WhatsApp notifica a 200 usuarios que instalaron una aplicación falsa creada por el fabricante de spyware italiano SIO.

      WhatsApp ha notificado a aproximadamente 200 usuarios, principalmente en Italia, que fueron engañados para instalar una versión falsa de la aplicación de mensajería que en realidad era un software espía del gobierno. La aplicación falsa fue creada por SIO, una empresa italiana de tecnología de vigilancia que desarrolla software espía para agencias de aplicación de la ley y de inteligencia a través de su subsidiaria ASIGINT. WhatsApp dijo que había identificado proactivamente a los usuarios afectados, los había desconectado de sus cuentas, les había advertido sobre los riesgos de privacidad y les había instado a eliminar el cliente falso e instalar la aplicación oficial de una fuente confiable. La compañía le dijo a TechCrunch que también planea enviar una demanda legal formal a SIO para detener cualquier actividad maliciosa vinculada a la campaña.

      La divulgación, reportada por primera vez por el periódico italiano La Repubblica y la agencia de noticias ANSA, marca la segunda vez en poco más de un año que WhatsApp ha nombrado públicamente a un proveedor de software espía que opera contra sus usuarios en Italia. A principios de 2025, WhatsApp alertó a alrededor de 90 usuarios, incluidos periodistas y activistas pro-inmigración, que habían sido objetivo de Paragon Solutions, una empresa de vigilancia estadounidense-israelí cuyo producto insignia, Graphite, fue desplegado por los servicios de inteligencia nacionales y extranjeros de Italia. Esa revelación desencadenó una crisis política en Roma. El comité de supervisión de inteligencia parlamentaria de Italia, COPASIR, confirmó el uso de Graphite y encontró que siete italianos habían sido objetivo. Posteriormente, Paragon cortó lazos con las agencias de espionaje de Italia después de que el gobierno se negó a verificar si el software espía había sido utilizado contra un periodista específico, Francesco Cancellato del sitio de noticias Fanpage.

      El software espía de SIO opera a través de un modelo diferente. El malware, identificado en su propio código como Spyrtacus, está incrustado en aplicaciones falsas diseñadas para parecer software legítimo. Los investigadores han encontrado 13 muestras diferentes de Spyrtacus que datan de 2019, siendo la más reciente de finales de 2024. Las versiones anteriores suplantaron aplicaciones de Android de proveedores móviles italianos como TIM, Vodafone y WINDTRE, así como versiones falsas anteriores de WhatsApp. TechCrunch expuso por primera vez la campaña de distribución de Android de SIO en febrero de 2025. La última operación, que apunta a iPhones, representa una expansión de la táctica al ecosistema de Apple. Una vez instalado, Spyrtacus puede robar mensajes de texto, historiales de chat y registros de llamadas, así como grabar audio y video directamente desde el micrófono y la cámara del dispositivo.

      El mecanismo de entrega es tan revelador como el malware mismo. En Italia, las autoridades obtienen rutinariamente la cooperación de los operadores móviles, que envían enlaces de phishing a sus propios clientes en nombre de la aplicación de la ley. El objetivo recibe lo que parece ser una notificación de actualización rutinaria de su proveedor, dirigiéndolo a instalar lo que parece ser una actualización estándar de WhatsApp. El ministerio de justicia italiano ha mantenido una lista de precios y un catálogo que muestra cómo las autoridades pueden obligar a las empresas de telecomunicaciones a enviar tales mensajes, un sistema que efectivamente convierte la red móvil en un canal de distribución para herramientas de vigilancia estatal. El costo de alquilar software espía en Italia es notablemente bajo: a finales de 2022, las fuerzas del orden podían acceder a estas herramientas por tan solo 150 € al día, sin los altos costos de adquisición inicial que típicamente limitan el despliegue en otros países.

      La posición de Italia como un centro de software espía es inusual entre las democracias occidentales. Empresas como Hacking Team, Cy4Gate, RCS Lab y Raxir han estado basadas en el país, atraídas por un marco legal que proporciona una base estatutaria formal para el “captatore informatico”, o interceptor informático, efectivamente software troyano sancionado por el estado. Fabio Pietrosanti, presidente del Centro Hermes para la Transparencia y los Derechos Humanos Digitales, ha dicho que el software espía se despliega con más frecuencia en Italia que en cualquier otro lugar de Europa porque el bajo costo y la regulación permisiva lo hacen accesible a una gama mucho más amplia de agencias de aplicación de la ley que en los países vecinos. El resultado es un ecosistema en el que las fuerzas policiales municipales, no solo las agencias nacionales de inteligencia, pueden encargar operaciones de vigilancia contra individuos.

