- Investigadores vinculan una campaña de hack-for-hire con el grupo BITTER y la empresa RebSec, supuestamente conectados con India.
- La operación combinó spyware para Android y phishing a iCloud para acceder a copias de seguridad y cuentas de Signal de periodistas y funcionarios.
- Periodistas y activistas de Egipto y Líbano estuvieron entre las víctimas, junto a objetivos en Baréin, Emiratos, Arabia Saudita, Reino Unido y potencialmente EE. UU.
- El modelo hack-for-hire abarata y externaliza el espionaje, complica la atribución y refuerza la presión sobre derechos digitales y libertad de prensa.
Un nuevo caso de ciberespionaje por encargo ha vuelto a encender las alarmas entre organizaciones de derechos digitales y expertos en seguridad. Investigadores han documentado una campaña activa en la que un grupo de hackers a sueldo combinó spyware para Android y ataques de phishing contra cuentas de iCloud y Signal, con el objetivo de vigilar a periodistas, activistas y funcionarios en varias regiones del mundo.
La operación, atribuida a un proveedor de hack-for-hire vinculado al grupo BITTER, pone de manifiesto un fenómeno cada vez más extendido: gobiernos y actores con recursos contratan a empresas privadas para llevar a cabo intrusiones dirigidas, reduciendo costes y ganando margen de negación. Aunque los casos analizados se centran principalmente en Oriente Medio y el norte de África, las técnicas utilizadas y la facilidad con la que se externaliza este tipo de tareas afectan de lleno al entorno europeo, donde periodistas, activistas y cargos públicos comparten patrones de riesgo similares.
Un mercado de hackers a sueldo en plena expansión
Las investigaciones de Access Now, SMEX y la firma de seguridad móvil Lookout describen una campaña continuada entre 2023 y 2025 dirigida contra, al menos, dos periodistas egipcios y un periodista libanés. Estos casos, analizados de forma coordinada pero publicados en informes separados, han servido de punto de partida para destapar una infraestructura de espionaje mucho más amplia de lo que apuntaban los incidentes iniciales.
Lookout sostiene que los ataques no se limitaron a la sociedad civil de Egipto y Líbano. Según su análisis, hubo objetivos en los gobiernos de Baréin y Egipto, así como personas situadas en Emiratos Árabes Unidos, Arabia Saudita, Reino Unido e incluso, potencialmente, perfiles relacionados con instituciones estadounidenses. Ese abanico geográfico sugiere que el proveedor de hack-for-hire no trabaja solo en conflictos locales, sino que opera en redes transnacionales de espionaje con una cartera de clientes muy diversa, un debate que recuerda al de frontera entre seguridad, vigilancia y privacidad.
Este modelo de negocio recuerda al de otras empresas de ciberespionaje ya conocidas, como las que desarrollan spyware comercial para agencias estatales. La diferencia es que, en el hack-for-hire, se priorizan operaciones a medida, con recursos más flexibles y costes más ajustados, lo que facilita que tanto gobiernos como actores privados recurran a estos servicios para atacar a periodistas, opositores, ejecutivos de empresas o incluso responsables de startups tecnológicas.
Para quienes trabajan con información sensible en Europa —desde redacciones hasta despachos de consultoría o bufetes—, el caso sirve como recordatorio incómodo: no hace falta ser una gran potencia para terminar en el punto de mira de este tipo de proveedores, basta con manejar datos o contactos valiosos para algún cliente con presupuesto.
BITTER, RebSec y las conexiones con India
Una de las conclusiones clave de Lookout es que los operadores de esta campaña actúan para un proveedor de hack-for-hire al que asignan el nombre en clave BITTER. Diversas empresas de ciberseguridad llevan tiempo sospechando que este conjunto de actores mantiene vínculos con el gobierno de India, aunque por ahora no existe una confirmación pública oficial por parte de las autoridades indias. Las pistas sobre proveedores y herramientas recuerdan a investigaciones sobre herramientas de hackeo para iPhone que han emergido en años recientes.
