El espejismo del spyware 'ético': Por qué Paragon está ignorando a los fiscales italianos

Mucho antes de que un periodista reciba una notificación de Apple o WhatsApp advirtiéndole de un ataque patrocinado por el Estado, se cierra un trato en una oficina tranquila. Estos acuerdos —valorados en millones— se negocian con la moneda de nuestras vidas digitales. Pero mientras los discursos de ventas son impecables y los folletos de marketing prometen "seguridad y ética", la realidad de la industria del spyware a menudo se parece más a un acto de escapismo.

Durante más de un año, los fiscales italianos han estado persiguiendo a un fantasma llamado Paragon Solutions. Esta empresa israelí-estadounidense, en su día aclamada como la alternativa "justa" al polémico NSO Group, supuestamente ha guardado silencio. A pesar de las puestas en escena públicas anteriores en las que la empresa afirmaba querer ayudar a investigar las acusaciones de hackeo, Paragon no ha respondido a las peticiones judiciales formales de información. Como periodista que pasa sus días comunicándose a través de túneles cifrados y verificando código, este patrón de "rendición de cuentas hasta que realmente importa" es un escenario que he visto repetirse con demasiada frecuencia.

Un golpe a medianoche en Milán

El escándalo no empezó con un golpe físico, sino digital. A finales de 2023, WhatsApp y Apple enviaron notificaciones a un grupo de periodistas y activistas italianos. El mensaje era escalofriante: sus dispositivos habían sido blanco de un spyware de grado gubernamental. Entre los objetivos se encontraban Francesco Cancellato y Ciro Pellegrino, periodistas del sitio de noticias Fanpage, y miembros de Mediterranea Saving Humans, una organización sin fines de lucro dedicada al rescate de migrantes.

El análisis forense de WhatsApp apuntó directamente a "Graphite", una sofisticada herramienta de vigilancia desarrollada por Paragon Solutions. En el mundo del espionaje digital, Graphite es una llave maestra digital. No se limita a observar lo que haces; extrae datos de la nube, eludiendo muchas de las medidas de seguridad tradicionales en las que confían los usuarios para mantener la privacidad de sus conversaciones.

Cuando estalló la noticia, la opinión pública italiana se indignó con razón. Los fiscales de Milán y Roma abrieron investigaciones. Al principio, Paragon adoptó una postura audaz, casi desafiante. Señalaron públicamente al gobierno italiano, alegando que se habían ofrecido a ayudar a investigar si un periodista era hackeado, pero que fueron rechazados. En un movimiento de teatro corporativo de alto nivel, Paragon incluso anunció que cancelaba sus contratos con las agencias de inteligencia interna y externa de Italia, AISI y AISE. Querían que el mundo creyera que eran demasiado éticos para trabajar con un gobierno que no seguía las reglas.

El silencio del hacker "ético"

Avanzamos hasta el día de hoy, abril de 2026, y esa postura de principios parece más bien un decorado de escenario. Los fiscales italianos, que buscan entender cómo y por qué se utilizó Graphite contra civiles, enviaron solicitudes formales de información a Paragon a través del gobierno israelí. Un año después, el silencio es ensordecedor. Sin datos, sin registros, sin cooperación.

Esta falta de transparencia es un problema sistémico en el sector de la inteligencia privada. Desde el punto de vista del cumplimiento, estas empresas suelen esconderse tras la "soberanía" de sus naciones anfitrionas. En este caso, el gobierno israelí —que debe aprobar las licencias de exportación de estas herramientas— parece ser el cuello de botella. Ya hemos visto este guion antes. La Audiencia Nacional de España se vio obligada a archivar su investigación sobre el espionaje a políticos españoles con el spyware Pegasus de NSO porque las autoridades israelíes simplemente se negaron a cooperar.

En el mundo jurídico, solemos hablar de "extraterritorialidad": la idea de que un país puede ejercer su autoridad más allá de sus fronteras. Pero cuando se trata de la industria del spyware, las fronteras están construidas con un cristal grueso y opaco. Puedes ver el daño al otro lado, pero no puedes alcanzar a la persona que sostiene el martillo.

La paradoja estadounidense

Lo que hace que el caso Paragon sea particularmente matizado es el profundo vínculo de la empresa con los Estados Unidos. Mientras que NSO Group fue incluida en la lista negra del Departamento de Comercio de EE. UU., Paragon ha logrado mantener sus zapatos limpios en Washington. De hecho, la empresa mantiene un contrato activo con el Servicio de Inmigración y Control de Aduanas de EE. UU. (ICE).