      La portavoz de WhatsApp, Margarita Franklin, le dijo a TechCrunch que la compañía aún no podía confirmar si los 200 usuarios afectados incluían a periodistas o miembros de la sociedad civil. “Nuestra prioridad ha sido proteger a los usuarios que pueden haber sido engañados para descargar esta falsa aplicación de iOS”, dijo. La compañía no especificó si había referido el asunto a los fiscales italianos o a alguna autoridad reguladora. Apple y SIO no respondieron a las solicitudes de comentarios.

      El panorama legal en torno al software espía comercial ha cambiado sustancialmente en el último año. En mayo de 2025, un jurado de California ordenó a NSO Group, el fabricante israelí de Pegasus, pagar a WhatsApp 167 millones de dólares en daños punitivos después de encontrar que había habilitado hackeos de aproximadamente 1,400 usuarios a través de ataques de cero clic. Un juez federal posteriormente redujo la indemnización a 4 millones de dólares, pero impuso una orden judicial permanente que prohíbe a NSO apuntar a la infraestructura de WhatsApp. NSO ha apelado. La empresa matriz de WhatsApp, Meta, describió el veredicto como un hito, y desde entonces ha ampliado su estrategia legal contra la industria de vigilancia en general. La demanda legal formal que WhatsApp pretende enviar a SIO sigue el mismo patrón: utilizar litigios y divulgación pública como disuasivos contra las empresas que obtienen ganancias al comprometer plataformas de mensajería encriptadas.

      La proliferación de proveedores de software espía presenta un desafío que se extiende mucho más allá de cualquier plataforma única. Apple ha enviado notificaciones de amenazas de software espía mercenario a usuarios en más de 150 países desde 2021, alertando a individuos que cree han sido objetivo de ataques patrocinados por el estado. En abril de 2025, Apple notificó al periodista italiano Ciro Pellegrino, una de las víctimas de Paragon, que había sido objetivo. Los sistemas de notificación gestionados por Apple y WhatsApp ahora representan el mecanismo principal por el cual las víctimas de la vigilancia gubernamental aprenden que han sido comprometidas, una función que alguna vez fue dominio exclusivo de los investigadores especializados de la industria de ciberseguridad.

      El mercado global de interceptación legal fue valorado en 4 mil millones de dólares en 2023 y se proyecta que alcanzará los 15 mil millones de dólares para 2032, creciendo a aproximadamente un 16 por ciento anualmente. Ese crecimiento no está siendo impulsado por los exploits de cero clic al estilo Pegasus que atraen titulares, sino por el tipo de herramientas de bajo costo basadas en phishing que vende SIO. La barrera de entrada para la vigilancia gubernamental ha caído al punto en que un departamento de policía local en una ciudad italiana de tamaño mediano puede encargar la misma clase de despliegue de software espía que alguna vez fue exclusivo de las agencias nacionales de inteligencia. La brecha entre la ambición regulatoria y la capacidad de aplicación en Europa significa que los marcos legales que rigen estas herramientas no han mantenido el ritmo con la velocidad a la que están siendo adoptadas.

      Lo que hace que el caso de SIO sea distinto del escándalo de Paragon es el método. Graphite de Paragon utilizó exploits de cero clic que no requerían ninguna acción del objetivo. Spyrtacus de SIO requiere que el objetivo instale una aplicación falsa, un enfoque de ingeniería social que se basa en la confianza en el operador y la familiaridad con las actualizaciones rutinarias de aplicaciones. El hecho de que las telecomunicaciones italianas participen en la cadena de entrega, enviando mensajes de phishing a sus propios suscriptores a solicitud del estado, convierte la infraestructura móvil en un instrumento de vigilancia. Es una cosa que un gobierno pirateé un teléfono. Es otra que la compañía telefónica ayude.

      La decisión de WhatsApp de nombrar públicamente a SIO y notificar a los usuarios afectados sigue el patrón más amplio de las plataformas tecnológicas que se afirman como contrapesos a la vigilancia estatal de maneras que habrían sido impensables hace una década. La compañía no solo está parcheando una vulnerabilidad. Está identificando al proveedor, alertando a las víctimas y amenazando con acciones legales, una postura que posiciona a una aplicación de mensajería propiedad de Meta como un control más efectivo sobre el abuso del software espía gubernamental que cualquier organismo regulador europeo ha logrado hasta la fecha. Si esa dinámica es tranquilizadora o alarmante depende de su opinión sobre dónde debería recaer la responsabilidad de proteger a los ciudadanos de sus propios gobiernos.

      Para los 200 usuarios en Italia que recibieron la notificación de WhatsApp, la pregunta inmediata es más estrecha: ¿quién autorizó la vigilancia y sobre qué base legal? La respuesta puede que nunca se haga pública. El marco de interceptación legal de Italia permite el uso