Un ataque zero-click es exactamente lo que parece: un ciberataque que compromete tu dispositivo sin que hayas abierto ningún enlace, descargado ningún archivo ni respondido ningún mensaje. Aprovecha vulnerabilidades en el propio código que procesa previsualizaciones de imagen, llamadas entrantes, mensajes push o cualquier señal que el sistema interprete automáticamente antes de que el usuario interaccione con ella. En 2025, el software espía Paragon Solutions atacó a periodistas y activistas a través de WhatsApp en iOS sin que ninguna víctima hubiera tocado nada. En 2024, NSO Group usó una vulnerabilidad en FaceTime para comprometer iPhones de personas en varios países. En 2023, el mismo NSO Group explotó una vulnerabilidad en el renderizado de imágenes WEBP del navegador.
El patrón es consistente: el atacante envía un mensaje, una llamada o un archivo. El dispositivo lo procesa automáticamente. En ese procesamiento hay un bug. El bug se explota. El dispositivo queda comprometido. Sin que el usuario sepa nada.
Lo que ha cambiado en 2026 es que Apple, Google y Meta ofrecen ahora modos de protección específicamente diseñados contra esta clase de ataques, son gratuitos, y poca gente los usa.
Los tres modos de protección y cómo activarlos
Apple Lockdown Mode (disponible desde iOS 16, 2022): Cuando está activo, el iPhone desactiva funciones que históricamente han sido vectores de ataque zero-click. En Mensajes, solo se permiten imágenes; los demás tipos de adjuntos están bloqueados. Las previsualizaciones de links están desactivadas. En Safari, las tecnologías web complejas como la compilación JIT de JavaScript están desactivadas excepto en sitios que el usuario marque expresamente como seguros. Las llamadas de FaceTime de desconocidos no llegan. La compra de accesorios con cable requiere que el iPhone esté desbloqueado.
El Citizen Lab encontró que Lockdown Mode detuvo un ataque de Pegasus dirigido a un periodista en 2022: el software espía intentó explotar una vulnerabilidad en el procesamiento de un adjunto y el modo simplemente no procesó el adjunto. Como resumió Runa Sandvik, investigadora de seguridad que lleva más de una década protegiendo a periodistas y colectivos en riesgo: «Estas funciones son gratuitas, fáciles de activar, y la mejor defensa que tenemos hoy contra spyware sofisticado. Si las funciones entorpecen algo que necesitas hacer, puedes desactivarlas fácilmente —lo que significa que el coste de activarlas y probarlas es mínimo.»
Para activarlo: Ajustes > Privacidad y seguridad > Modo de aislamiento.
Android Advanced Protection Mode (disponible en Android 15+, 2025): Inspirado en el Lockdown Mode de Apple, este modo activa simultáneamente varias protecciones: habilita Google Play Protect con análisis continuo de apps; bloquea la instalación de apps de fuentes desconocidas y las actualizaciones de apps instaladas desde fuentes no oficiales; activa la Extensión de Etiquetado de Memoria (MTE) en dispositivos compatibles, una protección hardware que bloquea ciertos tipos de vulnerabilidades de corrupción de memoria; y bloquea automáticamente el dispositivo si detecta patrones de movimiento brusco o contexto anómalo asociado a robo físico.
Para activarlo en un Pixel: Ajustes > Seguridad y privacidad > Protección avanzada.
WhatsApp Strict Account Settings (lanzado enero 2026): Meta lanzó este modo de protección específicamente para usuarios en riesgo —periodistas, activistas, representantes políticos— después de varios ataques documentados mediante spyware de Paragon Solutions. Al activarlo: los archivos multimedia y adjuntos de contactos desconocidos se bloquean automáticamente; las previsualizaciones de links están desactivadas; las llamadas de desconocidos se silencian.
