Los investigadores de Citizen Lab, el prestigioso laboratorio canadiense de ciberseguridad, han revelado detalles alarmantes sobre una sofisticada campaña de ciberespionaje que comprometió dispositivos iPhone ejecutando iOS 18.2.1. El ataque utilizó el spyware Graphite, desarrollado por la empresa israelí Paragon Solutions, explotando una vulnerabilidad zero-day previamente desconocida para infiltrarse en los dispositivos de periodistas europeos.
Campaña de Espionaje Dirigida Contra Medios de Comunicación
La investigación documentó ataques específicos contra dos profesionales de la comunicación: un corresponsal europeo cuya identidad permanece protegida y Ciro Pellegrino, periodista del medio italiano Fanpage.it. El análisis forense de los dispositivos comprometidos reveló conexiones a un servidor de comando y control idéntico, confirmando la naturaleza coordinada de esta operación de ciberespionaje.
Lo más preocupante del caso es el tiempo transcurrido entre el ataque inicial, ocurrido a principios de 2025, y la notificación a las víctimas el 29 de abril, cuando Apple les envió alertas oficiales sobre la presencia de «software espía avanzado» en sus dispositivos.
Análisis Técnico de la Vulnerabilidad CVE-2025-43200
El vector de ataque se basó en la explotación de CVE-2025-43200, una vulnerabilidad crítica que afectaba el procesamiento de contenido multimedia en iOS. Los ciberdelincuentes utilizaron iMessage como canal de distribución del payload malicioso, enviando mensajes especialmente diseñados desde cuentas controladas por los atacantes.
La sofisticación técnica del ataque radicaba en su capacidad de ejecutar código remoto sin requerir interacción del usuario. Los mensajes maliciosos explotaban una falla lógica en el manejo de contenido multimedia transmitido a través de iCloud Link, permitiendo la instalación silenciosa del spyware Graphite.
Infraestructura de Comando y Control
Una vez establecido en el dispositivo objetivo, Graphite iniciaba comunicaciones con su infraestructura de comando y control. El análisis del tráfico de red identificó conexiones al servidor 46.183.184.91, una dirección IP que los investigadores vincularon directamente con la infraestructura operativa de Paragon Solutions.
Respuesta de Apple y Medidas Correctivas
Apple abordó la vulnerabilidad mediante el lanzamiento de iOS 18.3.1 en febrero de 2025. El boletín de seguridad oficial describió el problema como «una falla lógica en el procesamiento de fotografías o videos maliciosos transmitidos mediante iCloud Link». Resulta significativo que el identificador CVE correspondiente fue asignado oficialmente solo la semana pasada, evidenciando los complejos procesos de divulgación responsable en vulnerabilidades de alto impacto.
Perfil Corporativo de Paragon Solutions
Paragon Solutions Ltd. emergió en el panorama de ciberseguridad en 2019, posicionándose como proveedor especializado de herramientas de cibervigilancia para agencias gubernamentales y organismos de seguridad de naciones democráticas. La compañía fue adquirida en diciembre de 2024 por AE Industrial Partners, un fondo de inversión estadounidense con sede en Florida.
A diferencia de NSO Group, conocida por múltiples controversias, Paragon ha mantenido un perfil más discreto, alegando políticas estrictas de venta que supuestamente limitan el uso de sus productos a la persecución de criminales peligrosos. Sin embargo, este incidente plantea interrogantes sobre la efectividad de tales controles.
Vectores de Ataque Adicionales y Expansión de Amenazas
La investigación también documentó el uso de Graphite a través de otros canales de distribución. Durante la primavera de 2025, WhatsApp corrigió una vulnerabilidad zero-day similar que había sido explotada para la instalación del mismo spyware en dispositivos objetivo.
Este incidente subraya la importancia crítica de mantener actualizados los sistemas operativos móviles y demuestra la creciente sofisticación de las amenazas dirigidas contra la plataforma iOS. Los profesionales de seguridad recomiendan la instalación inmediata de todas las actualizaciones de seguridad disponibles y el ejercicio de extrema precaución al interactuar con mensajes sospechosos, incluso aquellos aparentemente provenientes de contactos conocidos.