El ICE ha comunicado a los legisladores que su brazo policial, Investigaciones de Seguridad Nacional (HSI), utiliza Graphite para rastrear a narcotraficantes y terroristas. Esto crea un contraste discordante: la misma herramienta utilizada para deportar a miles de personas en los EE. UU. está siendo investigada por atacar a activistas de derechos humanos y periodistas en Europa.

Esta es la paradoja del mercado de tecnología de doble uso. Una herramienta vendida como arma contra "los malos" se utiliza casi inevitablemente para silenciar a "los inconvenientes". Cuando una empresa afirma tener un "comité ético" o un "escrutinio riguroso", debemos ser escépticos. Sin normas internacionales vinculantes, transparentes y exigibles, la "ética" es solo la forma que tiene el departamento de marketing de decir "confía en nosotros".

La privacidad como derecho fundamental, no como una función

La primera ministra de Italia, Giorgia Meloni, ha negado sistemáticamente que su gobierno estuviera detrás del hackeo a los periodistas de Fanpage. Sin embargo, una investigación forense de la fiscalía confirmó recientemente que el teléfono de Cancellato fue efectivamente comprometido. Si el gobierno no lo hizo, y la empresa que fabricó la herramienta no dice quién lo hizo, nos quedamos en un peligroso vacío de rendición de cuentas.

Para las víctimas, este no es un debate abstracto sobre ciberpolítica. Para los activistas de Mediterranea Saving Humans, se trata de la seguridad de sus operaciones y de las vidas de las personas que intentan salvar. Cuando el spyware se utiliza contra las ONG, convierte sus huellas digitales en un rastro de migas de pan para quienes quieren hacerles daño.

En última instancia, la saga Paragon demuestra que no podemos confiar en las "buenas intenciones" de los fabricantes de tecnología de vigilancia. El cumplimiento no debería ser una opción; debería ser un requisito previo para existir en el mercado. Cuando una empresa ignora una solicitud judicial de un aliado democrático, no se le debería permitir mantener su asiento en la mesa del comercio internacional.

Protegiendo su perímetro digital

Mientras esperamos a que el panorama normativo se ponga al día con la realidad del espionaje digital, existen medidas prácticas que los individuos —especialmente aquellos en profesiones de alto riesgo— pueden tomar para minimizar su vulnerabilidad. Piense en su higiene digital no como una tarea, sino como una armadura.

• Bloquee su nube: El spyware como Graphite suele atacar las copias de seguridad en la nube. Si no necesita que sus mensajes se guarden en la nube, desactive esa función. Utilice servicios cifrados de extremo a extremo que no almacenen metadatos en sus servidores.
• Cierre la puerta con hardware: Para las cuentas que lo admitan, utilice llaves de seguridad físicas (como Yubikeys) para la autenticación de dos factores. Esto hace que sea significativamente más difícil para un atacante secuestrar sus cuentas, incluso si tienen su contraseña.
• El poder del reinicio: Muchas cepas de spyware moderno son "no persistentes", lo que significa que viven en la memoria temporal del teléfono y se borran cuando el dispositivo se reinicia. Desarrollar el hábito de reiniciar diariamente puede ser un elemento disuasorio sencillo pero eficaz.
• Audite sus permisos: Revise periódicamente qué aplicaciones tienen acceso a su micrófono, cámara y ubicación. Si una aplicación no necesita un permiso para funcionar, revóquelo. La minimización digital es su mejor defensa.

Es posible que nunca obtengamos una respuesta directa de Paragon, pero podemos hacer que los "Graphite" del mundo sean mucho menos efectivos siendo proactivos con nuestros propios derechos digitales.

Fuentes:

• Reglamento General de Protección de Datos (RGPD): Artículo 5 (Principios relativos al tratamiento de datos personales) y Artículo 32 (Seguridad del tratamiento).
• Tribunal Europeo de Derechos Humanos: Caso Szabó y Vissy v. Hungría (relativo a la necesidad de supervisión en la vigilancia).
• Código de Procedimiento Penal italiano: Artículos relativos a las Comisiones Rogatorias Internacionales y la cooperación judicial.
• Wired Italia: Reportaje de investigación sobre el escándalo italiano Paragon/Graphite.
• Citizen Lab: Análisis técnico de los despliegues del spyware Graphite.

Descargo de responsabilidad: Este artículo tiene fines informativos y periodísticos únicamente y no constituye asesoramiento legal formal. Las leyes de privacidad varían significativamente según la jurisdicción, y debe consultar con un profesional legal cualificado sobre cuestiones específicas de cumplimiento o derechos digitales.