Meta dijo el lunes que detectó una campaña de phishing vinculada al fabricante de software espía NSO Group a pesar de una orden judicial, lo que llevó al gigante tecnológico a presentar una denuncia por desacato al tribunal.

La compañía ganó un caso civil el año pasado contra NSO Group que le prohibía dirigirse a los usuarios de WhatsApp y obtuvo 168 millones de dólares en daños y perjuicios, aunque NSO Group ha estado apelando el fallo.

Pero Meta dice que NSO Group, creadores del software espía Pegasus, no está cumpliendo con la orden judicial permanente.

«Hemos interrumpido con éxito los intentos de ingeniería social vinculados a NSO, después de investigar los informes de los usuarios», dijo en una publicación de blog. «Intentaron engañar a las personas para que hicieran clic en enlaces maliciosos para dirigirlos a sitios web externos fuera de WhatsApp, similar a las campañas de phishing de 1 clic previamente informadas vinculadas a NSO. También los sorprendimos creando cuentas y grupos de prueba en WhatsApp, que eliminamos».

Meta dijo que la campaña se parecía a infecciones de software espía que Golpeó a periodistas y activistas en Jordania. de 2019 a 2023.

NSO Group no respondió a las solicitudes de comentarios sobre las acusaciones de Meta.

Un importante investigador que rastrea el software espía dijo que las acciones de NSO Group son un argumento para mantenerlos en la lista de “entidades” de sanciones de Estados Unidos de la que la compañía ha luchado por ser eliminada desde su designación en 2021.

«Las propias acciones de NSO constituyen el argumento más fuerte de por qué deberían permanecer en la lista de entidades», dijo John Scott-Railton, investigador principal del Citizen Lab de la Universidad de Toronto, escribió en las redes sociales. “Y reafirmar que la decisión de ponerlos allí fue la correcta”.

Meta hizo el mismo argumento.

«Cuando una empresa maliciosa incluida en la Lista de Entidades del gobierno de EE. UU. continúa desafiando a los tribunales estadounidenses, las restricciones existentes deben permanecer firmemente vigentes», dijo en su blog. “Aliviarlas socavaría la seguridad nacional de Estados Unidos y pondría en riesgo a las empresas estadounidenses y a miles de millones de personas en todo el mundo que dependen de comunicaciones seguras”.

Los legisladores han buscado información sobre el posible uso por parte del gobierno federal de la tecnología de NSO Group y otros tipos de software espía, a pesar de una lista negra, dados los estrechos vínculos entre el nuevo presidente ejecutivo de la compañía y el presidente Donald Trump.

Los usuarios de habla árabe se han convertido en el objetivo de un nuevo software espía de Android con nombre en código Asínde acuerdo a recomendaciones de ESET.

La empresa eslovaca de ciberseguridad dijo que detectó por primera vez el malware propagado a través de múltiples campañas a principios de 2025, y que cada ola de ataque hacía uso de distintos sitios web que imitaban utilidades, actualizaciones relacionadas con la guerra y una fuente de noticias del gobierno:

• gobernar[.]net, que se hace pasar por una fuente de noticias del gobierno (registrado el 27 de mayo de 2025)
• lector de pdf[.]ayuda, que se hace pasar por un editor de PDF seguro (registrado el 29 de mayo de 2025)
• mapa-de-guerra-en-vivo[.]com, que afirma ofrecer actualizaciones sobre incidentes militares (registrado el 20 de enero de 2025)

Dos de estos sitios web: govlens[.]mapa de guerra neto y en vivo[.]com – también se comercializaron a través de cuentas dedicadas en plataformas de redes sociales como Facebook y Telegram –

• www.facebook[.]es/GovLens
• t[.]yo/liveuamap_ar

«Cada uno de estos sitios web distribuye una aplicación maliciosa que combina funcionalidad legítima con capacidades de software espía sigilosas», afirmó ESET.

La compañía de ciberseguridad señaló que el nombre del canal Telegram probablemente esté inspirado en Live Universal Awareness Map (Liveuamap), una plataforma legítima y conocida dedicada a mapear conflictos en curso, cuestiones de derechos humanos, desastres naturales y eventos geopolíticos en todo el mundo.

