Descubren software espía en teléfonos Samsung Galaxy desde 2024

Un Espionaje Digital que Afecta a Miles de Usuarios de Samsung

La creciente preocupación por la seguridad digital ha tomado un nuevo impulso con el descubrimiento de un software espía que ha estado afectando a los teléfonos Samsung Galaxy durante casi un año. Investigadores de seguridad de la firma Palo Alto Networks han identificado esta amenaza, a la que han denominado “Landfall”, que ha sido utilizada en una campaña de hacking dirigida y sofisticada. Este hallazgo no solo pone de manifiesto la vulnerabilidad de los dispositivos más populares del mercado, sino que también revela las técnicas cada vez más avanzadas utilizadas por los actores de amenazas en el ámbito de la ciberseguridad.

Un Hacking Silencioso y Eficaz

La investigación de Palo Alto Networks indica que el software espía fue detectado por primera vez en julio de 2024, aprovechando una falla de seguridad desconocida para Samsung en ese momento, clasificada como una vulnerabilidad de tipo zero-day. Este tipo de vulnerabilidades son particularmente peligrosas porque son desconocidas tanto para el fabricante como para los usuarios, lo que permite a los atacantes explotar el fallo sin ser detectados.

Los investigadores afirmaron que el ataque se podía llevar a cabo mediante el envío de una imagen manipulada al dispositivo de la víctima, probablemente a través de una aplicación de mensajería. Lo más alarmante es que, según los informes, estos ataques no requerían ninguna interacción por parte de la víctima, lo que sugiere un nivel de sofisticación que pone en riesgo la seguridad de millones de usuarios.

La amenaza que representa el software espía Landfall subraya la necesidad de una vigilancia constante y una mejora en las medidas de seguridad por parte de los fabricantes de dispositivos.

La Respuesta de Samsung y el Parche de Seguridad

Samsung, al enterarse de la existencia de esta vulnerabilidad, lanzó un parche de seguridad en abril de 2025, identificada como CVE-2025-21042. Sin embargo, el hecho de que la campaña de spyware haya estado activa durante tanto tiempo antes de ser detectada plantea preguntas sobre la efectividad de los protocolos de seguridad de la empresa. La falta de una respuesta rápida puede haber permitido que miles de dispositivos fueran potencialmente comprometidos, lo que subraya la vulnerabilidad inherente en la tecnología moderna.

Los investigadores no han podido determinar cuántas personas fueron blanco de esta campaña, ni quién fue el responsable del desarrollo del spyware Landfall. Sin embargo, se ha especulado que los objetivos podrían haber sido individuos específicos en el Medio Oriente, lo que sugiere un trasfondo de espionaje político.

Un Patrón de Vigilancia Familiar

Itay Cohen, un investigador principal de Unit 42, destacó que la campaña de hacking se caracterizó por ser un “ataque de precisión” en lugar de un malware distribuido masivamente. Esto indica que los ataques estaban motivados por el espionaje, lo que es un motivo preocupante en el contexto actual de tensiones geopolíticas. Además, el spyware Landfall comparte infraestructuras digitales con un conocido proveedor de vigilancia llamado Stealth Falcon, que ha estado involucrado en ataques anteriores contra periodistas, activistas y disidentes en Emiratos Árabes Unidos desde 2012.

Aunque las conexiones con Stealth Falcon son intrigantes, los investigadores han señalado que no hay suficiente evidencia para atribuir claramente los ataques a un gobierno específico. Este aspecto del espionaje digital es particularmente complicado, ya que a menudo involucra actores estatales que utilizan herramientas sofisticadas para llevar a cabo sus operaciones encubiertas.

Un Alcance Global de la Amenaza

Unit 42 también descubrió que las muestras de spyware Landfall se habían cargado en VirusTotal, un servicio de escaneo de malware, desde varias localizaciones, incluidas Marruecos, Irán, Irak y Turquía a lo largo de 2024 y principios de 2025. Este patrón geográfico sugiere que la amenaza no se limita a un solo país o región, lo que agrava la preocupación sobre la seguridad de los dispositivos en el ámbito internacional.

El equipo nacional de ciberseguridad de Turquía, conocido como USOM, identificó una de las direcciones IP conectadas al spyware Landfall como maliciosa. Esto respalda la teoría de que individuos en Turquía podrían haber sido blanco de estos ataques, lo que añade otra capa de complejidad a la situación.

La conexión de Landfall con direcciones IP maliciosas en múltiples países resalta la naturaleza global del espionaje digital en la actualidad.

Capacidades del Spyware Landfall

El spyware Landfall es capaz de llevar a cabo una amplia gama de funciones de vigilancia en el dispositivo de la víctima. Esto incluye el acceso a datos sensibles, como fotos, mensajes, contactos y registros de llamadas, así como la activación del micrófono del dispositivo y el seguimiento de la ubicación exacta del usuario. Estas capacidades hacen que el software espía sea una herramienta extremadamente peligrosa en manos equivocadas, ya que permite a los atacantes no solo recopilar información personal, sino también monitorear las actividades en tiempo real.

Los investigadores de Palo Alto Networks han señalado que el código fuente del spyware hacía referencia a cinco modelos específicos de teléfonos Galaxy, incluyendo los Galaxy S22, S23, S24 y algunos modelos Z. Esto sugiere que la vulnerabilidad podría estar presente en una variedad de dispositivos Galaxy, afectando a múltiples versiones de Android, específicamente desde la 13 hasta la 15. Esta amplia gama de dispositivos comprometidos podría tener un impacto significativo en la seguridad de los usuarios de Samsung.

La Falta de Respuesta de Samsung

A pesar de la gravedad de la situación, Samsung no ha respondido a las solicitudes de comentarios sobre este tema. La falta de comunicación por parte de la empresa genera inquietudes sobre su compromiso con la seguridad de sus usuarios y la transparencia en la gestión de incidentes de seguridad. A medida que las amenazas cibernéticas evolucionan y se vuelven más sofisticadas, es crucial que las empresas de tecnología se mantengan un paso adelante en la protección de sus dispositivos y datos.

La comunidad de ciberseguridad sigue esperando respuestas sobre cómo Samsung planea abordar esta situación y qué medidas adicionales se implementarán para proteger a sus usuarios de futuras amenazas. Con la creciente digitalización y dependencia de la tecnología en la vida diaria, es esencial que los fabricantes prioricen la seguridad en el diseño y desarrollo de sus productos.

El Futuro de la Ciberseguridad y la Vigilancia Digital

La revelación de la campaña de espionaje que utiliza el spyware Landfall subraya la necesidad urgente de mejorar las medidas de seguridad en todos los niveles. Los usuarios deben ser conscientes de los riesgos asociados con el uso de dispositivos móviles y adoptar prácticas más seguras, como mantener sus sistemas actualizados y ser cautelosos al interactuar con mensajes y enlaces desconocidos.

A medida que el panorama de la ciberseguridad continúa evolucionando, también lo hacen las tácticas y técnicas utilizadas por los atacantes. Esto requiere una vigilancia constante tanto por parte de los fabricantes de dispositivos como de los usuarios individuales. La educación sobre ciberseguridad y la promoción de una cultura de seguridad digital son pasos esenciales para protegerse contra amenazas como Landfall y otros tipos de software espía.

Con la creciente interconexión de la tecnología en nuestra vida diaria, es fundamental que todos los involucrados en el ecosistema digital trabajen juntos para crear un entorno más seguro. La ciberseguridad no es solo una responsabilidad de las empresas de tecnología; es una preocupación compartida que requiere la atención y la acción de todos.