El mapa que ningún regulador iberoamericano había dibujado: 12 casos forenses de Pegasus, Graphite y Candiru, y el agujero institucional que les permite seguir operando

El catálogo que faltaba

En enero de 2022, la organización canadiense Citizen Lab publicó Project Torogoz. La metodología era pública. La evidencia forense, peer-reviewed por el Security Lab de Amnistía Internacional. Y la cifra era de las que no se olvidan. Treinta y cinco miembros de medios de comunicación y sociedad civil de El Salvador habían tenido sus teléfonos infectados con Pegasus, el spyware comercial de la empresa israelí NSO Group, entre julio de 2020 y noviembre de 2021. Veintidós de esas víctimas trabajaban en El Faro. El resto estaba repartido entre GatoEncerrado, La Prensa Gráfica, Revista Digital Disruptiva, Diario El Mundo, El Diario de Hoy, Fundación DTJ y Cristosal. Estos no son periodistas anónimos. Son las firmas que han documentado el pacto del gobierno de Nayib Bukele con la MS-13 y los abusos del estado de excepción.

Tres meses después, en abril de 2022, Citizen Lab publicó CatalanGate. Sesenta y cinco personas vinculadas al movimiento independentista catalán, atacadas con Pegasus o Candiru entre 2017 y 2020. Sesenta y tres con Pegasus, cuatro con Candiru, dos con ambos. Las víctimas incluían eurodiputados, los cuatro presidentes de la Generalitat desde 2010, dos presidentes del Parlament, legisladores, abogados, miembros de organizaciones civiles. Tres semanas después, el gobierno español confirmó que también los teléfonos del propio presidente Pedro Sánchez, de la ministra de Defensa Margarita Robles y del ministro del Interior Fernando Grande-Marlaska habían sido atacados con la misma herramienta. La directora del Centro Nacional de Inteligencia fue destituida en el escándalo.

En octubre del mismo año, R3D y SocialTIC en México publicaron, con apoyo técnico de Citizen Lab, una nueva serie de casos verificados. El periodista Ricardo Raphael. El defensor de derechos humanos Raymundo Ramos. Un periodista de Animal Político. Los tres atacados con Pegasus durante la administración de Andrés Manuel López Obrador, a pesar del compromiso público del presidente de que el gobierno no usaba la herramienta. En mayo de 2023, The New York Times reportó que el propio subsecretario de Derechos Humanos del gobierno de López Obrador, Alejandro Encinas, había sido espiado con Pegasus mientras investigaba abusos del Ejército. Es el primer caso confirmado a nivel mundial de un funcionario de alto rango de una administración siendo atacado con Pegasus mientras formaba parte del gobierno.

Estos son casos forensemente verificados, peer-reviewed por al menos dos organizaciones independientes, con publicación pública y metodología abierta. No es opinión. No es denuncia política. Es evidencia técnica de cadena de custodia. Y el dato que importa entender, antes de cualquier análisis, es este: nadie en Iberoamérica los tenía consolidados en un solo mapa.

Lo que cambió en 2025 y lo que no

El año 2025 marcó un cambio importante en la composición del mercado de spyware comercial. NSO Group sigue siendo el nombre dominante pero ya no es el único. Una firma israelí más reciente, Paragon Solutions, comenzó a aparecer en investigaciones forenses con su producto Graphite. El 31 de enero de 2025, WhatsApp notificó a aproximadamente noventa usuarios en dos docenas de países que sus dispositivos habían sido objetivo de Graphite. Los objetivos incluían periodistas, trabajadores humanitarios y activistas. En junio de 2025, Citizen Lab confirmó forensemente tres casos europeos: dos periodistas italianos de Fanpage.it y un tercer periodista anónimo. El comité parlamentario italiano COPASIR confirmó el 5 de junio de 2025 que el gobierno italiano había usado Graphite contra Luca Casarini y Beppe Caccia, dos activistas de la sociedad civil. La empresa Paragon ofreció ayudar al gobierno italiano a investigar el caso del periodista Francesco Cancellato, y el gobierno rechazó la oferta. Paragon cortó después la relación comercial con Italia.

El producto Graphite es propiedad, desde una compraventa de finales de 2024, del fondo estadounidense AE Industrial Partners en una transacción valorada en más de 500 millones de dólares. Paragon tiene contratos activos con el gobierno de Estados Unidos a pesar de las órdenes ejecutivas que prohíben a las agencias federales adquirir spyware mal utilizado por gobiernos extranjeros. Que el gobierno italiano lo haya usado contra activistas de su propia sociedad civil documenta la dificultad de hacer cumplir esas órdenes ejecutivas en la práctica.

