Polémica en Italia: Acusan al gobierno de espiar a activistas pro inmigración, no a periodistas

Un comité parlamentario italiano ha soltado la bomba: el gobierno italiano usó un software espía de la empresa israelí Paragon para hackear a varios activistas que se dedican a salvar inmigrantes en el mar. ¡Menuda movida! Sin embargo, el comité también ha dicho que, tras su investigación, no hay pruebas de que un conocido periodista italiano estuviera entre las víctimas. Esto deja algunas preguntas clave sobre estos ataques con spyware sin respuesta.

La Comisión Parlamentaria para la Seguridad de la República, conocida como COPASIR, ha publicado un informe donde concluye una investigación de varios meses sobre el uso del spyware de Paragon, llamado Graphite, en Italia. Para que te hagas una idea de la magnitud, el periódico israelí Haaretz fue el primero en hablar sobre este informe.

¿Cómo empezó todo este lío?

En enero, WhatsApp empezó a enviar notificaciones a unos 90 usuarios, alertándoles de que podrían haber sido víctimas del spyware de Paragon. Varios italianos se pusieron en contacto con la prensa después de recibir estas notificaciones, lo que desató un escándalo en Italia. Y es que Italia tiene un largo historial con empresas de spyware, tanto propias como extranjeras, y con el uso (y abuso) de estas herramientas por parte del gobierno.

Desde entonces, COPASIR se ha puesto manos a la obra para investigar las acusaciones y aclarar qué demonios pasó exactamente.

¿Quiénes eran los objetivos?

COPASIR se centró en los casos de Luca Casarini y Giuseppe Caccia, que trabajan para Mediterranea Saving Humans, una ONG italiana que rescata a inmigrantes que intentan cruzar el Mediterráneo. El comité concluyó que ambos fueron objetivos legítimos de las agencias de inteligencia italianas, como parte de investigaciones relacionadas con la supuesta facilitación de la inmigración ilegal al país.

Pero aquí viene lo interesante: el comité no encontró pruebas de que Francesco Cancellato, un periodista que también recibió una notificación de WhatsApp alertándole de que había sido objetivo del spyware de Paragon, hubiera sido espiado por las agencias de inteligencia italianas.

El comité asegura que sus representantes pudieron consultar la base de datos de spyware de las agencias de inteligencia y los registros de auditoría buscando el número de teléfono de Cancellato, pero no encontraron nada relevante. Tampoco encontraron pruebas de ninguna solicitud legal para espiar a Cancellato por parte de la fiscalía general ni del Departamento de Información para la Seguridad (DIS), el organismo que supervisa las actividades de las dos agencias de inteligencia del país, AISE y AISI.

¿Entonces, quién espió al periodista?

El informe señala que Paragon tiene clientes gubernamentales extranjeros que podrían haber apuntado a italianos, dejando abierta la posibilidad de que esta sea la explicación del espionaje al teléfono de Cancellato. Sin embargo, COPASIR no aportó ninguna prueba que respalde esta teoría.

Cancellato es el director de Fanpage.it, un medio de noticias italiano conocido por sus investigaciones, incluyendo una sobre las juventudes del partido de extrema derecha liderado por la Primera Ministra Giorgia Meloni. En esa investigación, se reveló que, en privado, los miembros hacían comentarios racistas y cantaban canciones y eslóganes fascistas. ¡Menudo panorama!

El informe no menciona a Ciro Pellegrino, compañero de Cancellato, que recibió una notificación de Apple a finales de abril diciendo que había sido objetivo de spyware gubernamental. No está claro si Pellegrino fue atacado con el spyware de Paragon, y la notificación de Apple no lo especificaba.

Ni el gobierno italiano ni COPASIR respondieron a las preguntas sobre Cancellato y Pellegrino.

¿Qué dice el periodista afectado?

Cancellato respondió al informe en un artículo publicado el viernes, donde cuestiona las conclusiones de COPASIR sobre su caso y pide más y mejores explicaciones.

«¿Caso cerrado? En absoluto», escribió Cancellato.

Para John Scott-Railton, investigador principal de The Citizen Lab, una organización de derechos humanos que investiga el uso indebido de spyware, determinar quién atacó a Cancellato es la pregunta más importante que queda sin respuesta en el informe.

«Este informe crea un problema para Paragon Solutions porque deja sin respuesta el caso más delicado políticamente: ¿Quién atacó a este periodista? Este resultado no puede hacer feliz a Paragon», dijo Scott-Railton a TechCrunch. «Como el caso de Francesco Cancellato sigue sin explicación, todas las miradas vuelven a estar puestas en Paragon para obtener una respuesta».

