Por Canuto Una investigación de varias organizaciones de ciberseguridad y derechos digitales identificó a un grupo de hack-for-hire que habría dirigido campañas contra periodistas, activistas y funcionarios en Oriente Medio y el norte de África, usando phishing, acceso a copias de iCloud, ataques a Signal y spyware para Android.
***
- Lookout, Access Now y SMEX documentaron ataques entre 2023 y 2025 contra periodistas de Egipto y Líbano.
- Los hackers buscaron robar credenciales de Apple ID, entrar a copias de iCloud y añadir dispositivos a cuentas de Signal.
- La campaña fue atribuida al grupo BITTER, presuntamente vinculado a una empresa llamada RebSec Solutions y con posibles nexos con India.
Un grupo de hack-for-hire fue identificado por investigadores de seguridad como responsable de una campaña dirigida contra periodistas, activistas y funcionarios gubernamentales en Oriente Medio y el norte de África. La operación combinó phishing, acceso a copias de seguridad de iCloud, manipulación de cuentas de Signal y despliegue de spyware para Android, según hallazgos publicados por varias organizaciones.
El caso vuelve a poner el foco sobre un fenómeno que gana peso en el ecosistema global de ciberespionaje: la externalización de operaciones ofensivas a compañías privadas. En la práctica, esto permite que gobiernos o clientes con intereses específicos contraten a terceros para ejecutar intrusiones, reducir costos y conservar un margen de negación plausible.
De acuerdo con la investigación, los ataques documentados afectaron al menos a dos periodistas egipcios y a un periodista en Líbano en incidentes ocurridos entre 2023 y 2025. Los casos fueron analizados por Access Now, SMEX y la firma de ciberseguridad móvil Lookout, que colaboraron entre sí antes de publicar sus respectivos informes.
Según la cobertura de TechCrunch, Lookout concluyó que los responsables trabajan para un proveedor de hack-for-hire al que asignó el nombre en clave BITTER. Las organizaciones que investigaron la campaña sospechan que este grupo mantiene vínculos con el gobierno de India, aunque hasta ahora no se ha presentado una confirmación oficial pública sobre esa relación.
Una campaña que fue más allá de la sociedad civil
Lookout indicó que los blancos de la operación no se limitaron a miembros de la sociedad civil de Egipto y Líbano. La firma sostuvo que también detectó objetivos en los gobiernos de Baréin y Egipto, así como personas ubicadas en Emiratos Árabes Unidos, Arabia Saudita, Reino Unido y, potencialmente, Estados Unidos, o exalumnos de universidades estadounidenses.
Ese alcance geográfico sugiere una infraestructura de vigilancia más amplia de lo que aparentaban los primeros casos documentados. También refuerza la idea de que los servicios de hack-for-hire no se restringen a conflictos locales, sino que pueden insertarse en redes transnacionales de espionaje con clientes diversos.
Justin Albrecht, investigador principal de Lookout, dijo que la empresa detrás de BITTER podría llamarse RebSec Solutions. También señaló que podría tratarse de una derivación de Appin, una startup india de hack-for-hire que fue objeto de amplias investigaciones periodísticas publicadas en 2022 y 2023.
Appin aparentemente cerró más tarde, pero Albrecht sostuvo que esta nueva campaña muestra que la actividad no desapareció. En su evaluación, simplemente se trasladó hacia compañías más pequeñas. Esa fragmentación complicaría la atribución técnica y legal, además de dificultar la fiscalización pública de estas operaciones.
No fue posible contactar a RebSec para solicitar comentarios, ya que la empresa eliminó sus cuentas de redes sociales y también su sitio web. Por su parte, un portavoz de la embajada de India en Washington D.C. no respondió de inmediato a una solicitud de comentarios sobre los presuntos vínculos mencionados por los investigadores.
Técnicas usadas contra iPhone, Android y Signal
Uno de los elementos más sensibles del caso fue la estrategia aplicada contra usuarios de iPhone. Los atacantes intentaron engañar a sus objetivos para que entregaran las credenciales de Apple ID, lo que les habría permitido acceder a las copias de seguridad almacenadas en iCloud. En términos prácticos, esa vía podría exponer una parte sustancial del contenido completo de un iPhone.
