Reforzar la seguridad de un smartphone no significa protección

Qué deben entender las organizaciones gubernamentales y de defensa antes de confiar en los modos de protección de dispositivos de consumo

En este momento, los equipos de seguridad de organizaciones gubernamentales y de defensa están teniendo una conversación similar a esta. Alguien aborda el tema de la seguridad de los dispositivos móviles para las comunicaciones confidenciales. Otra persona señala que Apple tiene ahora el modo Lockdown, y Google el modo de protección avanzada de Android, y que ambos están diseñados específicamente para defenderse contra spyware sofisticado. Ambos son gratuitos. Ambos están ya en los dispositivos que utilizan las personas. ¿Caso cerrado?

No del todo.

Estos modos representan ingeniería de seguridad auténtica de dos de las empresas tecnológicas más sofisticadas del mundo. Para el modelo de amenaza de un periodista, un activista o un ejecutivo corporativo, son significativos y -en el caso de Apple- visiblemente eficaz. Sin embargo, para el personal del gobierno y de defensa, cuyas comunicaciones representan objetivos de inteligencia de alto valor, hay un problema fundamental con este enfoque que ninguna actualización de software puede solucionar.

Qué hacen estos modos

El modo Lockdown de Apple, introducido en 2022, funciona desactivando o restringiendo las características de iOS que son más comúnmente explotadas por atacantes sofisticados: elimina la compilación JIT de JavaScript en todos los navegadores, bloquea la mayoría de los archivos adjuntos de mensajes, desactiva las vistas previas de enlaces, bloquea FaceTime de llamadas desconocidas e impide la transferencia de datos USB cuando el dispositivo está bloqueado. Apple ha declarado que no tiene constancia de que se haya logrado vulnerar un dispositivo con el modo de bloqueo activado mediante un programa espía mercenario, y los investigadores independientes del Laboratorio de Seguridad y el Citizen Lab de Amnistía Internacional lo han corroborado.

El Modo de Protección Avanzada de Android, introducido con Android 16 en 2025, adopta un enfoque diferente pero complementario: bloquea los ajustes de seguridad existentes para que no puedan desactivarse, bloquea la carga lateral de aplicaciones, desactiva la conectividad 2G para mitigar los ataques IMSI catcher y, en el hardware compatible, activa la Extensión de Etiquetado de Memoria, una función a nivel de hardware que detecta exploits de corrupción de memoria mientras están en ejecución. Google ha diseñado la función de registro forense que se encuentra en este modo en colaboración con el Laboratorio de Seguridad de Amnistía Internacional, lo que la convierte en la primera gran plataforma que incorpora un registro de detección de intrusiones en un dispositivo de consumo.

No son mejoras insignificantes, deben ser tomadas en serio. Pero tienen un techo, y ese techo importa enormemente al público que lea esto.

El problema que ningún modo puede resolver

Una verdad incómoda que aplica a ambas plataformas: activar el Modo Lockdown o la Protección Avanzada no cifra las llamadas de voz de tu operador. Un alto funcionario con el modo de bloqueo totalmente activado, haciendo una llamada telefónica estándar, sigue transmitiendo voz sin cifrar a través de la infraestructura pública de telecomunicaciones que puede ser interceptada en la capa del operador.

La respuesta razonable es: usa Signal. Y para muchos contextos, puede funcionar. Pero Signal en un iPhone reforzado nos lleva a un problema más profundo, uno que ninguna solución de capa de aplicación resuelve completamente cuando el modelo de amenaza incluye actores de estado-nación que utilizan spyware comercial.

El sistema operativo es el objetivo.

Pegasus, Predator, Graphite y sus sucesores no están diseñados para atacar tu aplicación de mensajería. Están diseñados para atacar a iOS y Android, los sistemas operativos sobre los que se ejecutan todas las aplicaciones, incluida Signal. Una vez un implante consiga acceder al nivel del kernel, el cifrado de la capa de aplicación se convierte en algo teórico. El spyware captura los datos antes de que se cifren o después de que se descifren, a nivel del sistema operativo, donde tiene total visibilidad.

