· Jonathan Izquierdo · Ciberseguridad ·
Paragon Graphite: el spyware que espía WhatsApp sin que toques nada
El spyware israelí Graphite infecta móviles con zero-click vía WhatsApp e iMessage. Su panel de control se filtró en LinkedIn en febrero 2026. Análisis forense completo.
90 usuarios de WhatsApp recibieron una notificación de Meta en enero de 2025: un gobierno había usado spyware para espiar sus comunicaciones. Sin clic, sin enlace, sin archivo adjunto. Solo estar en WhatsApp bastó para que Graphite, el spyware de la empresa israelí Paragon Solutions, se colara en sus dispositivos. Y en febrero de 2026, el propio abogado de Paragon filtró accidentalmente en LinkedIn el panel de control de Graphite, confirmando lo que los investigadores sospechaban.
Graphite es la alternativa que gobiernos de todo el mundo están comprando tras la caída en desgracia de Pegasus (NSO Group), que fue condenada a pagar 167 millones de dólares por explotar WhatsApp. Paragon se vendía como la opción «ética» del mercado de spyware. Los hechos cuentan otra historia: periodistas espiados, activistas vigilados y un gobierno europeo (Italia) que tuvo que admitir el uso de Graphite contra sus propios ciudadanos.
Como perito informático forense, este caso ilustra un problema creciente: la evidencia digital en tu WhatsApp puede estar comprometida por herramientas de vigilancia gubernamental, y detectarlo requiere un análisis forense especializado que la mayoría de usuarios no puede realizar por sí misma.
TL;DR - Resumen ejecutivo
En 60 segundos:
- Paragon Solutions: empresa israelí de spyware, competidora de NSO Group (Pegasus)
- Graphite: spyware zero-click que infecta vía WhatsApp e iMessage sin interacción del usuario
- 90 cuentas de WhatsApp notificadas por Meta como objetivo de Paragon (enero 2025)
- Periodistas confirmados: Ciro Pellegrino y Francesco Cancellato (Fanpage.it, Italia)
- CVE-2025-43200: vulnerabilidad zero-click en iMessage, parcheada en iOS 18.3.1
- Febrero 2026: filtración del panel de control Graphite en LinkedIn por el abogado de Paragon
- Italia: primer gobierno europeo que admite usar Graphite contra activistas
- Detección: requiere análisis forense de logs del dispositivo (Citizen Lab usó «Fingerprint P1»)
Qué es Paragon y por qué importa
Paragon Solutions es una empresa israelí fundada en 2019 por Ehud Schneorson, excomandante de la Unidad 8200 (la NSA israelí). Su producto estrella es Graphite, un spyware que permite interceptar comunicaciones cifradas en aplicaciones como WhatsApp, Signal, Telegram e iMessage.
La diferencia con NSO Group (creadora de Pegasus) es que Paragon se posicionaba como la opción «responsable»: vendía solo a democracias aliadas y prometía no espiar periodistas ni activistas. Esa narrativa se desmoronó cuando Citizen Lab confirmó que Graphite había sido usado contra periodistas europeos.
| Característica | Pegasus (NSO Group) | Graphite (Paragon) |
|---|---|---|
| Tipo de ataque | Zero-click (iMessage, WhatsApp) | Zero-click (iMessage, WhatsApp) |
| Plataformas | iOS, Android | iOS, Android |
| CVE conocido | Múltiples (2019-2024) | CVE-2025-43200 (iMessage) |
| Clientes conocidos | 40+ gobiernos | Italia, otros no confirmados |
| Acción legal | Multa 167M USD (WhatsApp vs NSO) | Contrato italiano cancelado |
| Detección | Amnesty Tech MVT | Citizen Lab Fingerprint P1 |
| Coste estimado | 500K-2M USD/objetivo | No público |
Cómo funciona el ataque zero-click
Lo más inquietante de Graphite es que no necesita que hagas nada. No hay enlace malicioso, no hay archivo adjunto, no hay mensaje sospechoso. El ataque funciona así:
- Vector de entrada: un mensaje invisible llega a tu WhatsApp o iMessage. No aparece en tu bandeja de entrada
- Explotación: el mensaje dispara una vulnerabilidad en el procesamiento de contenido de la app (zero-click). En el caso documentado, la vulnerabilidad CVE-2025-43200 afectaba a iMessage en iOS 18.2.1
- Instalación: Graphite se instala en el dispositivo sin dejar rastro visible para el usuario
- Exfiltración: el spyware puede acceder a mensajes cifrados, llamadas, ubicación, micrófono, cámara y archivos del dispositivo
- Comunicación C2: los datos se envían a un servidor de comando y control operado por el cliente gubernamental
Zero-click = sin interacción
A diferencia del phishing o el malware tradicional, un ataque zero-click no requiere que hagas clic en nada. Simplemente recibes un mensaje procesado por la app en segundo plano, y tu dispositivo queda comprometido. No hay forma de prevenirlo más allá de mantener el sistema actualizado.