Scott-Railton también dijo que Citizen Lab sigue investigando el caso de Cancellato y analizando su teléfono y sus datos. Cancellato también confirmó esto a TechCrunch.

Paragon no respondió a una solicitud de comentarios.

COPASIR también investigó los casos de Mattia Ferrari, el capellán del barco de rescate de Mediterranea Saving Humans; y David Yambio, el presidente y cofundador de la ONG Refugees in Libya, que opera en Italia. COPASIR dijo que no encontró pruebas de que Ferrari fuera objetivo, pero confirmó que había pruebas de que Yambio había sido un objetivo legítimo de vigilancia, aunque no con el spyware de Paragon.

Nuevos detalles descubiertos por la investigación

Como parte de su investigación sobre el presunto uso de spyware por parte del gobierno italiano, COPASIR se propuso obtener la mayor cantidad de información posible sobre el uso de Paragon en el país, solicitando información a otros organismos gubernamentales, así como a Citizen Lab y Meta, la empresa propietaria de WhatsApp.

Según el informe, el fiscal nacional antimafia dijo a COPASIR que ninguna fiscalía de Italia había adquirido ni utilizado el spyware de Paragon. (En Italia, cada fiscalía local tiene cierto nivel de libertad para adquirir spyware). Los Carabinieri (policía militar), la Polizia di Stato (policía nacional) y la Guardia di Finanza (agencia de delitos financieros) dieron la misma respuesta al comité.

Paragon dijo a COPASIR que tenía contratos con las dos agencias de inteligencia italianas, AISE y AISI. El informe dice que los representantes de COPASIR visitaron el DIS, así como las oficinas de las dos agencias, y examinaron la base de datos del spyware y los registros de auditoría para ver cómo las agencias utilizaban el spyware de Paragon, incluyendo a quiénes atacaban. Los representantes concluyeron que no hubo abusos relacionados con la vigilancia de las personas que se presentaron como objetivos de spyware en los últimos meses.

El informe de COPASIR también reveló nuevos detalles sobre cómo funciona el sistema de spyware de Paragon entre bastidores. COPASIR dijo que verificó que para usar el spyware de Paragon, un operador tiene que iniciar sesión con un nombre de usuario y una contraseña, y cada despliegue del spyware deja registros detallados, que se encuentran en un servidor controlado por el cliente y no accesible por Paragon. Pero, según COPASIR, el cliente no puede borrar datos de los registros de auditoría en sus servidores.

El comité también descubrió detalles sobre la relación entre Paragon y sus clientes de inteligencia italianos, AISE y AISI, que dijeron que ya han rescindido sus contratos con Paragon.

La agencia de inteligencia exterior italiana AISE, que empezó a utilizar Graphite el 23 de enero de 2024 tras firmar un contrato un mes antes, ha estado utilizando el spyware de Paragon con el objetivo de investigar «la inmigración ilegal, la búsqueda de fugitivos, el contrabando de combustibles, el contraespionaje, la lucha contra el terrorismo y el crimen organizado, así como para las actividades de seguridad interna de la propia agencia».

Al hacerlo, el informe dice que AISE se dirigió a un número «extremadamente limitado» pero no especificado de usuarios de teléfonos y accedió tanto a las comunicaciones en tiempo real como a las almacenadas enviadas a través de aplicaciones encriptadas de extremo a extremo.

COPASIR dijo que AISI, la agencia de inteligencia nacional italiana, empezó a utilizar Graphite antes, en 2023, y que su contrato, ahora cancelado, habría expirado el 7 de noviembre de 2025. Al igual que AISE, AISI utilizó Graphite en un número pequeño pero no revelado de casos relacionados con la adquisición de comunicaciones en tiempo real, mientras que los casos son «un poco más numerosos» cuando se trata de extraer mensajes de chat almacenados en los dispositivos de un objetivo.

Para cada despliegue de spyware, las agencias dijeron que tenían la aprobación legal adecuada, según el informe.

COPASIR dijo que tuvo la oportunidad de revisar los contratos de Paragon con sus clientes italianos y verificar que existen cláusulas que prohíben el uso del spyware contra periodistas y activistas de derechos humanos.

En marzo, tras una investigación, Citizen Lab publicó un informe sobre Paragon que nombraba a los gobiernos de Australia, Canadá, Chipre, Dinamarca, Israel y Singapur como posibles clientes del fabricante de spyware.

El año pasado, el gigante estadounidense de capital riesgo AE Industrial compró Paragon en un acuerdo que podría alcanzar los 900 millones de dólares.