Table of Contents
Introducción: Tecnología, Vigilancia y Libertades Civiles
El uso de spyware por parte de gobiernos ha dejado de ser una práctica excepcional para convertirse en una herramienta recurrente en operaciones de inteligencia nacional. En Italia, un nuevo escándalo vinculado al software Graphite —desarrollado por la empresa israelí Paragon Solutions— ha reavivado el debate sobre los límites legales y éticos de la vigilancia estatal. Este artículo analiza en profundidad cómo las agencias italianas emplearon esta tecnología contra activistas de migración, y qué implicaciones tiene para Europa y el mundo.
La vigilancia digital, cuando carece de supervisión efectiva, puede socavar derechos fundamentales como la privacidad, la libertad de prensa y la defensa de los derechos humanos. La controversia en Italia refleja una tendencia creciente en la cual gobiernos justifican el uso de tecnologías intrusivas bajo el paraguas de la seguridad nacional, incluso cuando los objetivos son ciudadanos comprometidos con causas sociales.
Este informe desglosa los hallazgos clave del Comité Parlamentario COPASIR, examina la tecnología detrás de Graphite, y expone los riesgos que enfrentan periodistas y activistas en un contexto donde la regulación sigue rezagada frente al avance tecnológico.
Graphite: Un Nuevo Nivel de Infiltración Digital
Graphite es un spyware altamente sofisticado que opera mediante ataques zero-click, es decir, sin necesidad de que el usuario haga clic en enlaces o descargue archivos. Este tipo de ataque explota vulnerabilidades en apps populares como WhatsApp, permitiendo la instalación remota del software sin dejar rastros visibles. Una vez dentro del dispositivo, Graphite tiene acceso a mensajes privados —incluso de plataformas cifradas como Signal y Telegram—, puede activar el micrófono y la cámara, y rastrear la ubicación en tiempo real.
Lo que distingue a Graphite de otras herramientas similares es su capacidad para extraer conversaciones eliminadas y manipular archivos compartidos en grupos. Esta funcionalidad lo convierte en un instrumento altamente eficaz para espiar redes de activismo, donde la comunicación grupal suele ser la norma. En el caso italiano, esto permitió a las autoridades mapear interacciones entre miembros de ONGs que operan en el Mediterráneo.
Según informes técnicos, la efectividad de Graphite radica en su modularidad: puede adaptarse a distintos sistemas operativos y se actualiza constantemente para evadir mecanismos de detección. Este nivel de sofisticación plantea serios desafíos para garantizar los derechos digitales en entornos democráticos.
Comparativa: Graphite vs Pegasus
Graphite ha sido comparado frecuentemente con Pegasus, el spyware desarrollado por NSO Group. Ambos productos comparten características clave como el acceso remoto total al dispositivo y la comercialización exclusiva para gobiernos. Sin embargo, hay diferencias sustanciales. Pegasus se ha centrado históricamente en espiar a individuos de alto perfil, mientras que Graphite parece orientarse hacia la vigilancia de estructuras colectivas, como movimientos sociales u organizaciones.
Una diferencia técnica importante es que Graphite ofrece una mejor integración con servicios de mensajería cifrada y una mayor capacidad de análisis de metadatos en conversaciones grupales. Además, Paragon Solutions ha diseñado su spyware con un enfoque en la recopilación forense, permitiendo almacenar evidencia incluso de comunicaciones ya eliminadas. En investigaciones judiciales prolongadas, esta capacidad puede ser explotada para construir casos legales complejos.
El contraste también se refleja en la percepción pública: mientras Pegasus ha sido objeto de sanciones por parte de Estados Unidos, Graphite aún opera en una zona gris legal. Esta disparidad evidencia la necesidad de marcos regulatorios internacionales más robustos.
Contexto Italiano: Política Migratoria y Conflictividad
Italia ha endurecido su postura frente a la migración desde la llegada al poder del gobierno de Giorgia Meloni. Las ONGs que realizan labores de rescate en el mar Mediterráneo han sido objeto de restricciones legales, acusaciones de connivencia con traficantes y, como ahora se revela, vigilancia intensiva. En este contexto, el uso de spyware como Graphite se justifica oficialmente bajo leyes de seguridad nacional, pero plantea interrogantes sobre su proporcionalidad y legalidad.
Mediterranea Saving Humans, una de las organizaciones afectadas, ha sido particularmente activa en denunciar violaciones de derechos humanos en las rutas migratorias. Sus líderes, Luca Casarini y Giuseppe Caccia, fueron objeto directo de vigilancia entre 2024 y 2025. Esta intervención incluye la recopilación de sus comunicaciones privadas, itinerarios de viaje y contactos internacionales.
El caso italiano ilustra cómo la tecnología de vigilancia puede ser utilizada para amedrentar o desarticular movimientos de resistencia civil, incluso en países democráticos. La falta de transparencia en los procesos judiciales que autorizan estas prácticas agrava la preocupación.
Impacto en la Libertad de Prensa
Uno de los elementos más controvertidos del escándalo fue la sospecha de espionaje contra el periodista Francesco Cancellato, quien recibió alertas técnicas de Apple y WhatsApp sobre intentos de intrusión. Aunque el informe parlamentario descartó que fuera un objetivo directo del gobierno italiano, no se ofreció una explicación concluyente sobre quién intentó acceder a su dispositivo.