La filtración del panel de control (febrero 2026)
El 11 de febrero de 2026, el investigador de ciberseguridad Jurre van Bergen descubrió algo insólito: el abogado general de Paragon había publicado en LinkedIn una imagen que mostraba el panel de control de Graphite. La publicación fue eliminada rápidamente, pero no antes de que fuera capturada y analizada.
El panel revelaba:
- Interfaz de interceptación activa: monitorización en tiempo real de comunicaciones cifradas
- Múltiples aplicaciones objetivo: WhatsApp, Signal, Telegram y otras apps de mensajería
- Logs de operaciones: registros de actividad de interceptación con timestamps
- Control granular: capacidades de selección de objetivos y tipos de datos a extraer
Esta filtración confirmó lo que Citizen Lab llevaba meses documentando: Graphite es una herramienta de vigilancia masiva que opera activamente contra usuarios de WhatsApp y otras aplicaciones cifradas.
Periodistas y activistas espiados
Los casos confirmados por Citizen Lab
Citizen Lab, el laboratorio de la Universidad de Toronto especializado en vigilancia digital, realizó análisis forense de los dispositivos de las víctimas y confirmó con «alta confianza» la presencia de Graphite:
| Víctima | Perfil | Plataforma | Fecha infección | Confirmación |
|---|---|---|---|---|
| Ciro Pellegrino | Periodista, Fanpage.it (Italia) | iMessage / iPhone | Ene-Feb 2025 | Citizen Lab (alta confianza) |
| Francesco Cancellato | Periodista, Fanpage.it (Italia) | Ene 2025 | WhatsApp notification | |
| Luca Casarini | Activista rescate marítimo | Android | 2024-2025 | Gobierno italiano admitió |
| Giuseppe Caccia | Activista derechos humanos | Android | 2024-2025 | Gobierno italiano admitió |
| Periodista europeo (anónimo) | Medio internacional | iMessage / iPhone | Ene-Feb 2025 | Citizen Lab (alta confianza) |
La reacción de Italia
El caso más significativo es el de Italia. El comité parlamentario de supervisión de inteligencia (COPASIR) investigó el uso de Graphite y confirmó que el gobierno italiano había autorizado el uso de Graphite contra Casarini y Caccia. Sin embargo, no pudo determinar quién autorizó la vigilancia contra los periodistas.
Paragon respondió cancelando su contrato con Italia, alegando que las autoridades italianas rechazaron su oferta de investigar el posible abuso. Es la primera vez que un proveedor de spyware corta relaciones con un cliente por uso indebido.
Indicadores de compromiso (IOC) para análisis forense
Citizen Lab documentó los siguientes indicadores técnicos:
| Indicador | Valor | Contexto |
|---|---|---|
| Servidor C2 | 46.183.184[.]91 | EDIS Global VPS, activo hasta abril 2025 |
| Fingerprint P1 | Patrón de comunicación específico | Atribuido a infraestructura Paragon |
| BIGPRETZEL | Indicador Android | Fechas de infección en dispositivos Android |
| SMALLPRETZEL | Indicador forense | Encontrado en dispositivo de David Yambio |
| ATTACKER1 | Cuenta iMessage | Usada en ambos casos de periodistas (vincula operaciones) |
| CVE-2025-43200 | Zero-click iMessage | Parcheado en iOS 18.3.1 |
Para profesionales forenses
Los indicadores BIGPRETZEL y SMALLPRETZEL son específicos de la infraestructura Paragon documentada por Citizen Lab en su investigación de junio 2025. La detección en dispositivos Android es más difícil que en iOS debido a la menor disponibilidad de logs del sistema. Se recomienda análisis con herramientas como MVT (Mobile Verification Toolkit) de Amnesty Tech.
Cómo saber si tu dispositivo está comprometido
Si sospechas que puedes ser objetivo de spyware gubernamental —periodista, abogado, activista, empresario con información sensible—, estos son los pasos que recomiendo:
Implicaciones legales en España
El uso de spyware como Graphite tiene consecuencias legales directas en el ordenamiento jurídico español:
- Art. 197 CP (descubrimiento de secretos): interceptar comunicaciones sin autorización judicial se castiga con prisión de 1 a 4 años y multa de 12 a 24 meses
- Art. 536 CP (interceptación por autoridad/funcionario): si un agente público intercepta comunicaciones sin autorización judicial, la pena es de inhabilitación absoluta de 6 a 12 años
- Art. 11.1 LOPJ: las pruebas obtenidas mediante spyware sin autorización judicial son nulas de pleno derecho y no pueden utilizarse en ningún procedimiento
- Directiva (UE) 2016/680: el tratamiento de datos personales con fines policiales requiere base legal específica y proporcionalidad
Si eres abogado y tu cliente ha sido objetivo de spyware, un informe pericial informático que documente la infección puede ser decisivo para anular pruebas obtenidas ilegalmente o para fundamentar una demanda por vulneración de derechos fundamentales.
¿Sospechas que tu móvil ha sido comprometido?
Analizo dispositivos iOS y Android buscando indicadores de spyware (Graphite, Pegasus, Predator). Informe pericial con validez judicial. Consulta gratuita y confidencial.
