Graphite, Pegasus, Predator: por qué el spyware comercial sigue funcionando, y qué lo detiene realmente

En enero de 2025, WhatsApp notificó a aproximadamente 90 usuarios en más de dos docenas de países que sus dispositivos habían sido atacados con Graphite, una herramienta de vigilancia desarrollada por la empresa israelí Paragon Solutions. Entre los afectados: periodistas, trabajadores humanitarios y activistas de la sociedad civil. Para abril, los analistas forenses de Citizen Lab de la Universidad de Toronto habían confirmado lo que el propio equipo de seguridad de Apple ya había identificado: iPhones con el software completamente actualizado habían sido comprometidos. Apple publicó el parche en iOS 18.3.1, con el identificador CVE-2025-43200. Ese parche cerró ese exploit en particular. No cerró la categoría.

América Latina no es ajena a esta amenaza. Los gobiernos de la región enfrentan desde hace años el problema del espionaje digital con herramientas de nivel estatal: Pegasus fue utilizado en México para vigilar a periodistas y defensores de derechos humanos, documentado extensamente por el Citizen Lab y organizaciones como R3D. Predator ha aparecido en investigaciones que involucran múltiples países. Graphite representa la siguiente generación de este mercado: más sofisticado, más difícil de detectar, y activamente adquirido por gobiernos democráticos en todo el mundo, incluidos varios con presencia significativa en la región.

El ciclo de parches es una característica del modelo de negocio de estos proveedores, no una solución al problema.

El exploit de cero clics: lo que significa en la práctica

El término "cero clics" (zero-click) se ha vuelto suficientemente común en la cobertura de seguridad como para perder su significado preciso. Significa lo siguiente: la persona que es el objetivo no hizo nada incorrecto.

No hizo clic en ningún enlace. No abrió ningún archivo. No instaló ninguna aplicación. En los casos de iMessage confirmados por el Citizen Lab en 2025, la infección ocurrió cuando un mensaje diseñado específicamente con el ataque en mente llegó al dispositivo. El objetivo no necesitó abrirlo, verlo ni interactuar con él de ninguna manera. El subsistema de iOS que procesó los datos entrantes contenía una vulnerabilidad. Graphite la explotó. El dispositivo quedó comprometido antes de que el usuario supiera que había recibido un mensaje.

Un segundo vector de entrega utilizó el canal de procesamiento de WhatsApp de manera comparable. WhatsApp interrumpió la campaña en diciembre de 2024 y envió una carta de cese y desistimiento a Paragon. Esa carta no constituye un control técnico.

La implicación operativa es significativa: el comportamiento de seguridad habitual — contraseñas robustas, precaución con los enlaces, software actualizado — no proporciona protección alguna contra un exploit de cero clics bien implementado. La superficie de ataque es el manejo de datos entrantes por parte del sistema operativo. El usuario no es parte de la ecuación.

Qué puede hacer Graphite una vez dentro del dispositivo

En febrero de 2026, el asesor jurídico general de Paragon publicó capturas de pantalla del panel de control del operador de Graphite en LinkedIn. Las imágenes fueron capturadas por investigadores de seguridad antes de ser eliminadas. Mostraban registros de interceptación activos, datos de sesión en tiempo real e interfaces de monitoreo para aplicaciones de mensajería cifrada, incluidas WhatsApp y Signal.

Esta es la capacidad que vuelve a Graphite, y herramientas similares, cualitativamente distintas de la interceptación de red tradicional. El cifrado protege los datos en tránsito. Graphite opera en el propio dispositivo, leyendo los mensajes antes de que sean cifrados al enviarse y después de que sean descifrados al recibirse. El cifrado nunca es derrotado. Simplemente es eludido.

Las capacidades confirmadas a través de múltiples análisis forenses incluyen: mensajes de aplicaciones cifradas, registros de llamadas, fotografías, contactos, datos de ubicación GPS, y acceso al micrófono y la cámara. Cualquier persona que se haya comunicado con un dispositivo comprometido también tuvo esas comunicaciones expuestas; convirtiendo a colegas, fuentes y contrapartes en víctimas indirectas de una infección que no tenían forma de detectar ni prevenir.

Paragon ha posicionado a Graphite como una herramienta más acotada que Pegasus del Grupo NSO: acceso a aplicaciones de mensajería en lugar de control total del dispositivo. La distinción no sobrevivió a la filtración de LinkedIn, que mostró acceso integral a nivel del sistema operativo. Los investigadores independientes del Citizen Lab han señalado lo mismo: una vez que el spyware logra persistencia a nivel del sistema operativo, el alcance del acceso lo determinan las decisiones del operador, no el posicionamiento comercial del proveedor.

Por qué los dispositivos convencionales no pueden protegerse contra esta amenaza

Esta es la parte del análisis que con mayor frecuencia está ausente en la cobertura de incidentes individuales de spyware.

iOS y Android son sistemas operativos de uso general diseñados para el consumidor masivo. Fueron concebidos para ejecutar una variedad casi ilimitada de aplicaciones, procesar datos provenientes de fuentes externas arbitrarias, mantener conectividad permanente y ser accesibles para una población global de usuarios no técnicos. Estos son objetivos de diseño legítimos. Producen dispositivos en los que miles de millones de personas confían eficazmente.