Esto es también por qué el cambio de modo, que parece un compromiso operativo razonable, es en entornos de alta amenaza, un riesgo de seguridad significativo. El modo de bloqueo y la protección avanzada son medidas preventivas; deben estar activas antes de que se produzca un ataque. No tienen capacidad para detectar o desalojar una infección existente. Si un dispositivo fue atacado mientras el modo estaba desactivado (algo habitual dada la fricción que introducen estos modos)  y el usuario vuelve a activar el modo, el implante ya está dentro. El cambio de modo no lo restablece. El spyware comercial está diseñado específicamente para persistir a través de reinicios, actualizaciones y cambios de estado.

Para el personal que enfrenta amenazas avanzadas persistentes, la conclusión lógica es que este modo no puede desactivarse. En la práctica, eso significa aceptar sus limitaciones de usabilidad en todo momento. Este acuerdo requiere que los usuarios reduzcan permanentemente la funcionalidad de su teléfono a cambio de modestos beneficios en materia de seguridad, sin dejar de exponerse a las vulnerabilidades de un sistema operativo de uso general. Una solución más efectiva es mantener un smartphone completamente funcional para el uso diario y confiar en una línea segura para las comunicaciones sensibles.

Una arquitectura diferente

El SecurePhone de Sotera aborda este problema desde un punto de partida diferente. En lugar de preguntarse cómo reforzar un teléfono inteligente de uso general contra ataques sofisticados, la pregunta de diseño era: ¿cómo luce un dispositivo si la seguridad es la restricción de arquitectura de la que se deriva todo lo demás?

La respuesta difiere de un dispositivo de consumo en aspectos importantes.

El sistema operativo es Green Hills Software Integrity 178B, un sistema operativo en tiempo real con una certificación EAL 6+, la más alta de todos los sistemas operativos disponibles en el mercado, con más de veinte años de uso en aviónica militar, sistemas de mando nuclear de EE.UU. e infraestructura de la NASA, y sin vulnerabilidades conocidas al momento de esta publicación. No se trata de un sistema operativo de uso general que haya sido reforzado. Nunca se diseñó como tal. Los operadores comerciales de spyware (NSO Group, Intellexa, Paragon) invierten sus recursos de ingeniería en exploits para iOS y Android porque es donde se encuentra la base instalada. Integrity 178B no es un objetivo de los kits de herramientas de explotación de spyware comerciales existentes.

La arquitectura de red elimina la superficie de ataque de la que dependen los exploits zero-click. El dispositivo no expone ningún puerto de escucha abierto ni ningún servicio de conexión entrante. Todas las conexiones de red se inician desde el dispositivo. Las llamadas y mensajes entrantes se entregan notificando al dispositivo a través de su conexión saliente existente con los servidores de Sotera, que el dispositivo extrae a través de ese canal. No hay ninguna superficie expuesta a la que pueda llegar un exploit zero-click. Esto fue confirmado por Netragard durante una prueba de penetración independiente.

La pregunta correcta

El debate entre un smartphone de consumo reforzado y un teléfono seguro diseñado específicamente para el gobierno se plantea a veces como un intercambio de conveniencia. Pero no es así. Se trata de saber qué es lo que realmente se quiere proteger y qué nivel de seguridad se necesita.

Para las organizaciones en las que las comunicaciones confidenciales representan objetivos de inteligencia, en las que el adversario cuenta con recursos de un Estado-nación, infraestructura comercial de software espía y un historial demostrado de éxito en el ataque a iPhones y dispositivos Android totalmente actualizados, el tema no es qué teléfono es más cómodo. Es si la arquitectura bajo sus controles de seguridad fue diseñada para resistir la amenaza a la que se enfrenta.

El fortalecimiento no es arquitectura. Reducir la superficie de ataque no es eliminarla. Y un modo que se puede desactivar no es una garantía de seguridad.

Para conocer la arquitectura técnica completa del SecurePhone de Sotera, incluidas las especificaciones de cifrado, los detalles de certificación del sistema operativo, los controles de procedencia de la cadena de suministro y los resultados de la validación independiente, puede solicitar nuestro informe técnico.