Desde iOS 14, Apple añadió en la barra de estado dos señales visuales sencillas pero muy útiles: un punto verde cuando la cámara está en uso y un punto naranja cuando el micrófono graba. La idea era ofrecer al usuario una confirmación inmediata de que un sensor está activo, una forma de protección básica frente a accesos no deseados a la cámara y al audio del teléfono. Esas pequeñas luces están pensadas para ser una advertencia clara y difícil de ignorar, pero investigadores han demostrado que no son infalibles frente a amenazas avanzadas.
El fabricante de spyware comercial Intellexa, conocido por su producto Predator y por haber sido vinculado a ataques que aprovecharon fallos de día cero en distintos ecosistemas, desarrolló un mecanismo para que ese indicador no se encienda aunque la cámara o el micrófono estén siendo usados. Importante señalar que, según el análisis técnico más reciente, Predator no explota directamente una vulnerabilidad de iOS para anular la luz; en lugar de ello, opera a partir de acceso previo al nivel de kernel, lo que le permite modificar componentes del sistema que controlan la interfaz.
El análisis publicado por investigadores de Jamf ofrece la descripción técnica más clara hasta la fecha de cómo se ejecuta este engaño. Según Jamf, Predator inserta un "hook" —una interceptación de la ejecución— dentro de SpringBoard, el proceso que maneja la pantalla de inicio y la mayoría de los elementos visuales del sistema. Concretamente, el malware intercepta la llamada que iOS hace cuando cambia el estado de los sensores (por ejemplo, cuando se activa la cámara o el micrófono) y evita que esa información llegue al subsistema encargado de dibujar los indicadores en la barra de estado. El post de Jamf detalla este comportamiento y sirve como referencia técnica: análisis de Jamf sobre el bypass del indicador de grabación.
La técnica se aprovecha de cómo está implementado Objective‑C en iOS: una de las funciones interceptadas deja nula la instancia que proporciona los datos de actividad de los sensores (el objeto conocido como SBSensorActivityDataProvider). En Objective‑C, enviar un mensaje a una referencia nula se ignora de forma silenciosa, por lo que SpringBoard nunca procesa la notificación de que la cámara o el micrófono se han activado y, por tanto, el punto verde o naranja no aparece. Es una intervención "por arriba" en la cadena de reporte de estado: al cortar la señal en su origen, se evita que el sistema muestre cualquier rastro visual. Para quienes quieran revisar la documentación de mensajería de Objective‑C, Apple mantiene información técnica sobre cómo se comporta el envío de mensajes a nil: comportamiento de mensajes en Objective‑C.
El trabajo de Jamf también encontró código inactivo que parecía intentar otra vía: enganchar directamente el gestor de indicadores (SBRecordingIndicatorManager). Ese camino fue aparentemente descartado por los desarrolladores del spyware en favor de la aproximación que actúa más "aguas arriba" y que cubre todos los sensores de forma más fiable. Otra pieza interesante es que el módulo encargado de las grabaciones VoIP no incorpora su propio mecanismo de supresión de indicadores, por lo que depende de la misma función interceptora para mantener el secreto.
Para obtener acceso a la cámara, Predator no se limita a usar las APIs públicas: emplea módulos que buscan funciones internas de la cámara mediante coincidencia de patrones de instrucciones ARM64 y que redirigen ejecuciones sorteando medidas como la Pointer Authentication Code (PAC). Estas técnicas avanzadas permiten eludir los controles de permiso convencionales que Apple aplica a las apps. El uso de patrones de instrucción y redirección de punteros es un mecanismo sofisticado que requiere conocimiento del hardware y del binario de iOS.
Aunque eludir la luz de actividad es quizá la parte más llamativa, el análisis forense revela otras señales de compromiso que los equipos de seguridad pueden detectar: mapeos de memoria inesperados en procesos críticos como SpringBoard y mediaserverd, puertos de excepción inusuales, hooks basados en puntos de interrupción y archivos de audio escritos por procesos del sistema en rutas atípicas. Jamf describe estas trazas y ofrece pistas para la detección en entornos gestionados.
La divulgación llegó a la prensa técnica y a sitios especializados que han resumido las implicaciones prácticas. BleepingComputer, por ejemplo, recogió la investigación y contactó con Apple en busca de comentarios sobre los hallazgos: Cobertura en BleepingComputer. Apple, por su parte, introdujo en iOS 14 las señales de grabación como parte de un paquete de novedades orientadas a la privacidad y seguridad del usuario; la compañía describió esas mejoras al anunciar iOS 14: iOS 14 y nuevas funciones de privacidad.
¿Qué conclusiones prácticas se derivan de esto para el usuario medio? Primero, las luces en la barra de estado son una barrera útil pero no infalible frente a actores con capacidades avanzadas y acceso profundo al dispositivo. El riesgo más real viene cuando un atacante ya posee privilegios de bajo nivel (kernel) en el equipo, porque desde ahí puede alterar el comportamiento del sistema de maneras que una simple actualización de apariencia no podrá arreglar si la persistencia no se elimina. Segundo, las señales de compromiso suelen dejar trazas técnicas que las herramientas de gestión y defensa pueden y deben buscar; por eso empresas de gestión de dispositivos móviles (MDM) y equipos de respuesta incidentes leen y analizan síntomas como procesos con memoria mapeada inusualmente o modificaciones en servicios críticos.
En términos de prevención, mantener el sistema actualizado y aplicar parches es necesario pero puede no ser suficiente si un exploit de privilegios ya se ha ejecutado anteriormente. Por ello, las mejores prácticas pasan por combinar actualizaciones regulares, políticas de gestión y monitoreo activo del dispositivo, y precaución frente a enlaces o archivos desconocidos. Para organizaciones y usuarios en riesgo alto, recurrir a soluciones de detección gestionada y recurrir a análisis forense profesional en caso de sospecha es una medida sensata.
El caso de Predator es un recordatorio contundente de la complejidad del ecosistema de vigilancia comercial. Mientras las plataformas introducen mejoras de privacidad visibles y útiles, los actores capaces de operar a nivel del kernel y de manipular componentes internos del sistema pueden encontrar maneras de sortear esas protecciones. La respuesta requiere tanto medidas técnicas por parte de los desarrolladores de sistemas operativos como políticas públicas que regulen la venta y el uso de herramientas de intrusión.
Si quieres profundizar en el informe técnico original, la publicación de Jamf es el mejor punto de partida: análisis detallado de Jamf. Para una lectura más general sobre la noticia y su contexto, la nota en BleepingComputer recoge los puntos clave: resumen en BleepingComputer. Finalmente, la explicación de Apple sobre las mejoras de privacidad en iOS 14 puede consultarse en su comunicado oficial: iOS 14: privacidad.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...