Justin Albrecht, investigador principal de Lookout, apunta a que la compañía detrás de la infraestructura podría llamarse RebSec Solutions, y la describe como posible escisión de Appin, una startup india de hack-for-hire que fue objeto de amplias investigaciones periodísticas en 2022 y 2023. Appin habría cerrado posteriormente, pero los indicios recogidos por Lookout y organizaciones de derechos digitales sugieren que la actividad no desapareció, sino que se habría fragmentado en empresas más pequeñas y discretas, según relatos sobre fragmentación empresarial en el sector.
Esa fragmentación complica de forma notable la atribución. En la práctica, los investigadores se enfrentan a cadenas empresariales opacas, infraestructura técnica diseminada en varios países y estructuras legales diseñadas para diluir responsabilidades. Mientras tanto, las compañías implicadas —como RebSec, que ha borrado sus cuentas en redes sociales y su sitio web— evitan ofrecer explicaciones públicas y se mantienen en la sombra, lo que hace muy difícil cualquier tipo de escrutinio democrático. Esta opacidad conecta con fenómenos más amplios del negocio oculto del cibercrimen.
Desde la perspectiva europea, este tipo de montaje empresarial no es ajeno: el debate en torno al uso de spyware como Pegasus o a las compras de herramientas de interceptación por parte de distintos gobiernos de la UE ha mostrado que la frontera entre seguridad, vigilancia legítima y abuso puede volverse muy difusa cuando entran en juego proveedores privados con incentivos puramente comerciales. Por eso, la discusión sobre regulación de spyware y contramedidas técnicas es cada vez más urgente.
Phishing contra iCloud: el flanco débil del ecosistema Apple
Uno de los aspectos más llamativos del caso es que los atacantes no se centraron tanto en explotar fallos sofisticados en iOS, sino en atacar directamente las cuentas de Apple ID de sus víctimas. Según Access Now y Lookout, el grupo envió a varios objetivos páginas de inicio de sesión falsas que imitaban con gran precisión los formularios oficiales de Apple.
Cuando la víctima introducía su usuario y contraseña, los hackers obtenían acceso a las copias de seguridad almacenadas en iCloud. En términos prácticos, eso les abría la puerta a una réplica casi completa del contenido del iPhone: fotos, conversaciones, notas, documentos y, en algunos casos, información de acceso a otros servicios. Se trata de una vía de acceso de enorme impacto, pero sensiblemente más barata que desplegar spyware avanzado para iOS. Para mitigar riesgos, conviene aplicar medidas como el modo de aislamiento y protección avanzada en cuentas y dispositivos.
Los especialistas subrayan que buena parte del éxito de este enfoque reside en hábitos de seguridad aún muy débiles entre los usuarios: cuentas sin autenticación de dos factores, contraseñas reutilizadas en varios servicios o falta de verificación de la URL real a la hora de introducir credenciales. Incluso en entornos con mayor conciencia de privacidad, como una redacción europea o una ONG de derechos humanos, una puede seguir colando a través del correo corporativo o aplicaciones de mensajería.
La lección para el entorno europeo es clara: reforzar la seguridad de Apple ID e iCloud —con autenticación en dos pasos, revisión regular de dispositivos vinculados y protección avanzada de datos— es ya una medida básica de autoprotección, especialmente para quienes manejan fuentes sensibles o documentación interna de instituciones públicas.
Spyware ProSpy en Android: móviles bajo control total
En el frente Android, la campaña se apoyó en un spyware identificado como . Según los informes, los operadores lo distribuían disfrazado de aplicaciones populares de mensajería y comunicación, desde Signal, WhatsApp o Zoom hasta ToTok y Botim, muy extendidas en Oriente Medio. Estas apps falsas llegaron a las víctimas a través de enlaces compartidos por correo electrónico o plataformas de mensajería, a menudo acompañados de mensajes creíbles que simulaban ser recomendaciones o invitaciones de contactos conocidos.