Mientras tanto, Intellexa Consortium, fabricante del spyware Predator, fue sancionado por el Departamento del Tesoro de Estados Unidos en marzo de 2024. Tal Dilian, su fundador, ex oficial de inteligencia militar israelí, fue sancionado personalmente junto con cinco entidades comerciales del consorcio. En noviembre de 2024, la corte de Atenas condenó a Dilian y otros tres ejecutivos del consorcio Intellexa a más de ciento veintiséis años de cárcel cada uno por uso de Predator contra al menos ochenta y siete víctimas confirmadas en Grecia, incluyendo periodistas, políticos, militares y empresarios. Bajo la ley griega, la pena máxima efectiva es de ocho años. Insikt Group, el brazo de inteligencia de Recorded Future, identificó en marzo de 2024 operadores activos de Predator en más de una docena de países. Ninguno de esos operadores activos públicamente identificados está en Iberoamérica al cierre de mayo de 2026. Esto puede significar dos cosas. La primera es que Predator no se vende en Iberoamérica. La segunda es que se vende pero la sociedad civil regional no ha conseguido detectar la infraestructura. La primera es improbable. La segunda es operativamente plausible.

El caso colombiano y la diferencia entre denuncia y forensic evidence

El 4 de septiembre de 2024, el presidente colombiano Gustavo Petro convocó a una investigación pública sobre el presunto uso de Pegasus por el gobierno anterior de Iván Duque. La denuncia, basada en información compartida por la Unidad de Información y Análisis Financiero (UIAF), incluía cifras concretas. Entre julio y agosto de 2021, un banco israelí había reportado actividad inusual tras recibir un depósito en efectivo de cinco millones y medio de dólares dirigido a NSO Group Technologies Limited. El pago estaba relacionado, según la UIAF, con un acuerdo de once millones de dólares entre NSO Group y la Dirección de Inteligencia Policial (DIPOL) colombiana. Petro alegó públicamente que el spyware fue traído al país para espiar movimientos juveniles y comunicaciones de la oposición durante un periodo de seis meses.

La denuncia colombiana es importante. Y la denuncia colombiana no es lo mismo que las cifras de El Salvador o España. No hay forensic evidence pública de víctimas individuales colombianas al cierre de mayo de 2026. Hay traza financiera (los movimientos bancarios documentados por la UIAF). Hay alegación presidencial (la declaración de Petro). Hay aviones documentados aterrizando en territorio colombiano en junio y septiembre de 2021. Lo que no hay todavía es un análisis forense de los teléfonos de víctimas específicas confirmando infección con Pegasus, peer-reviewed por Citizen Lab o Amnesty.

El tracker T7 de Diálogo Ciudadano clasifica este caso con la etiqueta reportado, no confirmado. La diferencia es importante metodológicamente. Reportado significa que existe investigación periodística reconocida o denuncia gubernamental con base documental, pero falta forensic evidence. Confirmado significa que existe análisis técnico publicado con metodología abierta. Esta distinción no es pedantería académica. Es protección contra la inflación de cifras que erosiona la credibilidad del periodismo de datos sobre vigilancia. Decir que Colombia tiene un caso reportado pendiente de investigación es preciso. Decir que Colombia tiene el caso confirmado al nivel de El Salvador sería un error.

La pregunta institucional iberoamericana

Cinco años después del Pegasus Project en julio de 2021, la regulación iberoamericana sobre spyware comercial está prácticamente donde estaba antes del escándalo. El Parlamento Europeo creó en 2022 una comisión de investigación (PEGA) cuyo informe final de 2023 documentó abusos en al menos cuatro Estados miembros. La Comisión Europea abrió investigación contra Polonia, Hungría, Grecia y España. Cinco Estados miembros aprobaron desde entonces algún tipo de salvaguarda específica adicional para la vigilancia por servicios de inteligencia. Ninguno prohibió la adquisición de spyware comercial por agencias estatales.

En Iberoamérica el panorama es más limitado. México tiene el escándalo más antiguo de la región, una resolución del Senado en 2017 que pedía investigación, y una nueva investigación abierta por la Fiscalía General en julio de 2025 sobre presunto soborno de veinticinco millones de dólares pagado a Enrique Peña Nieto por intermediarios israelíes para facilitar la compra de Pegasus. La investigación está activa al cierre de mayo de 2026 y depende en parte de cooperación de Israel para extraditar al ex funcionario Tomás Zerón. Colombia tiene la denuncia de Petro pero no tiene resolución judicial. El Salvador rechazó cooperar con la investigación de Citizen Lab y el gobierno de Bukele negó ser cliente de NSO Group. La justicia salvadoreña no abrió investigación. España tiene CNI confirmado como operador de Pegasus contra catalanes con autorización judicial previa. Es decir, en España el uso del spyware fue legal bajo la normativa aplicable.

