Las especificaciones técnicas y el material de marketing de los proveedores de servicios de vigilancia suelen mantenerse en secreto. La asimetría informativa resultante impide a los defensores y defensoras de los derechos humanos del sector de la ciberseguridad y a los grupos de la sociedad civil en situación de riesgo comprender todo el alcance de las amenazas a las que se enfrentan. El objetivo de esta investigación es proporcionar información concreta sobre las capacidades de vigilancia que puede ofrecer un proveedor en el mercado de la vigilancia comercial. Esperamos que este informe sirva de recurso a la comunidad de la ciberseguridad y a los principales proveedores de tecnología y dispositivos móviles.

Glosario de la industria de la vigilancia

TérminoDefinición
Programa espíaLos programas espía (spyware o software espía) son aquellos que permiten que un operador obtenga acceso encubierto a información de un sistema o dispositivo informático seleccionado. 
Programa espía altamente invasivoLos programas espía altamente invasivos son aquellos que pueden obtener acceso completo a todos los datos de un dispositivo seleccionado y cuyo funcionamiento no está limitado para ajustarse a la necesidad de proporcionalidad, o programas espía cuyo uso no puede auditarse o verificarse de forma independiente en caso de abuso.
Programa espía comercialLos programas espía comerciales o mercenarios son productos de vigilancia desarrollados y vendidos por actores empresariales a gobiernos que los emplean para llevar a cabo operaciones de vigilancia. Los sistemas de software espía comercial “de extremo a extremo” proporcionan un sistema completo para la infección de dispositivos y la recopilación de datos. Entre los componentes de estos sistemas figuran los exploits , empleados para instalar el programa espía, agentes del programa espía que se ejecutan en el dispositivo seleccionado tras la infección y sistemas de backend para reunir y analizar los datos de vigilancia recopilados.
Agente del programa espíaUn agente del programa espía (o implante) es el código de programa final que se instala en el ordenador o en el teléfono una vez que ha sido infectado. El agente es el que recoge datos del dispositivo, activa sensores como micrófonos y cámaras, y sube estos datos al operador del programa espía.
Vulnerabilidad de softwareUna vulnerabilidad de software es un defecto técnico o debilidad de un componente de software o de un fragmento de código que puede ser explotado por un atacante para burlar las defensas de seguridad.
ExploitUn exploit es un fragmento de software o de código que aprovecha (explota) una o más vulnerabilidades de software para obtener acceso a un dispositivo. En los dispositivos móviles modernos, los exploits deben eludir numerosas capas de defensas de seguridad y pueden ser sumamente complejos. Una cadena de exploits completa dirigida a las últimas versiones de dispositivos puede venderse por millones de euros.
Banda baseLa banda base son los componentes de hardware y software de un teléfono móvil que se encargan de comunicarse a través de una interfaz de radio con una torre o estación base de telefonía móvil.
Día ceroUna vulnerabilidad de día cero es un defecto del software que no conoce la empresa desarrolladora original y para el que no hay un parche de software. Un exploit de día cero que aproveche este defecto puede atacar incluso dispositivos totalmente parcheados y actualizados.
VectorVector es un término empleado por la industria de la vigilancia para designar las diferentes vías o técnicas que se pueden usar para enviar un exploit (ataque que explota una vulnerabilidad) a un dispositivo objetivo. Entre ellos figuran los que se conocen con el nombre de vectores de 1 clic o de 0 clics.
De 1 clicUn ataque de 1 clic requiere que la persona seleccionada como objetivo actúe de forma que se permita la infección de su dispositivo, normalmente abriendo un enlace malicioso.

Se utilizan varias técnicas de ingeniería social para engañar al objetivo y conseguir que abra el enlace, entre ellas la suplantación de sitios web legítimos o artículos de noticias. Si se hace clic en el enlace atacante, éste carga una cadena de exploits para, primero, afectar al navegador y, en último término, instalar el agente espía en el dispositivo seleccionado como objetivo.
De 0 clicsUn ataque de 0 clics es un término de marketing de la industria de la vigilancia que se aplica a cualquier vector que pueda infectar un dispositivo sin que sea necesaria una acción del usuario, como hacer clic en un enlace. Los ataques de 0 clics

totalmente remotos permiten la infección a través de Internet, a menudo aprovechando vulnerabilidades en aplicaciones de mensajería populares como iMessage o WhatsApp. Los ataques de 0 clics

no remotos o tácticos pueden infectar silenciosamente dispositivos cuando el atacante tiene acceso privilegiado a la red o está físicamente cerca del objetivo.
Inyección de redLa inyección de red es una técnica en la que se inyectan paquetes de datos de Internet en el tráfico de Internet de un objetivo para bloquear, interceptar o manipular dicho tráfico.
Hombre en el medio (man-in-the-middle, MitM)Un hombre en el medio es un atacante que puede leer, modificar y bloquear el tráfico de red de un objetivo. Se puede usar una función MitM para censurar al objetivo o perpetrar ataques de inyección de red.
Hombre a un lado (man-on-the-side, MotS)Un hombre a un lado es un atacante que puede leer y monitorear el tráfico de la red, pero no puede bloquearlo ni modificarlo directamente. Esta situación es habitual cuando el atacante tiene acceso a una copia o un espejo del tráfico que se envía a través de un enlace de fibra óptica. Los ataques de inyección de red pueden llevarse a cabo también desde esta posición en la red.
Infección tácticaUn vector de infección táctica permite al atacante atacar dispositivos situados en estrecha proximidad física. Se pueden usar redes de wifi maliciosas y estaciones base de telefonía móvil para redirigir silenciosamente un objetivo cercano a un enlace de exploit. Los atacantes también pueden aprovechar vulnerabilidades del software de la banda base del móvil y de las interfaces de wifi para infectar dispositivos próximos usando paquetes de radio enviados por aire.
Infección estratégicaInfección estratégica es un término comercial que se refiere a sistemas de inyección de red desplegados en un proveedor de servicio de Internet (ISP, por sus siglas en inglés) o pasarela nacional de Internet que se pueden usar para enviar programas espía. Estos sistemas pueden interceptar peticiones no encriptadas enviadas por un objetivo y redirigir silenciosamente el dispositivo de éste a un enlace de exploit.
SS7Signaling System Number 7 es un conjunto de protocolos y estándares de señalización que se usan en las redes de telefonía para llevar a cabo funciones como el establecimiento de llamada, el enrutamiento y la itinerancia entre proveedores de telefonía móvil nacionales e internacionales. El protocolo se diseñó sin defensas de seguridad modernas y ha sido aprovechado por proveedores comerciales de vigilancia para realizar diversos ataques, como el seguimiento de la localización y la interceptación de comunicaciones.
Denegación de servicio distribuido (DDoS)Una denegación de servicio distribuido es un ataque encaminado a interrumpir el funcionamiento de un sitio web o de una red sobrecargando el sistema con demasiado tráfico o demasiadas peticiones. Este tipo de ataque puede hacer que un sitio web no esté disponible para visitantes legítimos.
AvatarUn avatar es una identidad o cuenta falsa de Internet que se usa para recoger información de plataformas online o para interactuar con un usuario o usuaria objetivo. Estos perfiles aparentemente reales pueden usarse para enviar enlaces de ataque selectivos o difundir información online a través de redes sociales o servicios de mensajería.