También producen una superficie de ataque que es, por necesidad arquitectónica, de gran amplitud. Cada aplicación que puede instalarse es un vector de ataque potencial. Cada proceso del sistema que maneja datos entrantes — mensajes, llamadas, notificaciones, imágenes — es un objetivo para la investigación de vulnerabilidades. Cada API para desarrolladores que permite la comunicación entre aplicaciones es una vía de explotación posible. iOS y Android no son inseguros porque Apple y Google sean negligentes. Están estructuralmente expuestos porque sus requisitos de diseño y sus requisitos de seguridad se encuentran en tensión fundamental.

Los proveedores de spyware comercial explotan esa tensión de manera profesional y sistemática. El Grupo de Análisis de Amenazas de Google rastrea actualmente más de 40 empresas en este mercado. En enero de 2025, el entonces director del organismo de contrainteligencia del gobierno de los Estados Unidos declaró que casi 100 naciones han adquirido spyware móvil avanzado. La capacidad que antes requería los recursos de una agencia de inteligencia nacional es hoy una línea de adquisición gubernamental.

Las actualizaciones de software abordan vulnerabilidades específicas y conocidas. No modifican la arquitectura subyacente. Una versión parcheada de iOS sigue siendo iOS — sigue siendo un sistema operativo de uso general, sigue procesando datos entrantes de fuentes arbitrarias, sigue presentando la misma categoría de superficie de ataque al siguiente exploit en desarrollo.

Cómo se ve una arquitectura diferente

El Sotera SecurePhone no ejecuta iOS ni Android. Ejecuta Green Hills Software Integrity 178B, un sistema operativo de tiempo real (RTOS) desplegado en aeronaves militares B-2, F-16, F-22 y F-35, en infraestructura nuclear de los Estados Unidos y en sistemas espaciales de la NASA y el Departamento de Defensa. No es un dispositivo de consumo reforzado. Es un dispositivo de comunicaciones seguras construido específicamente para una función precisa y delimitada: voz y mensajería cifradas entre partes autorizadas.

Las implicaciones para los vectores de entrega de Graphite son directas. El exploit de cero clics de iMessage apunta al manejo de datos de iMessage en iOS. iMessage no funciona en el SecurePhone. El exploit de WhatsApp apunta al canal de procesamiento de WhatsApp. WhatsApp no está instalado en el SecurePhone y no puede instalarse — no existe capacidad de instalación de aplicaciones por diseño.

De manera más fundamental, todos los datos entrantes en el SecurePhone son recibidos y procesados dentro de un compartimento de saneamiento aislado antes de llegar a cualquier otra parte del sistema. Cualquier falla durante la decodificación se trata como un evento de contaminación: todos los sistemas que interactuaron con los datos son saneados. Los datos alcanzan las áreas limpias del sistema únicamente después de ser validados. Esta arquitectura no es una configuración. No puede desactivarse. Es la manera en que el dispositivo procesa el entorno.

Wi-Fi, Bluetooth y las conexiones de datos por USB están deshabilitados por diseño. No existe copia de seguridad en la nube, carga de diagnósticos ni capacidad de compartir datos. Una técnica documentada de Graphite consiste en extraer copias de seguridad en la nube — no hay copias de seguridad a las que acceder.

El SecurePhone fue validado por Netragard, una organización de evaluación de seguridad con una trayectoria comprobada en compromisos con el Gobierno de los Estados Unidos y clientes empresariales. Las afirmaciones validadas incluyen: los flujos de voz y los mensajes entre dos SecurePhones no pueden ser interceptados ni descifrados por un tercero; el software no autorizado no puede ser descargado ni ejecutado de forma remota; los datos del usuario en el almacenamiento flash no pueden ser alterados remotamente.

En 2024, el Sotera SecurePhone fue incluido en el Catálogo CPSTIC publicado por el Centro Nacional de Inteligencia (CNI) de España, autorizando su uso por parte de entidades públicas españolas. Es el único dispositivo acreditado con nivel de seguridad "alto" para comunicaciones móviles, VoIP y mensajería instantánea reconocido en ese marco.

El encuadre correcto

La cobertura mediática de incidentes individuales de spyware tiende a la misma estructura narrativa: una herramienta específica, una víctima específica, un cliente gubernamental específico, un parche específico. Esa estructura es precisa pero incompleta. Sugiere implícitamente que el problema es el exploit particular — que una mejor gestión de parches, equipos de seguridad más atentos o el marco normativo adecuado lo resolverán.

El patrón confirmado en Graphite, Pegasus, Predator y la clase más amplia de spyware mercenario comercial es más consistente que eso: operadores sofisticados y bien financiados desarrollan continuamente nuevas cadenas de exploit contra iOS y Android. Cada una recibe un parche. La siguiente ya está en desarrollo.

La arquitectura de dispositivos que hace que esos sistemas operativos sean útiles para miles de millones de personas es la misma arquitectura que los hace permanentemente vulnerables a esta clase de ataque. Ese no es un problema resoluble dentro del paradigma de iOS y Android.

Para los funcionarios, ejecutivos, asesores jurídicos y periodistas cuyas comunicaciones representan valor de inteligencia para un adversario con recursos de nivel estatal — la pregunta relevante no es qué dispositivo de consumo es el más seguro. La pregunta es si un dispositivo de consumo es la categoría correcta de dispositivo.