Access Now describió esta táctica como una alternativa potencialmente más barata que desplegar spyware avanzado para iOS, una categoría que suele implicar herramientas más costosas y complejas. El dato es relevante porque muestra cómo los atacantes pueden obtener resultados de alto impacto sin necesidad de usar los vectores técnicamente más sofisticados.
En Android, la campaña se apoyó en un spyware llamado ProSpy. Los operadores lo distribuían haciéndolo pasar por aplicaciones populares de mensajería y comunicación, entre ellas Signal, WhatsApp y Zoom, además de ToTok y Botim, dos aplicaciones ampliamente utilizadas en Oriente Medio.
Los informes señalan que este malware era capaz de tomar el control de los dispositivos de las víctimas. Aunque el artículo original no detalla todas sus funciones técnicas, la descripción encaja con herramientas de espionaje móvil diseñadas para vigilar comunicaciones, recopilar información sensible y mantener persistencia dentro del teléfono comprometido.
En algunos casos, los atacantes también intentaron convencer a las víctimas de registrar y añadir un nuevo dispositivo, controlado por los propios hackers, a sus cuentas de Signal. Esta técnica ya ha sido observada en otras operaciones de espionaje y busca aprovechar mecanismos legítimos de vinculación de dispositivos para interceptar conversaciones o ampliar el acceso a cuentas privadas.
La investigación recordó que este método ha sido popular entre distintos grupos de hacking, incluidos espías rusos. Esa referencia ayuda a dimensionar que no se trata de una táctica improvisada, sino de un procedimiento conocido y reutilizado en campañas de vigilancia digital con objetivos de alto valor.
El auge del hack-for-hire y el problema de la atribución
Mohammed Al-Maskati, investigador y director de la Digital Security Helpline de Access Now, explicó que estas operaciones se han vuelto más baratas y además facilitan evadir la responsabilidad. Según dijo, muchas veces no se sabrá quién es el cliente final, y la infraestructura técnica por sí sola no revelará qué entidad estuvo realmente detrás de la operación.
Esa observación es central para entender por qué el mercado del hack-for-hire preocupa cada vez más a defensores de derechos digitales y analistas de seguridad. Cuando una intrusión se terceriza, el atacante operativo y el beneficiario político o comercial pueden quedar separados por varias capas, lo que complica sanciones, investigaciones judiciales y respuestas diplomáticas.
Albrecht añadió que estos grupos y sus clientes obtienen negación plausible porque son las empresas privadas las que ejecutan todas las operaciones y administran la infraestructura. Para sus clientes, además, este tipo de servicio probablemente sea más barato que comprar spyware comercial, un mercado ya cuestionado a escala global por su uso contra periodistas, opositores y miembros de la sociedad civil.
Aunque grupos como BITTER quizá no cuenten con las herramientas más avanzadas del sector, los investigadores subrayan que sus tácticas siguen siendo efectivas. Ese punto resulta clave: en ciberseguridad, campañas relativamente simples pueden causar daños severos cuando se combinan ingeniería social, aplicaciones falsas y errores operativos de las víctimas.
El caso también ilustra una tendencia más amplia. Algunos gobiernos ya dependen de compañías comerciales que desarrollan spyware y exploits empleados por policías y agencias de inteligencia para acceder a datos almacenados en teléfonos. La aparición de actores más pequeños y presuntamente más baratos amplía aún más ese ecosistema y podría incrementar la frecuencia de estos incidentes.
Para audiencias interesadas en tecnología, privacidad y gobernanza digital, la lección es clara. La seguridad de cuentas en la nube, servicios de mensajería cifrada y dispositivos móviles depende no solo del software, sino también de la resistencia del usuario frente al phishing y a intentos de suplantación muy convincentes.
En este caso, los hechos reportados muestran una cadena completa de ataque: robo potencial de credenciales, acceso a respaldos remotos, instalación de spyware y abuso de funciones legítimas de mensajería. El resultado es una operación de vigilancia de bajo costo relativo, pero con alto poder intrusivo sobre la vida digital de periodistas, activistas y funcionarios.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
Microsoft pierde a Julia Liuson mientras continúa su reestructuración ejecutiva
Empresas
Tubi se adelanta a Netflix y lanza una app nativa dentro de ChatGPT
Empresas
Anthropic lanza Managed Agents para simplificar la creación de agentes de IA empresariales
Hardware