Desde entonces se han identificado varios artefactos asociados con Asin, incluido uno subido a VirusTotal desde Türkiye en octubre de 2025, un APK descargado del dominio «c-pdf[.]net» en diciembre de 2025 por un usuario en un dispositivo Xiaomi Redmi Note 13 Pro con Android 15, y una tercera muestra disfrazada de «Mapa de Defensa de Siria» detectada en un dispositivo Xiaomi Redmi Note 13 Pro+ 5G con Android 15 alrededor de mediados de enero de 2026.

En el último caso, se dice que el APK se descargó de un sitio web llamado «syriadefensemap[.]com.» Vale la pena señalar que el usuario debe instalar manualmente la aplicación y otorgarle los permisos necesarios para que el software espía alcance sus objetivos.

El grupo de actividad, según ESET, permanece sin atribuir. Tampoco se sabe cuáles son los objetivos principales de estas campañas. Sin embargo, basándose en los señuelos utilizados, se sospecha que el objetivo pueden haber sido periodistas e investigadores de OSINT en regiones de habla árabe.

«Tres de las cinco aplicaciones fraudulentas que descubrimos (GovLens, WarMap y Syria Defence Map) parecen estar destinadas principalmente a personas interesadas en la investigación de código abierto», dijo la compañía. «Por lo tanto, parece posible que este conjunto de actividades haya estado destinado, al menos parcialmente, a periodistas de habla árabe o profesionales de OSINT».

Google el martes desvelado una nueva característica opcional de Android llamada Registro de intrusiones para almacenar registros forenses para analizar mejor los ataques sofisticados de software espía.

Registro de intrusiones, disponible como parte de Modo de protección avanzadapermite «un registro forense persistente y que preserva la privacidad para permitir la investigación de los dispositivos en caso de sospecha de un compromiso», dijo la compañía.

El artículo, añadió, fue desarrollado en colaboración con Amnistía Internacional y Reporteros Sin Fronteras. Según un documento de ayuda compartido por Google, registra las actividades del dispositivo y de la red a diario, incluida información sobre el comportamiento del dispositivo y las diversas aplicaciones que se ejecutan en él.

Los tipos de actividades registradas se enumeran a continuación:

• Actividad de la aplicación (por ejemplo, cuando se inicia un proceso de aplicación)
• Instalaciones, actualizaciones y desinstalaciones de aplicaciones
• Conexiones de red como iniciar y detener Wi-Fi, Bluetooth, búsquedas de DNS y direcciones IP
• Transferencias de archivos hacia o desde el dispositivo a través de USB
• Cambios en los certificados del sistema.
• Cuando el dispositivo está bloqueado o desbloqueado

Google también señaló que los datos de registro están cifrados de extremo a extremo por el dispositivo y se almacenan en los servidores de Google. Las claves de cifrado están protegidas por la contraseña de la cuenta de Google y las credenciales de bloqueo de pantalla, lo que significa que ningún tercero, incluido el propio Google, puede acceder a los registros, aparte del propietario del dispositivo.

«Al almacenar los datos en un servidor seguro, ni siquiera el malware instalado en el teléfono inteligente puede acceder a ellos, eliminarlos o manipularlos», Reporteros sin Fronteras dicho. «El cifrado de extremo a extremo también garantiza que ni Google ni los actores estatales puedan acceder a los datos. La función Intrusion Logging en particular permite la detección y el análisis forense incluso de ataques muy sofisticados y que antes eran difíciles de detectar».

Los registros cifrados se almacenan durante un período de 12 meses, tras el cual se borran automáticamente. Una vez que se habilita el registro de intrusiones, un usuario no puede eliminar los registros antes de la ventana de vencimiento de 12 meses, incluso si la cuenta está cerrada o la función está desactivada. Los usuarios tienen la opción de descargar los registros sin conexión, si prefieren conservarlos durante períodos más prolongados.

Dicho esto, Google ha enfatizado que una vez que los registros se descargan y descifran, los usuarios son responsables de su seguridad. «En ciertos entornos legales o regulatorios, es posible que la ley le exija que proporcione acceso a sus datos descifrados o a sus credenciales de seguridad», señaló.

