El avanzado software espía mercenario Graphite, desarrollado por Paragon Solutions, ataca a periodistas a través de una sofisticada vulnerabilidad de clic cero en iOS para iPhone.
Se ha confirmado que al menos tres periodistas europeos son objetivos de ataques, y dos casos han sido verificados tras un análisis forense de los dispositivos. El spyware aprovechó una vulnerabilidad zero-click en iOS que permitía a los atacantes comprometer dispositivos sin la interacción del usuario.
Análisis de la vulnerabilidad de clic cero en iOS (CVE-2025-43200)
Vamos recibiendo más información sobre el análisis forense realizado por Citizen Lab sobre la vulnerabilidad que empezó a tener sus primeros objetivos durante este mes de abril. Dicho informe reveló que una cuenta de Mensajes (iMessage), a la que los investigadores denominaron “ATTACKER1”, se utilizó para implementar el exploit de cero clic contra múltiples objetivos.
La naturaleza sofisticada de este ataque significó que las víctimas no tenían forma de detectar la infección, ya que no requería interacción del usuario para ejecutarse.
El análisis técnico de los dispositivos comprometidos mostró conexiones a un servidor con la dirección IP 46.183.184[.]91, que los investigadores han vinculado a la infraestructura de spyware Graphite de Paragon Solutions.
El servidor estuvo alojado en el proveedor EDIS Global y continuó coincidiendo con el identificador “Fingerprint P1” de Citizen Lab hasta al menos el 12 de abril de 2025.
Noticias relacionadas
Apple confirmó que la vulnerabilidad fue corregida en iOS 18.3.1, pero los dispositivos que ejecutan versiones anteriores siguieron siendo vulnerables hasta principios de 2025.
“El ataque de clic cero implementado aquí se mitigó a partir de iOS 18.3.1”, señala el informe de Citizen Lab, destacando la importancia crítica de mantener los dispositivos actualizados contra amenazas tan sofisticadas.
Los primeros objetivos: periodistas y organizaciones de noticias
Entre los objetivos confirmados se encuentran un destacado periodista europeo que pidió el anonimato y el periodista italiano Ciro Pellegrino, responsable de la redacción de Nápoles de Fanpage[.]it.
Ambos recibieron notificaciones de Apple el 29 de abril de 2025, alertándolos sobre posibles ataques de spyware avanzado. Un análisis forense posterior confirmó la presencia de artefactos de spyware Graphite en sus dispositivos.
Francesco Cancellato, otro periodista de Fanpage[.]it, también fue notificado por WhatsApp sobre ser blanco del software espía de Paragon Solutions.
El ataque a varios periodistas de la misma organización de noticias sugiere un esfuerzo deliberado por comprometer las operaciones de Fanpage[.]it.
Los investigadores de Citizen Lab señalaron : “La identificación de un segundo periodista en Fanpage.it atacado por Paragon sugiere un esfuerzo por atacar a esta organización de noticias”.
El software espía podría potencialmente acceder a mensajes, datos de ubicación, fotos y activar micrófonos y cámaras sin el conocimiento de la víctima, lo que plantea graves riesgos de privacidad y seguridad para las fuentes y el trabajo de los periodistas.
COPASIR (Comitato Parlamentare per la Sicurezza della Repubblica), el comité parlamentario del gobierno italiano que supervisa los servicios de inteligencia, publicó un informe el 5 de junio de 2025, reconociendo el uso del software espía Graphite de Paragon contra ciertas personas, pero negó tener conocimiento de quién tenía como objetivo a Cancellato.
Esto ha planteado serias dudas sobre la supervisión y la rendición de cuentas en el uso de software espía mercenario.
Según se informa, Paragon Solutions ofreció ayudar en la investigación del caso Cancellato, una oferta rechazada por las autoridades italianas alegando preocupaciones de seguridad nacional.
El DIS (Dipartimento delle Informazioni per la Sicurezza) Departamento de Inteligencia de Seguridad italiana declaró que proporcionar a Paragon dicho acceso dañaría la reputación de Italia entre los servicios de seguridad internacionales.
Esta última campaña de spyware pone de relieve la creciente “crisis del spyware” que afecta a los periodistas de todo el mundo.
Los investigadores dijeron que la falta de rendición de cuentas a los objetivos de estos programas espía pone de relieve hasta qué punto los periodistas en Europa siguen estando sujetos a esta amenaza digital altamente invasiva.
Se recomienda que las personas que reciben advertencias de software espía de Apple, Meta, WhatsApp o Google las tomen en serio y busquen ayuda de expertos en organizaciones como la Línea de ayuda de seguridad digital de Access Now o el Laboratorio de seguridad de Amnistía Internacional.