Este incidente ha encendido las alarmas en la comunidad periodística. La vigilancia digital, incluso cuando no se concreta, tiene un efecto amedrentador. Los periodistas que reciben alertas de intentos de hackeo deben asumir que sus fuentes y materiales pueden haber sido comprometidos, lo que afecta directamente su labor investigativa.
La Federación Nacional de Prensa Italiana ha solicitado una investigación penal y exige garantías efectivas para el ejercicio del periodismo libre. Este episodio confirma que la frontera entre vigilancia legítima y represión política se vuelve cada vez más difusa en la era digital.
Auditorías Técnicas y Falta de Supervisión
Un aspecto crítico del caso Graphite es la ausencia de mecanismos de auditoría independientes que verifiquen el uso adecuado del spyware. Actualmente, las agencias de inteligencia italianas operan con una supervisión parlamentaria limitada y sin colaboración con organismos técnicos externos. Esto permite que los registros puedan ser manipulados o incompletos.
Organizaciones como Citizen Lab han solicitado el acceso a los registros de uso y una auditoría forense de los dispositivos afectados. Sin embargo, hasta la fecha, no se ha establecido un protocolo transparente que permita a las víctimas verificar si fueron espiadas. Esta opacidad alimenta la desconfianza ciudadana y debilita el control democrático sobre el poder ejecutivo.
El informe COPASIR recomendó mejorar los protocolos de control, pero omitió medidas concretas como la creación de una autoridad independiente o la publicación de informes anuales de transparencia. Sin estos pasos, los gobiernos seguirán operando en la sombra.
Reacciones Internacionales y Presión Legal
La comunidad internacional ha reaccionado con preocupación. Access Now denunció que la normalización del uso de spyware contra ONGs representa una amenaza directa a los derechos humanos. Por su parte, la Unión Europea aún carece de una legislación clara que regule el uso de tecnologías de vigilancia, lo que permite a los gobiernos actuar según sus propios criterios.
Parlamentarios del Comité LIBE del Parlamento Europeo planean visitar Roma para evaluar posibles violaciones al Reglamento General de Protección de Datos (GDPR). Aunque esta visita es un paso positivo, muchos expertos consideran que la UE debería implementar una moratoria sobre la venta y uso de spyware hasta contar con un marco legal robusto.
Estados Unidos ya ha sancionado a empresas como NSO Group, prohibiendo su software en territorio nacional. Europa, en cambio, mantiene una postura ambigua que deja a la ciudadanía expuesta.
Casos Similares: Un Patrón Global
El caso de Italia no es aislado. En el pasado, Pegasus fue utilizado para espiar a periodistas como Jamal Khashoggi, así como a activistas en México, Marruecos y España. En todos los casos, las víctimas fueron seleccionadas por su rol en la denuncia de violaciones de derechos humanos o corrupción estatal.
En Italia, ya existían antecedentes preocupantes. La empresa Hacking Team, con sede en Milán, fue acusada de vender spyware a regímenes autoritarios antes de su colapso en 2019. La reaparición de prácticas similares con Graphite indica una continuidad estructural en la falta de rendición de cuentas en el ámbito de la vigilancia digital.
Estos casos demuestran que, sin una regulación internacional sólida, el spyware comercial seguirá siendo utilizado como una herramienta de represión política más que de seguridad legítima.
Consecuencias Políticas Internas
El escándalo ha generado tensiones dentro del propio gobierno italiano. Sectores moderados del parlamento han exigido explicaciones al Ministerio del Interior, mientras que la oposición ha solicitado la creación de una comisión investigadora independiente. Pese a ello, el ejecutivo ha mantenido una postura defensiva, alegando que todas las acciones se realizaron bajo autorización judicial.
La cancelación de los contratos con Paragon Solutions por parte de las agencias AISI y AISE fue presentada como un gesto de buena voluntad, pero no se ofrecieron detalles sobre compensaciones para las víctimas ni sobre posibles sanciones a funcionarios implicados en los abusos.
Esta falta de consecuencias reales fortalece la percepción de impunidad y debilita la confianza en las instituciones democráticas.
Demandas de la Sociedad Civil
Diversas ONGs han emitido un pliego de demandas que incluye: transparencia en el uso de spyware, protección a periodistas, moratoria internacional y auditorías técnicas por parte de organismos independientes. Estas propuestas buscan crear un marco ético y legal que limite el uso arbitrario de estas tecnologías.
Además, se ha sugerido la creación de un Registro Europeo de Tecnologías de Vigilancia, donde se informe públicamente sobre qué gobiernos adquieren qué herramientas, con qué propósito y bajo qué condiciones legales.
Estas medidas podrían convertirse en estándares internacionales si la UE asume un liderazgo político en la materia.
Conclusión: Una Encrucijada Ética y Tecnológica
El caso Graphite en Italia ilustra los riesgos de una vigilancia sin controles efectivos. En nombre de la seguridad nacional, se están vulnerando derechos fundamentales, sin que existan mecanismos reales de rendición de cuentas. La tecnología avanza más rápido que la ley, y esto deja un vacío peligroso para la ciudadanía.
Es urgente establecer límites claros, tanto legales como técnicos, que impidan el uso abusivo del spyware comercial. La transparencia, la supervisión independiente y la colaboración internacional son pilares fundamentales para preservar las libertades civiles en la era digital.
Los gobiernos tienen la responsabilidad de proteger a sus ciudadanos, no de vigilarlos indiscriminadamente. La ciudadanía, por su parte, debe exigir que se respeten los principios democráticos en el uso de tecnologías invasivas.