Otra cosa a tener en cuenta al habilitar la función es que también registra eventos de red generados durante la navegación de incógnito en Chrome, como búsquedas de DNS y conexiones IP, ya que opera a nivel del sistema y no distingue entre los modos de navegación. En otras palabras, cualquiera que tenga acceso a los registros descifrados puede obtener qué sitios web se visitaron, pero no puede inferir páginas específicas de esos sitios.

La motivación detrás del registro de intrusiones es que una persona de alto riesgo, que sospecha que puede haber sido atacada por herramientas de vigilancia avanzadas debido a quiénes son y qué hacen, puede compartir el registro de actividad con expertos en seguridad confiables para un examen detallado.

Los registros se pueden descargar navegando a la aplicación Configuración y luego tocando Seguridad y privacidad -> Protección avanzada -> Registro de intrusiones -> Registros de acceso. Actualmente, la función se está implementando en todos los dispositivos que ejecutan la actualización de Android del 16 de diciembre y versiones posteriores.

«Con Intrusion Logging, Google es el primer proveedor importante que aborda de forma proactiva el desafío de detectar ataques avanzados en dispositivos», dijo Donncha Ó Cearbhaill, jefe del Laboratorio de Seguridad de Amnistía Internacional. dicho en un comunicado. «Al poner a disposición de los investigadores más datos forenses consensuados, podemos hacer la vida más difícil a los atacantes y ayudar a la sociedad civil a exigir responsabilidades cuando sus dispositivos son atacados ilegalmente por software espía y herramientas de extracción de datos móviles».

Otras funciones de privacidad y seguridad llegarán a Android

Además del registro de intrusiones, Google ha anunciado una serie de mejoras de privacidad y seguridad, incluidas llamadas financieras verificadas, una nueva función de protección contra suplantación de llamadas telefónicas para combatir ataques en los que los estafadores se hacen pasar por bancos para engañar a los usuarios para que revelen datos confidenciales o transfieran fondos.

Cuando los usuarios reciben una llamada que parece ser de un banco participante, Android solicita a la aplicación de banca en línea instalada que confirme si realmente están intentando comunicarse con el cliente. Si la aplicación confirma que no se está realizando tal cosa, el sistema finaliza automáticamente la llamada.

«Su banco o institución financiera también puede designar números como sólo entrantes, lo que significa que nunca los usan para llamar a los clientes», dijo Google. «Las llamadas entrantes de estos números finalizarán directamente». Se espera que la función esté disponible en dispositivos Android 11+ con Revolut, Itaú y Nubank en las próximas semanas, antes de expandirse a más bancos a finales de este año.

Otros cambios notables se enumeran a continuación:

• Ampliar la detección de amenazas en vivo para emitir advertencias sobre comportamientos sospechosos de aplicaciones, incluido el reenvío de SMS y las superposiciones de accesibilidad que suelen utilizar los troyanos bancarios de Android para robar credenciales.
• Evaluación de archivos APK descargados a través de Chrome en Android en busca de malware conocido cuando la Navegación segura está habilitada antes de su instalación.
• Eliminar el acceso a la API de servicios de accesibilidad de todas las aplicaciones que no estén etiquetadas como herramientas de accesibilidad.
• Deshabilitar el desbloqueo de dispositivo a dispositivo y la compatibilidad con Chrome WebGPU.
• Agregar detección de estafas para notificaciones de chat.
• Mejora de la función Marcar como perdido de Find Hub con la capacidad de bloquear un teléfono con autenticación biométrica, evitando que los ladrones desactiven el seguimiento del dispositivo si un dispositivo está marcado como perdido. Activar Marcar como perdido también activa protecciones adicionales como ocultar configuraciones rápidas y deshabilitar nuevas conexiones Wi-Fi y Bluetooth.
• Reducir la cantidad de veces que un tercero con acceso físico a un dispositivo puede adivinar el PIN o la contraseña, además de implementar tiempos de espera más largos entre intentos fallidos.
• Mejorar la recuperación del dispositivo al hacer que se pueda acceder al número IMEI de un dispositivo a través de la pantalla de bloqueo en dispositivos con Android 12 o superior.
• Mejores controles de privacidad que permiten a los usuarios compartir su ubicación precisa temporalmente para tareas específicas mientras una aplicación específica está abierta y brindan acceso a contactos específicos a una aplicación de terceros, en lugar de compartir toda la libreta de direcciones.
• Presentamos AISeal con pKVM para el aislamiento en el dispositivo, respaldado por hardware, del procesamiento de datos relacionados con la inteligencia artificial (IA).
• Ampliar la transparencia binaria en Android para garantizar la integridad mediante la verificación de compilaciones oficiales y un libro de contabilidad público para aplicaciones auténticas de Google y API de GMS fundamentales.
• Ocultar contraseñas de un solo uso (OTP) de SMS de la mayoría de las aplicaciones durante tres horas para bloquear el robo de OTP por parte de aplicaciones maliciosas a las que se les ha otorgado el permiso de SMS.
• Brindar a los operadores la capacidad de desactivar 2G de forma predeterminada para proteger a los clientes de las vulnerabilidades de la tecnología heredada.
• Reforzar la protección de datos mediante la introducción criptografía poscuántica para protegerse contra futuras amenazas.
• incorporando controles de usuario explícitos para activar y desactivar funciones completas, barreras de seguridad y transparencia al usar Gemini en Android.