Diálogo Ciudadano ha tomado nota de un patrón que la cobertura aislada por caso no permite ver. El problema no es que el spyware comercial sea ilegal y se use ilegalmente. El problema es que es legal, está regulado por marcos nacionales heterogéneos y a menudo opacos, y se usa contra blancos que ninguna autoridad democrática reconocería como amenazas legítimas a la seguridad nacional. Periodistas que investigan corrupción. Activistas de derechos humanos. Abogados de víctimas. Funcionarios encargados de investigar abusos militares. La arquitectura legal habilita el uso. La arquitectura institucional no lo impide. La arquitectura de rendición de cuentas no llega a establecer responsabilidades.

El consorcio Intellexa fue sancionado por el Tesoro estadounidense en marzo de 2024. Sus ejecutivos fueron condenados en Atenas en noviembre de 2024 a penas que, en la práctica, no excederán ocho años. Eso es lo que está en oferta como rendición de cuentas penal contra la industria del spyware comercial. Es información operativa. Para una empresa que vende capacidad de espionaje a estados, ocho años de cárcel del directivo principal y sanciones financieras a una entidad sustituible son un costo de operación, no una barrera estructural. Mientras eso siga siendo el caso, el mercado seguirá funcionando.

Lo que el tracker T7 documenta y lo que no

El tracker T7 de Diálogo Ciudadano publica al cierre de mayo de 2026 doce casos forense o judicialmente documentados de uso de spyware comercial contra individuos en Iberoamérica. Los doce casos suman aproximadamente ciento quince víctimas individuales confirmadas como mínimo, aunque la cifra real es seguramente más alta. La mayoría de víctimas confirmadas se concentran en tres episodios: El Salvador (treinta y cinco víctimas), España (sesenta y cinco confirmados en CatalanGate más Sánchez y dos ministros), y México (decena de víctimas distribuidas en varias investigaciones forenses entre 2017 y 2022). Cuatro países iberoamericanos aparecen con casos documentados en el mapa: México, España, El Salvador y Colombia.

Los diecisiete países iberoamericanos restantes que el tracker contempla (Argentina, Bolivia, Brasil, Chile, Costa Rica, Cuba, Ecuador, Guatemala, Honduras, Nicaragua, Panamá, Paraguay, Perú, Portugal, República Dominicana, Uruguay, Venezuela) no aparecen con casos documentados. Esto no significa ausencia de vigilancia comercial. Significa que, al cierre de esta versión del tracker, ninguna investigación forense pública verificable contra víctimas individuales de esos países ha sido publicada. Casos no detectados existen casi seguramente en al menos algunos de esos diecisiete. Lo que no existe es la cadena periodística y forense que los detecte y publique con metodología abierta.

Para que el tracker crezca con honestidad metodológica, lo que tiene que pasar es: las organizaciones forenses internacionales (Citizen Lab, Amnistía) tienen que recibir muestras de teléfonos sospechosos de los activistas y periodistas regionales; las organizaciones locales de derechos digitales tienen que escalar (en LATAM destacan R3D México, Karisma Colombia, ADC Argentina, IRIS Brasil); las herramientas de auto-diagnóstico como Mobile Verification Toolkit de Amnesty tienen que ser usadas de manera más sistemática por la sociedad civil regional. Sin ese trabajo de campo, los casos existen pero no aparecen en mapas. Y lo que no aparece en mapas, en términos de discusión pública y reforma regulatoria, no existe.

El tracker T7 se actualizará con cadencia mensual conforme aparezcan investigaciones forenses nuevas en fuentes públicas. La promesa editorial es estricta: cada caso requiere al menos dos fuentes independientes, atribución estatal solo cuando exista confirmación judicial o forense, y etiqueta de tres niveles de confianza para distinguir casos confirmados de los reportados o alegados. El objetivo no es producir el dato más impactante. Es producir el dato que sobreviva al escrutinio.

