Cuando en enero de 2025 WhatsApp notificó a noventa periodistas y activistas que sus teléfonos habían sido comprometidos con el spyware Graphite de Paragon Solutions, la respuesta institucional fue la esperada: declaraciones de preocupación, promesa de investigar, silencio posterior. Dieciséis meses después, la investigación del Citizen Lab publicada esta semana confirma que la infraestructura de Graphite sigue operativa en al menos seis países europeos, incluyendo Italia, Hungría y Grecia.
Paragon Solutions no es NSO Group. Es una empresa israelí fundada en 2019, con sede en los Países Bajos para sus operaciones europeas, y con una reputación cuidadosamente construida como la alternativa "responsable" al mercado de spyware. Sus clientes declarados son exclusivamente gobiernos democráticos. Su argumento de venta es que solo venden a estados que respetan el estado de derecho, a diferencia de Pegasus. El informe de Citizen Lab pone en cuestión ambas afirmaciones de forma bastante directa.
Cómo funciona Graphite y por qué es difícil de detectar
Graphite opera como un zero-click exploit: no requiere que la víctima haga clic en ningún enlace ni instale nada. La infección se produce a través de vulnerabilidades en aplicaciones de mensajería, en el sistema de notificaciones del dispositivo o en el propio procesamiento de archivos multimedia. El teléfono se compromete sin que el usuario perciba nada anómalo.
Una vez instalado, Graphite tiene acceso a prácticamente todo: mensajes de WhatsApp, Signal y Telegram, correo electrónico, historial de llamadas, micrófono, cámara y geolocalización. A diferencia de versiones anteriores de Pegasus, Graphite está diseñado para dejar menos rastros forenses. Los indicadores de compromiso que el Citizen Lab identificó en los dispositivos de las víctimas en 2025 son diferentes de los que permiten detectar infecciones en dispositivos analizados ahora, lo que sugiere actualizaciones activas del software.
La metodología del Citizen Lab para identificar los servidores de comando y control de Graphite combina análisis de certificados TLS, patrones de red y correlación con los indicadores conocidos del caso WhatsApp. No es detección en el dispositivo: es cartografía de la infraestructura desde fuera, lo que explica por qué es difícil para los gobiernos afectados negar el uso del software cuando la infraestructura apunta a ellos.
Los casos documentados en Europa
Italia es el país con más casos documentados. El Citizen Lab identificó servidores de Graphite con firma italiana en correlación con el caso de Francesco Cancellato, director del medio de investigación Fanpage, que fue notificado por WhatsApp en enero de 2025 y cuyo dispositivo fue posteriormente analizado con resultado positivo. La fiscalía italiana abrió una investigación, que sigue abierta sin imputaciones.
En Hungría, el patrón se repite con una diferencia: el gobierno de Orbán ya tiene un historial documentado de uso de Pegasus contra periodistas y opositores políticos, confirmado por el Pegasus Project de 2021. La presencia de infraestructura de Graphite en el país no es sorpresa para nadie que haya seguido el caso. Lo que cambia es que ahora hay un segundo proveedor identificado.
Grecia es el tercer caso con evidencia técnica directa. El país tiene un precedente propio: el escándalo Predator de 2022 y 2023, donde se documentó el uso de spyware contra periodistas y el líder de la oposición. La vigilancia estatal a periodistas y activistas en Europa no es un fenómeno nuevo, pero la acumulación de casos con diferentes proveedores en el mismo periodo sugiere un mercado activo con demanda sostenida.
El problema regulatorio que Europa no está resolviendo
El Reglamento de Ciberresiliencia europeo, el AI Act y el RGPD crean un marco denso de obligaciones para empresas de tecnología. Ese mismo marco tiene un agujero llamativo: no existe ninguna regulación específica sobre la venta y uso de spyware comercial dentro de la UE por parte de gobiernos miembros.
El Parlamento Europeo creó en 2022 el comité PEGA específicamente para investigar el uso de Pegasus y spyware similar en Europa. El informe final de 2023 recomendó una moratoria sobre el uso de spyware comercial hasta que existiera un marco legal apropiado. Ningún Estado miembro ha implementado esa moratoria. La Comisión no tiene competencia directa para forzarla.
Paragon, por su parte, anunció en febrero de 2025 que rescindía el contrato con Italia tras hacerse público el caso Cancellato. Ese gesto es coherente con su posicionamiento de empresa "responsable": cuando el uso se hace público y genera escándalo, el contrato se cancela. Lo que no cambia es que la tecnología existe, funciona, y hay gobiernos dispuestos a pagar por ella. El rescate de contrato es relaciones públicas, no remedio. El mapa de amenazas de ciberseguridad en 2026 lo deja bastante claro: la amenaza más sofisticada no viene de actores criminales sino de estados con acceso a herramientas de nivel militar.
Qué puede hacer alguien que cree estar en el punto de mira
La respuesta honesta es que contra un zero-click exploit bien implementado, las medidas de higiene digital estándar no protegen. No hay enlace que no hacer clic porque no hay enlace. No hay app sospechosa que desinstalar porque la infección ocurrió antes de que tuvieras oportunidad de reaccionar.
Lo que sí tiene efecto es el modo de aislamiento (Lockdown Mode en iPhone, que limita drásticamente la superficie de ataque a costa de funcionalidad), mantener el sistema operativo absolutamente actualizado (la mayoría de zero-clicks explotan vulnerabilidades con parche disponible en dispositivos sin actualizar) y, en casos de alto riesgo, usar dispositivos separados para comunicaciones sensibles.
El Citizen Lab recomienda a cualquier persona que haya recibido notificación de WhatsApp sobre posible compromiso en 2025 que contacte con Access Now's Digital Security Helpline para análisis forense gratuito. La organización tiene capacidad técnica para analizar dispositivos iOS y Android en busca de indicadores de Graphite y de otros spyware comerciales conocidos.
Lo que este informe confirma, una vez más, es que el mercado de spyware comercial es un problema que Europa tiene y que no está resolviendo. Cada nuevo informe del Citizen Lab añade una entrada más a un catálogo que ya es largo, y las consecuencias políticas siguen siendo mínimas.
0 Comentarios