«Al mejorar las protecciones contra estafas bancarias y ampliar protecciones potentes como Live Threat Detección y Android Advanced Protection, garantizamos que Android siga siendo la plataforma más segura», afirmó Eugene Liderman, director de seguridad y privacidad de Android.

Google lanzó el martes una función para teléfonos Android para registros forenses dedicados a intrusiones de ataques sofisticados como los de proveedores de software espía, en lo que los socios de diseño de Amnistía Internacional aclamaron como una importante novedad.

El gigante tecnológico ha estado mejorando la nueva función, Registro de intrusiones, desde el año pasadoy ahora ha comenzado a implementarlo.

«La nueva función de registro de intrusiones promete ser de gran ayuda para los investigadores forenses digitales que investigan ataques sofisticados a dispositivos Android», afirmó Amnistía Internacional en un comunicado el martes. sesión informativa técnica. «Esta es la primera vez que un importante proveedor de dispositivos lanza una función específicamente para mejorar la capacidad de detectar y responder de forma forense a amenazas digitales avanzadas».

Hasta la fecha, los investigadores independientes se han basado en registros y, a menudo, en archivos de registro de corta duración que no estaban destinados a uso forense, y Amnistía dijo que los grupos de vigilancia se han vuelto cada vez más conscientes de esos esfuerzos forenses. El registro de intrusiones, una característica del modo de protección avanzada de Android, está diseñado específicamente para realizar un seguimiento de posibles intrusiones con fines forenses. Mantiene registros de incidentes de seguridad como desbloqueo de dispositivos, acceso físico e instalación y eliminación de software espía.

de google actualización anual de seguridad y privacidad para teléfonos Android menciona la función y su desarrollo con Amnistía Internacional, Reporteros sin Fronteras y otros. También promociona nuevas protecciones contra llamadas fraudulentas bancarias, otras funciones para detectar actividad sospechosa en teléfonos Android, salvaguardias de privacidad adicionales y más.

La firma ha estado trabajando en la función desde que la anunció el año pasado.

«El registro de intrusiones permite un registro forense persistente y que preserva la privacidad para permitir la investigación de dispositivos en caso de sospecha de un compromiso», escribió Eugene Liderman, director de seguridad y privacidad de Android.

Intrusion Logging se une a una lista cada vez mayor de funciones de empresas de tecnología para combatir ataques sofisticados como los del software espía comercial, entre ellos el modo de bloqueo y la aplicación de integridad de la memoria de Apple y la configuración estricta de cuentas de WhatsApp.