Una vez instalado, ProSpy era capaz de tomar el control del dispositivo Android: acceso a la lista de contactos, lectura de mensajes, geolocalización en tiempo real e incluso posible uso del micrófono y la cámara. Aunque los detalles técnicos completos no se han hecho públicos, la descripción encaja con la familia de herramientas de espionaje que permiten vigilar durante largos periodos la actividad cotidiana de la víctima, sin que esta note cambios evidentes en el rendimiento del teléfono.
Este tipo de enfoque ya ha sido analizado en otras investigaciones, incluido el trabajo del Grupo de Análisis de Amenazas (TAG) de Google, que viene documentando desde hace años cómo los grupos de hack-for-hire recurren a apps aparentemente inofensivas para ganar un primer punto de apoyo en el dispositivo. En muchos casos, estas aplicaciones se distribuyen fuera de la Play Store oficial, lo que debería ser una primera señal de aviso para usuarios y departamentos de TI.
Para organizaciones y profesionales en Europa, especialmente aquellos que operan bajo políticas de dispositivo personal para uso laboral (BYOD), el problema se agrava: móviles personales usados para trabajo que instalan apps desde fuentes no verificadas pueden convertirse en puertas de entrada a sistemas corporativos, buzones de correo y repositorios en la nube con información sensible. Por eso conviene seguir una guía de aseguramiento de dispositivos incluso en entornos BYOD.
Signal y la manipulación de dispositivos vinculados
Además del acceso a respaldos en la nube y a terminales Android infectados, los atacantes exploraron otra vía: el abuso de funciones legítimas de Signal. En algunos casos, intentaron convencer a las víctimas para registrar y añadir un nuevo dispositivo, controlado por ellos, a la cuenta de Signal ya existente. De este modo, podían leer conversaciones y seguir la actividad del usuario sin necesidad de comprometer por completo el teléfono principal.
Esta técnica, ya observada en otras campañas de espionaje atribuidas incluso a servicios de inteligencia rusos, se basa en aprovechar flujos de uso totalmente normales: un mensaje o aviso que anima a vincular un nuevo dispositivo, una supuesta reconfiguración por motivos de seguridad o un cambio de terminal. Si la persona no revisa con detalle la petición o da por sentado que procede de un proveedor legítimo, puede terminar autorizando sin querer un acceso permanente a sus comunicaciones cifradas. Es clave conocer cómo y comprobar dispositivos vinculados.
La situación evidencia un punto delicado en el diseño de muchas plataformas de mensajería: funciones pensadas para facilitar el uso multi-dispositivo acaban convirtiéndose en un vector más de ataque cuando se combina ingeniería social con falta de verificación por parte del usuario. En entornos donde periodistas, abogados o activistas se apoyan en Signal como herramienta principal de comunicación segura, este tipo de maniobra supone un riesgo evidente para fuentes confidenciales y contactos protegidos.
Varias organizaciones de derechos digitales insisten en que, ante este panorama, no basta con confiar en la robustez criptográfica de una aplicación. Es necesario también formar a los usuarios para que comprendan los riesgos asociados a la vinculación de dispositivos, detecten comportamientos anómalos en sus cuentas y sepan revocar sesiones sospechosas cuando algo no encaja.
Externalización del espionaje y problema de la atribución
Más allá de las herramientas concretas utilizadas, el caso de BITTER y RebSec pone el foco en un asunto estructural: el auge de las operaciones de hack-for-hire como extensión “subcontratada” de la actividad estatal. Mohammed Al-Maskati, responsable de la línea de ayuda de seguridad digital de Access Now, resume el problema en dos ideas: estas operaciones son cada vez más baratas y permiten eludir con mayor facilidad la responsabilidad política o legal.
