Un informe publicado por la organización italiana de derechos digitales Osservatorio Nessuno reveló que un fabricante de software espía distribuyó aplicaciones falsas para Android con el objetivo de instalar malware en los dispositivos de víctimas específicas.
El software, denominado Morpheus, se hacía pasar por una aplicación de actualización de teléfono, pero en realidad otorgaba a los atacantes acceso total a la información privada del usuario.
Acceso mediante engaño y control total de WhatsApp
A diferencia de los sofisticados ataques “zero-click” que emplean empresas como NSO Group, el spyware Morpheus utiliza una técnica más sencilla y de menor costo: engañar a la víctima para que instale la aplicación maliciosa por sí misma.
El ataque inicia cuando la compañía de telefonía móvil, en colaboración con las autoridades, bloquea deliberadamente los datos móviles del objetivo. A continuación, la víctima recibe un SMS que la insta a instalar una app para “actualizar” el teléfono y recuperar la conectividad. Una vez instalada, la aplicación aprovecha las funciones de accesibilidad de Android para leer la información en pantalla y manipular otras apps.
El spyware simula una actualización y presenta una pantalla de reinicio falsa. Posteriormente, suplanta la interfaz de WhatsApp y solicita la verificación biométrica del usuario. Al proporcionar la huella digital o el reconocimiento facial, el malware añade un nuevo dispositivo autorizado a la cuenta de WhatsApp, accediendo así a mensajes y contactos. Esta táctica ya ha sido documentada en campañas de espionaje en Italia y Ucrania.
IPS, la empresa detrás del spyware
La investigación de Osservatorio Nessuno atribuye el desarrollo de Morpheus a la empresa italiana IPS, especializada desde hace más de 30 años en herramientas de interceptación “legal” para fuerzas policiales y de seguridad. Aunque IPS opera en más de 20 países, hasta ahora no se conocía públicamente su participación en el desarrollo de spyware para móviles.
Los investigadores descubrieron que una de las direcciones IP empleadas estaba registrada a nombre de IPS Intelligence Public Security. Además, el código del malware incluye varias frases en italiano y referencias culturales, como menciones a “Gomorra” y “spaghetti”, lo que refuerza el origen italiano del software.
En declaraciones a TechCrunch, los investigadores de Osservatorio Nessuno, que prefieren ser identificados solo por sus nombres de pila, Davide y Giulio, explicaron: “No podemos proporcionar detalles sobre quién era el objetivo, pero creemos que el ataque está relacionado con el activismo político en Italia, un mundo donde este tipo de ataques dirigidos son muy comunes en la actualidad.”
La exposición de Morpheus suma a IPS a la lista de compañías italianas que han ganado notoriedad tras el declive de Hacking Team, la empresa pionera en el sector del spyware. En los últimos años, firmas como CY4GATE, eSurv, GR Sistemi, Movia, Negg, Raxir, RCS Lab y SIO han sido señaladas por vender herramientas similares.
Solo en abril de 2026, WhatsApp informó a 200 usuarios que habían instalado una versión falsa de la app que resultó ser spyware de SIO. En 2021, fiscales italianos suspendieron el uso de productos de CY4GATE y SIO por fallos graves.
Un mercado en expansión y riesgos para la privacidad
El informe de Osservatorio Nessuno refleja la alta demanda de spyware por parte de agencias gubernamentales, lo que ha propiciado la proliferación de empresas dispuestas a desarrollar herramientas de vigilancia con distintos niveles de sofisticación. Aunque Morpheus es considerado de bajo costo por su mecanismo rudimentario, su existencia demuestra que el espionaje digital sigue evolucionando y representa una amenaza real para la privacidad y la seguridad personal, especialmente para activistas o disidentes políticos.
El caso destaca la urgencia de establecer controles y regulaciones más estrictos sobre el uso de estas tecnologías por parte de entidades estatales, para proteger los derechos fundamentales ante nuevas formas de vigilancia en el entorno digital.