucionando activamente para adaptarse a nuevas medidas defensivas. Su funcionamiento se basa en un sofisticado abuso del ecosistema publicitario móvil, aprovechando:
-
Redes de anuncios globales
-
Plataformas del lado de la demanda (DSP)
-
Identificadores únicos del usuario
-
Dirección IP pública y datos asociados
El spyware selecciona objetivos específicos según metadatos que obtiene de manera encubierta. Luego instruye a las plataformas publicitarias para que muestren los anuncios maliciosos únicamente a esos usuarios en cualquier sitio o aplicación que forme parte de la red de anuncios. Esto incluye sitios de noticias, plataformas legítimas, blogs populares e incluso aplicaciones de confianza.
El Security Lab de Amnistía Internacional explica:
“Este anuncio malicioso podría aparecer en cualquier sitio web que muestre anuncios, y simplemente verlo es suficiente para activar la infección, sin necesidad de hacer clic.”
Los materiales internos filtrados indican que una vez visualizado, el anuncio realiza la redirección automática hacia los servidores de entrega de exploits de Intellexa, donde se ejecutan cadenas de vulnerabilidades que culminan en la instalación de Predator.
Una red internacional oculta tras empresas pantalla
Para evadir la detección, Intellexa utilizó una compleja red logística y corporativa. Las campañas de publicidad maliciosa pasaron por agencias distribuidas en Irlanda, Alemania, Suiza, Grecia, Chipre, Emiratos Árabes Unidos y Hungría, lo que dificultó enormemente rastrear su origen.
Recorded Future mapeó esta red y logró conectar:
-
Directivos clave
-
Empresas fantasma
-
Infraestructura de anuncios
-
Intermediarios tecnológicos
Su análisis demuestra que estas empresas pantalla fueron diseñadas para hacer que Aladdin pareciera un flujo publicitario legítimo dentro del ecosistema comercial.
¿Cómo defenderse de Aladdin? Un reto complejo
Debido a la naturaleza zero-click del ataque, protegerse resulta especialmente complicado. Algunas medidas recomendadas por los expertos incluyen:
-
Uso de bloqueadores de anuncios en navegadores móviles y de escritorio.
-
Configurar el navegador para ocultar la IP pública a rastreadores y redes publicitarias.
-
Limitar permisos y reducir el seguimiento publicitario.
-
Activar modos de seguridad avanzados:
-
Protección Avanzada en Android
-
Modo Bloqueo en iOS
-
No obstante, la filtración revela que Intellexa puede obtener información directamente de operadores móviles nacionales en los países donde operan sus clientes, lo que vuelve aún más difícil cualquier blindaje completo.
Fuente: Amnistía Internacional
Triton: otro vector de entrega basado en exploits de banda base
Los documentos filtrados también confirman la existencia de Triton, un mecanismo alternativo que apunta específicamente a dispositivos con chips Samsung Exynos, aprovechando vulnerabilidades de banda base. Este ataque fuerza de manera intencional la caída a redes 2G, donde los controles de seguridad son mucho más débiles, para luego ejecutar la infección.
Además, se mencionan otros dos posibles vectores de ataque:
-
Thor
-
Oberon
Ambos podrían estar relacionados con comunicaciones por radio o acceso físico, aunque no existen detalles completos sobre su funcionamiento.
Intellexa: uno de los mayores explotadores de zero-days del mundo
El equipo de Google Threat Analysis Group (TAG) señala que Intellexa es uno de los actores comerciales más prolíficos en explotación de vulnerabilidades zero-day. Desde 2021, se le atribuyen 15 de los 70 casos documentados por Google TAG en campañas activas.
La empresa:
-
Desarrolla sus propios exploits
-
Compra cadenas de exploits a mediadores externos
-
Adapta sus capacidades según los objetivos de cada cliente
Pese a sanciones internacionales, investigaciones en Grecia y presiones legales, Intellexa continúa operando, ampliando sus capacidades y sofisticando Predator.
Predator evoluciona y los ataques zero-click ya no son excepcionales
El caso Aladdin demuestra que los ataques zero-click, antes reservados para operaciones de espionaje de Estado, están ahora en manos de proveedores mercenarios con alcance global. La combinación de ingeniería publicitaria, redes corporativas encubiertas y exploits avanzados convierte a Predator en una amenaza persistente y difícil de detectar.
En un contexto donde el espionaje digital se ha convertido en una industria multinacional, fortalecer las defensas móviles ya no es opcional. Los usuarios deben adoptar medidas adicionales, y las plataformas deben reforzar sus mecanismos de seguridad para frenar esta nueva generación de ataques.
Fuente: Bleeping Computer