Cuando un gobierno, una empresa o un actor privado decide contratar a un proveedor de hack-for-hire, el beneficiario final queda oculto tras varias capas de intermediarios, sociedades pantalla e infraestructura técnica distribuida. La propia arquitectura del servicio está diseñada para que, incluso si la campaña es descubierta, resulte casi imposible demostrar quién encargó el trabajo. Este juego de sombras complica cualquier intento de sancionar a los responsables, abrir investigaciones judiciales o plantear respuestas diplomáticas coordinadas.
Albrecht y otros investigadores destacan que, comparado con la compra de spyware comercial de grandes proveedores internacionales, el hack-for-hire puede resultar más económico y discreto. A cambio, los clientes aceptan trabajar con herramientas a veces menos sofisticadas, pero que siguen siendo más que suficientes para comprometer móviles, cuentas en la nube y servicios de mensajería de alto valor.
Para la Unión Europea y los estados miembros, este contexto plantea retos serios: las mismas compañías y técnicas que se detectan en campañas contra periodistas en Oriente Medio o el norte de África podrían emplearse, con escasas modificaciones, contra redacciones, ONG o instituciones en territorio europeo. Las discusiones sobre regulación de spyware, exportación de tecnologías de vigilancia y normas de diligencia debida en la contratación pública cobran así un peso adicional.
Periodistas, activistas y funcionarios en el punto de mira
En los casos documentados, las víctimas directas incluyen dos periodistas egipcios y un periodista libanés, pero los informes resaltan que el abanico de objetivos es mucho más amplio. Entre los blancos identificados figuran funcionarios de Baréin y Egipto, personas vinculadas a Emiratos Árabes Unidos, Arabia Saudita y Reino Unido, y posibles objetivos conectados con universidades de Estados Unidos.
Este perfil de víctimas encaja con la trayectoria de otros grupos de hack-for-hire, como BAHAMUT, conocido por campañas de phishing muy elaboradas dirigidas a responsables políticos, ejecutivos y figuras públicas. La lógica es clara: al vigilar a periodistas, activistas y funcionarios, los atacantes no solo acceden a su información personal, sino también a redes de contactos, documentos internos y comunicaciones estratégicas que pueden resultar valiosas para gobiernos y empresas.
Para el ecosistema mediático europeo —incluidos medios españoles que cubren política internacional, finanzas o derechos humanos—, estos casos sirven de advertencia sobre un riesgo que ya no es hipotético. Un redactor o corresponsal que mantenga contacto con fuentes en Oriente Medio o el norte de África, o que trate documentación sensible, puede convertirse en un objetivo indirecto de clientes que busquen información sobre conflictos regionales, movimientos sociales o negociaciones diplomáticas.
Organizaciones como Access Now y SMEX insisten en que el impacto de este tipo de campañas va más allá del daño individual. A medio plazo, el uso sistemático de hack-for-hire contra la sociedad civil erosiona la libertad de prensa, desincentiva la denuncia de abusos y genera un clima de autocensura difícil de revertir, tanto en los países directamente afectados como en quienes colaboran con ellos desde Europa.
Todo lo que se ha revelado sobre esta campaña de hack-for-hire —desde el phishing a iCloud y el spyware ProSpy en Android hasta la manipulación de cuentas de Signal y la implicación de proveedores como BITTER y RebSec— dibuja un escenario en el que el espionaje digital se ha vuelto más barato, modular y fácil de externalizar. Para periodistas, activistas, funcionarios y profesionales que manejan información sensible, también en España y el resto de Europa, la consecuencia es un aumento del riesgo que no depende solo de la tecnología que utilizan, sino de cómo gestionan sus cuentas, sus copias de seguridad y sus hábitos frente al phishing. Fortalecer la seguridad básica —activar la verificación en dos pasos, limitar la instalación de apps fuera de canales oficiales y desconfiar de solicitudes inesperadas de credenciales o de vinculación de dispositivos— se convierte así en una parte esencial del trabajo diario, tan necesaria como contrastar fuentes o proteger la identidad de quienes les confían información.