Más informaciónReferencias y fuentes
- Citizen Lab (2025). “Graphite Caught: First Forensic Confirmation of Paragon’s iOS Mercenary Spyware Finds Journalists Targeted”. 12 junio 2025. https://citizenlab.ca/research/first-forensic-confirmation-of-paragons-ios-mercenary-spyware-finds-journalists-targeted/
- Citizen Lab (2025). “Virtue or Vice? A First Look at Paragon’s Proliferating Spyware Operations”. https://citizenlab.ca/research/a-first-look-at-paragons-proliferating-spyware-operations/
- Security Week (2025). “Paragon ‘Graphite’ Spyware Linked to Zero-Click Hacks on Newest iPhones”. https://www.securityweek.com/paragon-graphite-spyware-linked-to-zero-click-hacks-on-newest-iphones/
- CyberSecurity News (2026). “Israeli Spyware Firm Exposes Paragon Spyware Control Panel on LinkedIn”. Febrero 2026. https://cybersecuritynews.com/paragon-spyware-control-panel-on-linkedin/
- Security Affairs (2025). “Paragon Graphite Spyware used a zero-day exploit to hack at least two journalists’ iPhones”. https://securityaffairs.com/178940/mobile-2/paragon-graphite-spyware-used-a-zero-day-exploit.html
- Bitdefender (2025). “WhatsApp Patches Zero-Click Spyware Attack Vector on Android”. https://www.bitdefender.com/en-us/blog/hotforsecurity/whatsapp-zero-click-spyware-attack-android
- Infosecurity Magazine (2025). “European Journalists Targeted by Paragon Spyware, Citizen Lab Confirms”. https://www.infosecurity-magazine.com/news/european-journalists-paragon/
- Al Mayadeen (2026). “Israeli spyware firm accidentally exposes spyware control panel”. https://english.almayadeen.net/news/politics/israeli-spyware-firm-s-linkedin-slip-exposes-spyware-control
- MITRE (2025). CVE-2025-43200 — iMessage zero-click vulnerability exploited by Paragon Graphite.
- Ley Orgánica 10/1995, Código Penal español. Arts. 197, 536 — Delitos contra la intimidad y las comunicaciones.
- Ley Orgánica 6/1985 del Poder Judicial (LOPJ). Art. 11.1 — Nulidad de pruebas obtenidas vulnerando derechos fundamentales.
- Amnesty International (2021). “Mobile Verification Toolkit (MVT)”. Herramienta forense open source para detectar spyware. https://github.com/mvt-project/mvt
Preguntas relacionadas
¿Qué diferencia hay entre Pegasus y Graphite?
Ambos son spyware zero-click israelíes que atacan WhatsApp e iMessage, pero de empresas distintas. Pegasus es de NSO Group (condenada a pagar 167 millones USD) y Graphite es de Paragon Solutions. Graphite se presentaba como la alternativa «ética», pero Citizen Lab confirmó que se usó contra periodistas europeos. Técnicamente, ambos tienen capacidades similares de interceptación total del dispositivo.
¿Puede Graphite espiar WhatsApp cifrado de extremo a extremo?
Sí. El cifrado de extremo a extremo protege los mensajes en tránsito (de tu móvil al del destinatario), pero Graphite opera dentro del dispositivo, después de que el mensaje se descifra para mostrarse en pantalla. Es como tener a alguien mirando tu pantalla por encima del hombro, pero de forma invisible.
¿Cómo sé si mi móvil tiene spyware instalado?
Los síntomas visibles (batería baja, calentamiento) no son fiables con spyware moderno como Graphite, diseñado para ser indetectable. La única forma confiable es un análisis forense del dispositivo que examine los logs del sistema buscando indicadores de compromiso (IOC) específicos. Apple envía notificaciones a usuarios que detecta como objetivos de spyware mercenario.
¿Qué hago si recibo una notificación de Apple o WhatsApp sobre spyware?
No la ignores. Tanto Apple como Meta/WhatsApp notifican a usuarios que detectan como objetivo de spyware gubernamental. Si recibes una, contacta inmediatamente con un perito informático forense para analizar tu dispositivo, preservar la evidencia y valorar acciones legales. En España, el espionaje sin autorización judicial es un delito del art. 197 CP.
¿Es legal que un gobierno use Graphite contra sus ciudadanos?
En España, la interceptación de comunicaciones requiere autorización judicial motivada (art. 588 ter LECrim). Un gobierno que use spyware sin esta autorización estaría cometiendo un delito del art. 536 CP (inhabilitación absoluta de 6 a 12 años). Además, las pruebas obtenidas serían nulas (art. 11.1 LOPJ).
¿Se pueden anular pruebas judiciales obtenidas con spyware?
Sí. Si un informe pericial demuestra que la evidencia fue obtenida mediante spyware instalado sin autorización judicial, el art. 11.1 de la Ley Orgánica del Poder Judicial establece que esa prueba es nula de pleno derecho. Un caso similar es la sentencia de Valencia que anuló pruebas de EncroChat por falta de cadena de custodia.