Google Intrusion Logging en Android va un paso más allá al registrar rastros de actividad sospechosa que investigadores y periodistas pueden analizar después de un posible ataque. Pegasus, el spyware de NSO Group que lleva comprometiendo móviles de políticos y periodistas desde 2016, es el ejemplo más conocido de spyware gubernamental que estos modos buscan detener. Si te has preguntado alguna vez si un móvil puede espiar conversaciones aunque no lo estés usando, la respuesta con un spyware zero-click activo es que sí puede, y lo hace mientras el dispositivo está en tu bolsillo.
¿Para quién son estos modos y cuánto te limitan?
La respuesta honesta es que Lockdown Mode y Advanced Protection Mode no son para uso cotidiano de todo el mundo. Desactivan funciones que en la mayoría de contextos son útiles e inocuas: las previsualizaciones de links hacen más cómoda la navegación, los JIT compilers hacen más rápidas las apps web. En un iPhone normal de un usuario normal, activar Lockdown Mode implica una degradación perceptible de la experiencia.
Pero la tecnología del spyware ha avanzado hasta el punto en que ya no es solo una amenaza para disidentes o periodistas de alto riesgo. Paragon Solutions fue contratado por gobiernos europeos para espiar ciudadanos, y sus herramientas fueron encontradas en teléfonos de personas sin ninguna actividad política relevante. El umbral de quién puede ser objetivo se ha reducido.
Para el 95% de los usuarios que nunca serán objetivo de un ataque de este nivel, estas funciones son seguros de los que nunca necesitarán saltar. Pero conocer que existen, y saber cómo activarlos en caso necesario, cuesta exactamente un minuto y ningún euro.
Mi valoración
En veinte años cubriendo seguridad tecnológica, la proporción entre el coste de estas protecciones (cero euros, 90 segundos de configuración) y el beneficio que ofrecen (defensa contra el spyware más sofisticado del mercado) es la mejor ecuación de seguridad que he visto en mucho tiempo. El problema es la percepción: la gente asocia «Lockdown Mode» con «para hackers y periodistas de guerra», cuando en realidad debería verse como el antivirus del siglo XXI.
Lo que más me preocupa del panorama actual: los tres modos de protección que describe este artículo llevan meses o años disponibles, y la mayoría de personas que deberían usarlos no saben que existen. El gap entre la sofisticación del ataque y la facilidad de la defensa disponible es enorme, y ese gap solo existe por falta de información.
Mi predicción a 12 meses: veremos que al menos uno de los grandes sistemas operativos —probablemente Android— activa por defecto alguna de estas protecciones para usuarios identificados como de riesgo elevado, sin requerir que el usuario sepa qué es un ataque zero-click.
Preguntas frecuentes
¿Un ataque zero-click puede afectar a cualquier persona o solo a periodistas y políticos?
Los ataques zero-click de spyware sofisticado como Pegasus o Paragon han sido documentados principalmente en activistas, periodistas y representantes políticos porque son objetivos de alto valor para los gobiernos que contratan estos servicios. Sin embargo, hay casos documentados de personas sin actividad política relevante que fueron atacadas, y la tecnología cada vez más asequible puede ampliar ese perfil.
¿Activar Lockdown Mode rompe el funcionamiento normal del iPhone?
Sí, afecta algunas funciones: bloquea adjuntos en iMessage que no sean imágenes, desactiva las previsualizaciones de links, restringe algunas funciones web avanzadas en Safari, y bloquea llamadas FaceTime de desconocidos. Para uso diario cotidiano de la mayoría de personas representa una degradación apreciable. Si activas el modo y una función que necesitas deja de funcionar, puedes desactivarlo en cualquier momento desde Ajustes.
¿Estos modos protegen contra todo tipo de hackeo?
No. Están diseñados específicamente contra spyware de grado gubernamental que aprovecha vulnerabilidades zero-click en el procesamiento automático de contenidos. No protegen contra phishing (donde sí haces clic), contra apps maliciosas instaladas por el propio usuario, ni contra ataques a la cuenta (contraseña comprometida, SIM swapping). Son una capa adicional de defensa, no una solución universal.