Investigadores de Osservatorio Nessuno, una organización italiana de derechos digitales, han publicado este 23 de abril un informe detallado sobre Morpheus, un nuevo spyware gubernamental que se distribuye disfrazado de aplicación de actualización telefónica y está vinculado con IPS, una empresa italiana con más de 30 años operando en tecnología de interceptación legal. Lorenzo Franceschi-Bicchierai lo cubre en TechCrunch el 24 de abril. El caso confirma un patrón que la industria de vigilancia italiana ha documentado reiteradamente: operadores telefónicos que colaboran deliberadamente con agencias para que el malware llegue al objetivo.
La técnica de infección es tan efectiva como cínica. El operador de telefonía del objetivo comienza a bloquear intencionalmente sus datos móviles. Cuando el usuario ve que no tiene internet, el mismo operador le envía un SMS avisando de que necesita instalar una app para «actualizar el teléfono» y recuperar el servicio. El usuario instala, ejecuta, abusa de los permisos de accesibilidad de Android, y a partir de ese momento Morpheus lee todo lo que pasa en pantalla, interactúa con otras apps y extrae datos a voluntad. La cadena de confianza rota (el operador que debería proteger al cliente ayuda al atacante) es el corazón del problema. Esta misma estrategia se ha usado antes en Italia, según documentación previa en casos de spyware como Hermit.
El giro más llamativo: robo de WhatsApp con huella dactilar
El aspecto más inteligente desde el punto de vista del atacante es cómo Morpheus se apropia de WhatsApp. Una vez instalado, la app muestra una pantalla falsa de actualización, luego un reinicio simulado, y al final una pantalla que imita WhatsApp pidiendo al usuario que «confirme su identidad biométrica». El usuario toca el lector de huellas pensando que es un proceso legítimo. En realidad, ese toque autoriza añadir un nuevo dispositivo al WhatsApp del usuario, otorgando al atacante acceso completo a la cuenta sin que el objetivo se entere. Esa técnica ya había sido documentada en operaciones rusas contra usuarios ucranianos y en una campaña reciente de espionaje en la misma Italia.
Morpheus es spyware que Osservatorio Nessuno califica como «low cost»: no usa exploits zero-click como los de NSO Group o Paragon Solutions, que explotan vulnerabilidades caras y difíciles de encontrar para instalarse sin interacción. Morpheus depende de engañar al usuario para que instale él mismo la app. Eso lo hace más barato de operar, pero también más limitado: requiere ingeniería social, no funciona si el objetivo es cuidadoso, y deja rastro digital que investigadores pueden analizar después.
Quién está detrás: IPS, la vieja empresa con producto nuevo
La atribución del spyware se basa en varios fragmentos. Una de las direcciones IP usadas en la campaña está registrada a nombre de «IPS Intelligence Public Security». Además, el código contiene referencias culturales italianas características: menciones a «Gomorra» (el libro y serie sobre la camorra napolitana) y la palabra «spaghetti». Esta querencia por dejar guiños culturales italianos en el código es, según TechCrunch, una «tradición» de la industria italiana de spyware. Casos previos (RCS Lab, esurv) han dejado rastros similares.
IPS, según su propia web, opera en más de 20 países y lista varias fuerzas policiales italianas entre sus clientes, aunque la empresa nunca había reconocido públicamente tener un producto de spyware. Su negocio tradicional es interceptación legal: herramientas que las agencias usan para capturar comunicaciones en tiempo real a través de las redes de operadores. Morpheus es un paso más allá: ya no se interceptan comunicaciones en tránsito, se instala software dentro del teléfono del objetivo. IPS no respondió a las preguntas de TechCrunch.
Ataques similares de malware que se hace pasar por actualización del sistema han documentado grupos de investigación desde 2021, cuando Zimperium descubrió un RAT sofisticado camuflado como «System Update» que robaba fotos, llamadas, mensajes, ubicación y contactos. La técnica no es nueva. Lo que la vuelve eficaz en casos como Morpheus es la colaboración del operador telefónico que legitima el SMS inicial, algo que un usuario no puede anticipar ni defenderse.