Metodología y fuentes

Fuentes primarias consultadas:

• Citizen Lab, Munk School, University of Toronto — reportes Project Torogoz (enero 2022), CatalanGate (abril 2022), New Pegasus Spyware Abuses Identified in Mexico (octubre 2022), Graphite Caught (junio 2025), y cobertura continua de NSO Group, Paragon Solutions, Intellexa Consortium.
• Amnistía Internacional, Security Lab — verificación independiente y peer review de hallazgos forenses de Citizen Lab.
• Access Now, Digital Security Helpline — triaje técnico de casos identificados via línea de ayuda.
• R3D (Red en Defensa de los Derechos Digitales) México — investigación forense en colaboración con Citizen Lab.
• ARTICLE 19 México y Centroamérica — coautor de investigaciones sobre Pegasus en México.
• SocialTIC México — coautor.
• Apple, notificaciones de ataque state-sponsored (operativas desde noviembre 2021).
• WhatsApp, notificaciones de ataque de Paragon Graphite (enero 2025, aproximadamente noventa usuarios).
• US Department of the Treasury, sanciones a Intellexa Consortium (marzo 2024).
• Tribunal de Atenas, sentencia contra Tal Dilian y tres ejecutivos de Intellexa (noviembre 2024).
• COPASIR (Comité Parlamentario para la Seguridad de la República, Italia), informe sobre uso gubernamental de Graphite (junio 2025).
• The New York Times — cobertura del caso Alejandro Encinas (mayo 2023).
• Reuters, BBC, The Guardian, El País, El Faro, Latin America Reports — cobertura periodística verificada por caso.
• Unidad de Información y Análisis Financiero (UIAF) Colombia — información sobre traza bancaria de pago a NSO Group por DIPOL.
• The Marker (Israel) — investigación sobre presunto soborno a Peña Nieto en compra de Pegasus (julio 2025).
• Carnegie Endowment for International Peace — Global Inventory of Commercial Spyware (marzo 2024).

Cifras clave verificadas:

• 35 víctimas El Salvador → Citizen Lab Project Torogoz, peer-reviewed Amnesty
• 65 víctimas CatalanGate → Citizen Lab (63 Pegasus + 4 Candiru, 2 con ambos)
• 4 presidentes Generalitat desde 2010 → Carles Puigdemont, Quim Torra, Pere Aragonès, Artur Mas
• 3 miembros del gobierno español (Sánchez, Robles, Grande-Marlaska) → confirmación oficial gobierno mayo 2022
• 10+ víctimas México documentadas → R3D + Citizen Lab + ARTICLE 19 + SocialTIC
• ~90 usuarios notificados por WhatsApp Graphite enero 2025 → WhatsApp + Citizen Lab
• 87 víctimas confirmadas Predator en Grecia → sentencia tribunal Atenas noviembre 2024
• 11 millones USD acuerdo Colombia-NSO Group denunciado → UIAF Colombia vía Petro septiembre 2024
• 25 millones USD soborno alegado Peña Nieto → Fiscalía General México julio 2025 (caso activo)
• 74 gobiernos contratantes 2011-2023 → Carnegie Endowment Global Inventory

Lo que esta pieza no afirma:

• No afirma que existan únicamente doce casos de spyware comercial en Iberoamérica. Afirma que existen doce casos forense o judicialmente documentados en fuentes públicas verificables al cierre de mayo de 2026.
• No atribuye operador estatal sin evidencia. Cuando la atribución es circunstancial, se indica así. Cuando es judicial o forense, se reporta como tal.
• No predice cuándo aparecerán nuevos casos. Sí declara cadencia editorial de actualización mensual del tracker T7.
• No afirma que la ausencia de casos en un país significa ausencia de vigilancia comercial. Significa ausencia de investigación forense publicada.

Conflictos de interés. Diálogo Ciudadano no recibe financiamiento de NSO Group, Paragon Solutions, Intellexa Consortium, Candiru, ni de ningún competidor de la industria de spyware comercial. Tampoco de las organizaciones forenses citadas como fuente (Citizen Lab, Amnesty International, Access Now, R3D, ARTICLE 19, SocialTIC). Esta pieza no tiene patrocinador.

Producción editorial. Esta pieza fue producida en mayo de 2026 por Yaneth Vickari S., experta en regulación digital de Diálogo Ciudadano basada en Madrid, con verificación de fuentes contra publicaciones forenses originales. La verificación de cada caso fue triple: Citizen Lab como fuente primaria, organización civil regional como fuente secundaria (Amnesty Tech Lab / R3D / Access Now / ARTICLE 19 según el caso), y medio periodístico reconocido como fuente terciaria (NYT, Reuters, BBC, El País, El Faro, etc.). Cualquier error es responsabilidad editorial.

Última actualización: 21 de mayo de 2026. El tracker T7 acompaña esta pieza y se actualiza con cadencia mensual. La pieza misma se reescribirá cuando haya cambios sustantivos en el estado de las investigaciones colombiana, mexicana o italiana, o cuando aparezcan nuevos casos forenses en otros países iberoamericanos.