El registro de intrusiones «promete ayudar a inclinar la balanza en beneficio de los defensores, proporcionando a los investigadores de la sociedad civil las pruebas clave necesarias para detectar y exponer algunos de los ataques más avanzados a los que se enfrentan periodistas y activistas», afirmó Donncha Ó Cearbhaill, director del Laboratorio de Seguridad de Amnistía Internacional. «Con el registro de intrusiones, Google es el primer proveedor importante que aborda de forma proactiva el desafío de detectar ataques avanzados en dispositivos. Al poner a disposición de los investigadores más datos forenses consensuados, podemos hacer la vida más fácil». difícil para los atacantes y ayuda a la sociedad civil a exigir responsabilidades cuando sus dispositivos son atacados ilegalmente por software espía y herramientas de extracción de datos móviles”.

Sin embargo, la función tiene algunas limitaciones, dijo Amnistía en su informe técnico. Requiere Android 16 y por ahora solo está disponible en dispositivos Pixel; el dispositivo debe estar vinculado a una cuenta de Google y los registros pueden incluir información confidencial, como el historial de navegación del navegador, por lo que es importante compartir los registros de forma segura.

Los atacantes también pueden eliminar los registros, Ó Cearbhaill dijo a CyberScoop, pero dijo que entiende que hay planes para fortalecer las protecciones contra esto en versiones futuras. Y muchos ataques serían detectables en los registros donde los atacantes no necesariamente tendrían el acceso raíz necesario para intentar eliminar los registros, dijo.

Para habilitar el Registro de intrusiones, los usuarios deben utilizar el Modo de protección avanzada de Android y pueden encontrar la función en Configuración > Seguridad y privacidad > Protección avanzada > Registro de intrusiones. Si los usuarios sospechan de algún tipo de incidente de seguridad, deberán exportar y compartir los registros con un analista forense.

Un demócrata de la Cámara de Representantes que ha estado a la vanguardia de los esfuerzos del Congreso para escudriñar el uso de software espía comercial por parte del gobierno federal quiere que el Departamento de Comercio informe al Capitolio en medio del temor de que la administración Trump pueda adoptar aún más la tecnología.

La representante Summer Lee, demócrata por Pensilvania, envió una carta al departamento el jueves solicitando información sobre varios acontecimientos derivados del reconocimiento por parte del Servicio de Inmigración y Control de Aduanas de su uso del software espía Graphite de Paragon, así como de una empresa estadounidense. comprar una participación mayoritaria en el grupo NSO de Israel. El Departamento de Comercio sancionó a NSO Group durante la presidencia del ex presidente Joe Biden después de acusaciones generalizadas de abuso, incluidas escuchas a funcionarios gubernamentales, activistas y periodistas.

“La administración Trump parece ser ampliamente receptiva al uso de software espía comercial para infiltrarse en teléfonos móviles y permitir la inversión estadounidense en empresas de software espía sancionadas como NSO Group”, escribió Lee en su carta al secretario de Comercio, Howard Lutnick, sobre la cual CyberScoop informa por primera vez.

El nuevo presidente ejecutivo de NSO Group, David Friedman, es ex embajador de Trump en Israel y fue su abogado de quiebras. En noviembre dijo que espera que la administración será “receptivo” al uso de la tecnología de NSO Group.

«Dados esos estrechos vínculos entre NSO Group y la Administración Trump, y las serias preocupaciones sobre cómo la tecnología de NSO podría usarse para espiar a los estadounidenses, escribimos para solicitar información sobre la compra de NSO Group por una empresa estadounidense y el uso potencial de software espía de NSO Group por parte de las autoridades federales», escribió Lee, quien forma parte del panel de Supervisión y Reforma Gubernamental y es el principal demócrata en su Subcomité Federal de Aplicación de la Ley.

Lee fue uno de los autores de una carta demócrata reciente en busca de confirmación del uso de grafito de Paragon por parte de ICE, que ICE reconoció. Pero criticaron a la administración por no responder a todas sus preguntas, además de indignarse.

En su última carta, Lee pidió al Departamento de Comercio que informara al personal del Comité de Supervisión y Reforma Gubernamental sobre las deliberaciones internas del departamento, la comunicación del Departamento de Comercio con la Casa Blanca y cualquier conversación externa (incluso con Friedman) sobre el uso gubernamental de la tecnología de NSO Group o cualquier otro software espía comercial, y la inversión estadounidense en NSO.