Contexto más amplio: la industria italiana del spyware
El caso pone foco sobre un ecosistema que es particularmente denso en Italia. RCS Lab, esurv, Tykelab, Area SpA y ahora IPS: todas empresas italianas con historial en interceptación legal y spyware. Varios casos han expuesto operaciones en las que los proveedores se pasaban las líneas regulatorias en sus propios clientes estatales. La combinación de capacidad técnica, tradición regulatoria permisiva y mercado doméstico (policías y agencias) hace que Italia sea uno de los centros globales del sector. La industria del spyware gubernamental es un mercado enorme donde empresas como NSO Group, Paragon Solutions o Cellebrite facturan cientos de millones al año vendiendo herramientas a gobiernos que después las usan tanto contra criminales legítimos como contra periodistas, activistas y opositores políticos. Pero incluso dentro de ese mercado, Morpheus destaca por su técnica de distribución y el toque de elegancia oscura al robar WhatsApp con una huella inocente.
Cómo protegerse
La defensa frente a spyware de este tipo tiene tres capas. Primera, desconfianza sistemática con las instalaciones de apps fuera de Google Play Store, especialmente si vienen por SMS con urgencia. Ningún operador legítimo en 2026 exige instalar una app externa para restaurar servicio de datos; todas las actualizaciones de operador se gestionan desde la propia app oficial o desde los ajustes del teléfono. Google Play Protect ofrece escaneo en tiempo real de apps instaladas desde fuera de la tienda, y mantenerlo activado es una capa de defensa básica contra este tipo de ataques.
Segunda, revisar los permisos de accesibilidad concedidos a apps. El acceso de accesibilidad es el caballo de Troya más común en spyware Android: permite leer toda la pantalla e interactuar con otras apps. Ajustes > Accesibilidad debería tener solo apps que reconozcas activamente (TalkBack, lector de pantalla si la usas; app de notas con dictado si la usas). Cualquier otra apareciendo ahí merece investigación.
Tercera, revisar periódicamente los dispositivos vinculados en WhatsApp (Ajustes > Dispositivos vinculados). Si aparece un dispositivo que no reconoces, el WhatsApp ya está comprometido: cerrar sesión inmediatamente y cambiar la protección por PIN.
Mi valoración
Morpheus es un recordatorio incómodo de que la amenaza más seria contra la privacidad del ciudadano medio ya no viene solo de ciberdelincuentes anónimos sino de empresas privadas que venden capacidades ofensivas a gobiernos con su respaldo normativo. El modelo de negocio es simple: tecnología de vigilancia que se aplica bajo supuesta supervisión judicial pero cuyos objetivos reales a menudo se descubren tras años (periodistas, activistas, rivales políticos). La complicidad del operador telefónico es el elemento que debería encender las alarmas regulatorias: una empresa de telecomunicaciones bloqueando deliberadamente el servicio de un cliente para forzar la instalación de malware es, en cualquier lectura razonable, una violación del contrato de servicio y probablemente del marco regulatorio europeo. Pero la jurisprudencia sobre interceptación legal permite este tipo de operaciones bajo orden judicial. El problema es que «orden judicial» en el contexto de spyware gubernamental a menudo significa orden secreta, jurisdicciones amistosas al gobierno, y objetivos que nunca se enteran de que han sido vigilados ni pueden defenderse legalmente. Osservatorio Nessuno está haciendo un trabajo importante al poner nombre a estos actores: sin atribución pública, la opacidad protege al sector. El siguiente paso, que no depende de investigadores sino de reguladores, es hacer que los operadores telefónicos que colaboran con spyware gubernamental tengan consecuencias cuando la colaboración se hace pública. Sin esa consecuencia, la técnica seguirá siendo eficaz. Para el ciudadano normal, la defensa práctica sigue siendo la misma: desconfianza con las descargas fuera de Play Store, revisión periódica de permisos de accesibilidad y dispositivos vinculados a WhatsApp, y consciencia de que el SMS de tu operador diciendo «instala esta app para recuperar datos» es, casi con seguridad, mentira.
Preguntas frecuentes
¿Estoy en riesgo si vivo fuera de Italia? Morpheus se ha documentado principalmente en operaciones italianas, pero IPS opera en más de 20 países y la técnica es replicable. Cualquier usuario objetivo de agencias con capacidad similar puede enfrentarse a variantes. La defensa (no instalar apps por SMS, revisar permisos) es universal.
¿Cómo detectar si estoy infectado? Señales: apps de accesibilidad que no reconoces activas; dispositivos vinculados en WhatsApp que no has autorizado; drenaje anormal de batería; consumo de datos en background elevado. Un escaneo con Play Protect y antimalware reputado es el primer paso; en casos serios, restablecer fábrica.
¿Los operadores legítimos piden instalar apps por SMS? No. Ningún operador español (Movistar, Vodafone, Orange, O2, MásMóvil, Digi) solicita instalar apps fuera de la Play Store por SMS para restablecer servicios. Todo se gestiona desde la app oficial del operador o desde los ajustes nativos del teléfono.