La falla de iMessage de Apple explotada por el spyware Paragon para atacar a periodistas

Una vulnerabilidad de cero clic recién divulgada en la plataforma iMessage de Apple fue explotada para espiar a periodistas en Europa utilizando un spyware de alta gama construido por la empresa israelí Paragon Solutions.

Dos periodistas atacados

Citizen Lab, un organismo de vigilancia de derechos digitales en la Universidad de Toronto, confirmó evidencia forense de que al menos dos periodistas—Ciro Pellegrino de la publicación italiana Fanpage.it, y un “periodista europeo prominente” anónimo—tuvieron sus iPhones con iOS 18.2.1 infectados con el spyware Graphite de Paragon a principios de 2025.

“Nuestro análisis forense concluyó que uno de los dispositivos del periodista fue comprometido con el spyware Graphite de Paragon en enero y principios de febrero de 2025 mientras ejecutaba iOS 18.2.1”, dice el informe publicado por Citizen Labs el jueves.

“Atribuimos el compromiso a Graphite con alta confianza porque los registros en el dispositivo indicaron que hizo una serie de solicitudes a un servidor que, durante el mismo período de tiempo, coincidió con nuestra huella digital publicada P1.”

La misma cuenta de iMessage identificada en ataques anteriores se encontró en los registros del dispositivo de Pellegrino, “que asociamos con un intento de infección de cero clic de Graphite.”

Dado que los proveedores de spyware mercenarios suelen asignar infraestructura dedicada a cada cliente, la cuenta “sería utilizada exclusivamente por un solo cliente/operador de Graphite, y concluimos que este cliente apuntó a ambas personas”, agregó el informe.

Apple notificó a ambas víctimas el 29 de abril de 2025, junto con usuarios seleccionados de iOS, advirtiéndoles que sus dispositivos habían sido atacados por “spyware avanzado.” La vulnerabilidad de día cero de iMessage, ahora corregida—CVE-2025-43200—permitió que el spyware infectara iPhones sin ninguna interacción del usuario.

¿Qué es Graphite?

Graphite es una herramienta de vigilancia avanzada construida por Paragon Solutions, una firma israelí de ciberinteligencia con vínculos con el ex Primer Ministro israelí Ehud Barak. La herramienta permite a los clientes gubernamentales acceder de forma remota al dispositivo de un objetivo, recuperando datos como mensajes, correos electrónicos, fotos, datos de ubicación e incluso acceso en tiempo real al micrófono o cámara.

Cómo funcionó el ataque

El atacante utilizó una cuenta genérica de iMessage, etiquetada como ‘ATTACKER1’ en documentos de investigación, para entregar mensajes especialmente elaborados que explotaban una falla lógica en cómo iOS procesaba fotos o videos maliciosamente elaborados compartidos a través de un enlace de iCloud. La explotación afectó a dispositivos que ejecutaban iOS 18.2.1 y versiones anteriores.

El ataque fue lo que se conoce como una explotación de cero clic—no requirió ninguna acción de la víctima—sin clics, sin descargas—dejando prácticamente ninguna huella visible en el teléfono. Una vez que el spyware se activó, se conectó a un servidor de comando y control en https://46.183.184[.]91, un VPS vinculado a la infraestructura de Paragon, y accedió secretamente a mensajes, correos electrónicos, fotos, ubicación, micrófono, cámara y más.

Apple abordó el problema de manera discreta el 10 de febrero de 2025, como parte de iOS 18.3.1, iPadOS 18.3.1, iPadOS 17.7.5, macOS Sequoia 15.3.1, macOS Sonoma 14.7.4, macOS Ventura 13.7.4, watchOS 11.3.1 y visionOS 2.3.1. Sin embargo, el uso de esta explotación de día cero solo se reveló públicamente en junio después de la investigación de Citizen Lab.

En su aviso ahora actualizado, el fabricante de iPhone describe la falla como “un problema lógico que existía al procesar una foto o video maliciosamente elaborado compartido a través de un enlace de iCloud,” señalando que la vulnerabilidad se resolvió a través de una validación de entrada mejorada.

La compañía también reconoció informes de que es consciente de que la vulnerabilidad “puede haber sido explotada en un ataque extremadamente sofisticado contra individuos específicamente apuntados.”

Periodistas europeos en peligro debido a la crisis del spyware

En el momento en que Citizen Lab publicó su informe, tres periodistas europeos habían sido confirmados como objetivos del spyware Graphite de Paragon—dos a través de evidencia forense y uno a través de la notificación de Meta. Un caso está vinculado a la publicación italiana Fanpage.it, planteando preguntas urgentes sobre quién está detrás de los ataques y si existe alguna justificación legal.

“La falta de responsabilidad disponible para estos objetivos de spyware destaca la medida en que los periodistas en Europa continúan siendo objeto de esta amenaza digital altamente invasiva, y subraya los peligros de la proliferación y el abuso del spyware,” concluyó el informe.