Un nuevo espionaje móvil comercial bautizado como ZeroDayRAT está siendo ofertado a compradores de cibercrimen a través de canales en Telegram, y los investigadores advierten que no se trata de una herramienta amateur: ofrece a sus operadores control remoto casi total sobre dispositivos Android y iPhone, con un panel pensado para gestionar víctimas como si fueran “dispositivos en una botnet”.
La descripción técnica difundida por los investigadores señala que el panel de control muestra, entre otros datos, el modelo del dispositivo, la versión del sistema operativo, el estado de batería, detalles de la SIM, el país y si el teléfono está bloqueado, lo que facilita priorizar objetivos y ejecutar acciones en tiempo real. Además del registro pasivo de información —historial de uso de aplicaciones, líneas de tiempo de actividad, mensajes SMS, notificaciones recibidas y cuentas registradas en el teléfono—, ZeroDayRAT incorpora funciones de monitorización activa: ubicación en directo y con histórico sobre un mapa, activación remota de cámaras y micrófono para obtener streaming en vivo, grabación de pantalla y un módulo de keylogging capaz de capturar contraseñas, gestos y patrones de desbloqueo.
Las capacidades descritas no son meramente invasivas; también son lucrativas para el atacante. Según los análisis citados por la prensa especializada, el malware incluye módulos orientados al robo financiero: un “crypto stealer” que escanea aplicaciones de cartera como MetaMask, Trust Wallet, Binance o Coinbase para registrar identificadores y balances, y que intenta modificar direcciones en el portapapeles (clipboard hijacking) para desviar transferencias; y un “bank stealer” que apunta a apps bancarias, plataformas UPI y servicios de pago como Apple Pay o PayPal, usando pantallas superpuestas falsas para capturar credenciales.
Otra función especialmente peligrosa es la intercepción de mensajes SMS: con acceso a esos mensajes el atacante puede capturar códigos de verificación de un solo uso (OTP) y así eludir autenticaciones de dos factores basadas en SMS. También se han documentado facilidades para enviar SMS desde el dispositivo comprometido, lo que abre vectores para fraude y suplantación.
Los investigadores que dieron la voz de alarma —cuyos hallazgos fueron recogidos por medios especializados— describen a ZeroDayRAT como un “kit completo de compromiso móvil” y advierten que la infección de un teléfono personal o, peor aún, de un equipo de un empleado podría convertirse en la puerta de entrada a una brecha mayor en entornos corporativos. En el material disponible no se detalla con precisión el vector de entrega, aunque por la naturaleza del mercado donde se vende (canales cerrados y Telegram) y por la sofisticación de las funciones, es probable que se utilicen técnicas de ingeniería social, apps fraudulentas o campañas dirigidas para lograr la instalación.
Conviene poner en contexto las afirmaciones: el marketing de este tipo de herramientas a veces exagera compatibilidades o capacidades. Por ejemplo, en algunas descripciones se listan versiones de sistemas con cifras poco creíbles; eso no resta el riesgo real, pero sí exige leer los reportes técnicos completos. Para quienes buscan más información inmediata sobre el hallazgo y la publicación de los analistas, puede consultarse el seguimiento en medios de ciberseguridad como BleepingComputer, que recoge el reporte inicial y los detalles técnicos observados por los investigadores: BleepingComputer — ZeroDayRAT.
¿Qué pueden hacer los usuarios y las empresas para reducir el riesgo? Primero, aplicar medidas básicas pero eficaces: descargar aplicaciones únicamente desde tiendas oficiales y editoras de confianza, mantener el sistema operativo y las apps actualizadas y revisar con cuidado los permisos que solicita cada aplicación (el acceso a SMS, a la cámara, al micrófono, y a las funciones de accesibilidad deben activarse solo cuando sean imprescindibles). Los usuarios con mayor exposición —periodistas, activistas, personal de seguridad o finanzas— deberían considerar protecciones adicionales: Apple ofrece el modo Lockdown (Lockdown Mode) para casos de alto riesgo, y Google promueve su Programa de Protección Avanzada para cuentas como una barrera frente a ataques dirigidos; ambos enfoques están pensados para aumentar la resistencia frente a vectores sofisticados: Apple — Lockdown Mode y Google — Advanced Protection Program.
Las organizaciones deben tratar los teléfonos móviles como potenciales puntos de entrada crítico. La gestión de dispositivos móviles (MDM), políticas estrictas de acceso a la red, segmentación del entorno corporativo y soluciones de detección y respuesta para endpoints móviles ayudan a mitigar el impacto de una posible invasión. Para guías prácticas y recomendaciones generales sobre seguridad móvil, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ofrece publicaciones y recursos aplicables a usuarios y administradores: CISA — Mobile Device Security.
Finalizo con una nota de prudencia: el ecosistema del spyware comercial y los mercados en Telegram y plataformas similares han facilitado la profesionalización del delito digital; herramientas como ZeroDayRAT, cuando existen en la realidad, reducen la barrera técnica para actores con motivaciones económicas o políticas. La defensa no depende solo de una app o una configuración: es una combinación de hábitos, herramientas y políticas corporativas que, juntas, aumentan significativamente la dificultad para que un operador malicioso convierta un teléfono en una fuente de vigilancia o en una caja registradora a distancia.
Si quieres, puedo resumir las acciones concretas que te conviene revisar en tu teléfono ahora mismo, paso a paso, o preparar una versión del artículo enfocada a responsables de seguridad en empresas con medidas técnicas y operativas recomendadas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...