NSO Group “parece ver a la administración Trump como amigable con sus intereses en los Estados Unidos, presentándose como una herramienta vital para que el gobierno de los EE. UU. salvaguarde la seguridad nacional”, escribió Lee, citando presentaciones judiciales de la compañía de que “es razonablemente previsible que una agencia de aplicación de la ley o de inteligencia de los Estados Unidos utilice Pegasus”.

Las sanciones de la administración Biden y las pérdidas judiciales en un caso contra Meta representaron reveses para las ambiciones de NSO Group. Y antes de que la empresa de inversiones estadounidense controlara la compra de participación el otoño pasado, el Departamento de Comercio bajo Trump esfuerzos rechazados para eliminar a NSO Group de su lista de sanciones.

Pero las decenas de millones de dólares en inversiones, tras la noticia de que Israel había utilizado Pegasus para rastrear personas secuestradas o asesinadas por Hamásfue una bendición.

NSO Group sostiene que sus productos están diseñados únicamente para ayudar a las fuerzas del orden y a los servicios de inteligencia a luchar contra el terrorismo y el crimen, y que examina a sus clientes con antelación e investiga el uso indebido. Las noticias y otras investigaciones han revelado una multitud de abusos.

Ha habido informes dispersos sobre el coqueteo de Estados Unidos con el uso de la tecnología de NSO Group. El FBI reconoció que había compró una licencia de Pegasuspero no llegó a implementarlo. El Times de Londres informó que “se cree” La Agencia Central de Inteligencia utilizó el software espía Pegasus como parte de una misión de rescate el mes pasado para un aviador estadounidense derribado en Irán.

Puedes leer la carta completa a continuación.

Una aparente campaña de piratería informática por parte de un grupo con presuntas conexiones con el gobierno indio se dirigió a periodistas y activistas de Medio Oriente y África del Norte utilizando software espía, dijeron tres organizaciones colaboradoras en informes publicados el miércoles.

Los ataques compartieron infraestructura que apuntaba al grupo de amenaza avanzada persistente conocido como Bitter, que con mayor frecuencia apunta a sectores gubernamentales, militares, diplomáticos y de infraestructura crítica en todo el sur de Asia, según las conclusiones de investigadores de Access Now, Lookout y SMEX.

Cada grupo asumió una pieza diferente del rompecabezas:

• Accede ahora recibió llamadas a su línea de ayuda que lo llevaron a examinar una campaña de phishing en 2023 y 2024. Se comunicó con Lookout para obtener soporte técnico sobre el malware que encontró.
• Estar atento atribuyó el malware a Bitter y concluyó que probablemente se trataba de una campaña de hackeo a sueldo, utilizando el software espía Android ProSpy.
• PYME El año pasado se sumergió en una campaña de phishing dirigida a un destacado periodista libanés y colaboró ​​con Access Now para descubrir una infraestructura compartida entre las campañas.

Una de las víctimas, el periodista independiente egipcio Mostafa Al-A'sar, dijo que se puso en contacto con Access Now después de recibir un enlace sospechoso de alguien con quien había estado hablando sobre un puesto de trabajo. Se mostró escéptico porque su teléfono había sido atacado antes, cuando fue arrestado en Egipto en 2018.

La lección para los periodistas y los grupos de la sociedad civil es que la ciberseguridad “no es un lujo”, afirmó.

«Me siento amenazado», dijo Al-A'sar, y aunque vivía en el exilio, siente que «todavía me siguen. También me sentí preocupado por mi familia, mis amigos, mis fuentes».

La investigación combinada encontró una campaña más amplia que solo las víctimas originales.

“Nuestros hallazgos conjuntos exponen una campaña de espionaje que ha estado operativa desde al menos 2022 hasta el día de hoy, dirigida principalmente a miembros de la sociedad civil y potencialmente a funcionarios gubernamentales en el Medio Oriente”, escribió Lookout. «La operación presenta una combinación de phishing dirigido dirigido a través de cuentas falsas de redes sociales y aplicaciones de mensajería que aprovechan esfuerzos persistentes de ingeniería social, lo que puede resultar en la entrega de software espía de Android dependiendo del dispositivo del objetivo».

El Comité para la Protección de los Periodistas condenó la campaña.

«Espiar a periodistas es a menudo el primer paso en un patrón más amplio de intimidación, amenazas y ataques», dijo la directora regional del grupo, Sara Qudah. «Estas acciones ponen en peligro no sólo la seguridad personal de los periodistas, sino también sus fuentes y su capacidad para hacer su trabajo. Las autoridades de la región deben dejar de utilizar tecnología y recursos financieros como armas para vigilar a los periodistas».

Access Now dijo que no tenía suficiente información para atribuir quién estaba detrás de los ataques que identificó.

ESET publicó por primera vez una investigación sobre el malware ProSpy el año pasado, después de descubrir que estaba dirigido a residentes de los Emiratos Árabes Unidos.

El Servicio de Inmigración y Control de Aduanas confirmó que está utilizando el software espía Paragon, lo que provocó indignación el jueves por parte de un trío de demócratas de la Cámara de Representantes.

En respuesta a una carta de los legisladores preguntando sobre el uso de Paragon, el director interino de ICE, Todd Lyons, escribió que había autorizado el uso de “herramientas tecnológicas de vanguardia” para ayudar a la división de Investigaciones de Seguridad Nacional a luchar contra el fentanilo, particularmente contra organizaciones que utilizan comunicaciones cifradas.

“Cualquier uso de la tecnología cumplirá con los requisitos constitucionales y se coordinará con la Oficina del Asesor Legal Principal de ICE”, escribió Lyons el miércoles, sin nombrar específicamente a Paragon. «Además, el uso de la tecnología se alineará y apoyará las iniciativas estratégicas del Grupo de Trabajo de Seguridad Nacional para identificar, desarticular y desmantelar organizaciones terroristas extranjeras, abordar la creciente epidemia de fentanilo y salvaguardar la seguridad nacional».

Pero los representantes demócratas Summer Lee de Pensilvania, Shontel Brown de Ohio y Yassamin Ansari de Arizona no quedaron satisfechos con la respuesta de ICE.

“Es indignante que [the Department of Homeland Security] e ICE están utilizando este software espía sin supervisión del Congreso y con una falta total de estándares de cumplimiento», dijeron en una declaración conjunta compartida con CyberScoop. «Dado el historial de la Administración Trump, el cumplimiento fingido de ICE con los estándares existentes no significa mucho; Necesitamos ver pruebas y evidencias de salvaguardias férreas.

“Por eso solicitamos tanta documentación, que no nos han proporcionado en absoluto”, continuaron. «Los demócratas de la Cámara de Representantes seguirán exigiendo más información y responsabilizando a ICE por sus abusos».

Lyons escribió que certificó el uso de la tecnología, que, según dijo, cumplía con una orden ejecutiva de 2023 emitida por el entonces presidente Joe Biden. Esa orden ejecutiva requiere la certificación de que el uso de software espía comercial no plantearía riesgos de seguridad nacional o de contrainteligencia, ni crearía riesgos significativos de uso indebido por parte de un gobierno extranjero.

En 2024, el contrato de ICE por valor de 2 millones de dólares con Paragon fue objeto de revisión por la Casa Blanca. Pero el año pasado, ICE levantó una orden de suspensión de trabajo.

ICE no respondió de inmediato a una solicitud de comentarios sobre la reacción de los demócratas. El uso de tecnología de vigilancia por parte de ICE ha preocupación dibujada de grupos de libertades civiles.

La tecnología Graphite de Paragon se ha encontrado en los teléfonos de periodistas y se sospecha que se utiliza en varios países. WhatsApp dijo el año pasado que había interrumpido una campaña que empleaba software espía contra sus usuarios.

Bloomberg reportado por primera vez sobre la carta de Lyons.

La plataforma de mensajería WhatsApp, propiedad de Meta, dijo que alertó a unos 200 usuarios que fueron engañados para que instalaran una versión falsa de su aplicación iOS que estaba infectada con software espía.

Según informes del periódico italiano. La República y agencia de noticias ANSAla gran mayoría de los objetivos se encuentran en Italia. Se evalúa que los actores de amenazas detrás de la actividad utilizaron tácticas de ingeniería social para lograr que los usuarios instalaran software malicioso que imitaba a WhatsApp.

Se cerró la sesión de todos los usuarios afectados y se les recomendó desinstalar las aplicaciones con malware y descargar la aplicación oficial de WhatsApp. WhatsApp no ​​reveló quién fue el objetivo de estos ataques.

El gigante tecnológico dijo que también está tomando medidas contra Asigint, una filial italiana de la empresa de software espía SIO, por supuestamente crear una versión falsificada de WhatsApp.

En su sitio web, la empresa anuncia soluciones para organismos encargados de hacer cumplir la ley, organizaciones gubernamentales y agencias policiales y de inteligencia para monitorear actividades sospechosas, recopilar inteligencia o realizar operaciones encubiertas.

En diciembre de 2025, TechCrunch informó que SIO estaba detrás de un conjunto de aplicaciones maliciosas de Android que se hacían pasar por WhatsApp y otras aplicaciones populares, pero robaban datos privados del dispositivo de un objetivo utilizando una familia de software espía llamada Spyrtacus. Se cree que las aplicaciones fueron utilizadas por un cliente del gobierno para atacar a víctimas desconocidas en Italia.

SIO es una de las muchas empresas italianas que venden herramientas de vigilancia, incluidas Cy4Gate, eSurv, GR Sistemi, Negg, Raxir y RCS Lab, convirtiendo al país en un «centro de software espía«.

A principios del año pasado, WhatsApp alertó a unos 90 usuarios de que habían sido atacados por el software espía de Paragon Solutions conocido como Graphite. Luego, en agosto de 2025, notificó a menos de 200 usuarios que podrían haber sido atacados como parte de una sofisticada campaña que encadenaba vulnerabilidades de día cero en iOS y la aplicación de mensajería.

La noticia se produce poco más de un mes después de que un tribunal griego sentenciado Tal Dilian, fundador del Consorcio Intellexa, y tres asociados, Sara Hamou, Felix Bitzios y Yiannis Lavranos, a prisión por su papel en el uso ilegal del software espía Predator del proveedor para atacar a políticos, líderes empresariales y periodistas del país.

El escándalo de vigilancia de 2022, denominado Predatorgate o Watergate griego, llevó al Parlamento Europeo a iniciar una investigación formal en el uso de tales herramientas. Sin embargo, una nueva ley aprobada ese año legalizó el uso gubernamental bajo condiciones estrictas. En julio de 2024, el Tribunal Supremo griego despejado al servicio de inteligencia estatal y a funcionarios gubernamentales de irregularidades.

«Aún quedan dudas sobre el papel del gobierno griego, que ha negado sistemáticamente haber comprado o utilizado Predator», Amnistía Internacional dicho. «La transparencia es una parte crucial de la rendición de cuentas, al igual que la reparación para las numerosas víctimas de las violaciones de derechos humanos provocadas por el uso ilegal de esta tecnología».

En una declaración compartida con Reuters a finales del mes pasado, Dilian dicho Tiene intención de apelar la decisión y añade: «Creo que una condena sin pruebas no es justicia, podría ser parte de un encubrimiento e incluso un delito».

Italia y Grecia están lejos de ser los únicos países europeos atrapados en el punto de mira de la tecnología de software espía. En enero de 2026, el Tribunal Superior de Justicia de España cerró su investigación sobre el uso de Pegasus del Grupo NSO para espiar a políticos españoles, citando una falta de cooperación de las autoridades israelíes.

El caso se remonta a mayo de 2022, cuando el Gobierno español reveló que el software espía de la empresa israelí se había utilizado para espiar los dispositivos del presidente del Gobierno, Pedro Sánchez, y de la ministra de Defensa, Margarita Robles.

Empresas como Intellexa y NSO Group han sostenido constantemente que su tecnología de vigilancia sólo ha sido autorizada a los gobiernos para luchar contra delitos graves y reforzar la seguridad nacional. David Friedman, presidente ejecutivo del grupo NSO dicho «El mundo es un lugar mucho más seguro» cuando las herramientas de la empresa «están en las manos adecuadas y en los países adecuados».