Una huella que no respeta fronteras
El espionaje con software comercial deja, a diferencia de casi cualquier otro abuso de poder, una huella técnica. Un teléfono infectado conserva rastros que laboratorios como Citizen Lab, de la Universidad de Toronto, o el Laboratorio de Seguridad de Amnistía Internacional pueden analizar y revisar por pares. El rastreo de Diálogo Ciudadano reúne solo casos con esa clase de verificación —forense o judicial—, no meras sospechas. Y al ampliarlo más allá de Iberoamérica, el resultado es inequívoco: veintidós casos documentados en doce países de cuatro continentes, de México a Tailandia, de Polonia a los Emiratos Árabes Unidos.
Esta pieza no es el rastreo —ese vive como base de datos, con su mapa y su catálogo de eventos—. Es la lectura del patrón que emerge cuando se ponen todos los casos sobre un mismo mapa. Y ese patrón importa porque desmonta una idea cómoda: que el spyware mercenario es un problema de regímenes lejanos. No lo es.
El patrón: software israelí, víctimas civiles
Lo primero que salta al ordenar los casos es su uniformidad. El software es, en su abrumadora mayoría, israelí: Pegasus, de NSO Group, aparece en la gran mayoría de los casos, complementado puntualmente por Candiru, el Predator del consorcio Intellexa y el Graphite de Paragon. Y las víctimas, casi siempre, pertenecen a las mismas categorías.
| Perfil de la víctima | Presencia en los casos | Lectura |
|---|---|---|
| Periodistas | Mayoría de los casos | El objetivo recurrente número uno |
| Activistas y defensores de derechos | Muy frecuente | Sociedad civil organizada |
| Opositores políticos | Frecuente | Uso electoral del spyware |
| Abogados | Presente | Vigilancia del litigio estratégico |
La herramienta se vende, según sus fabricantes, para perseguir “terrorismo y delincuencia grave”. Los teléfonos infectados que la investigación forense documenta pertenecen, una y otra vez, a quienes incomodan al poder. Esa es la brecha que el rastreo mide: la distancia entre el uso declarado del software y su uso documentado.
Los casos que cambian la escala del problema
Si la primera versión del rastreo se centró en Iberoamérica —México con seis casos, España con cuatro, Colombia, El Salvador, Panamá—, su ampliación al resto del mundo confirma que el fenómeno no conoce geografía.
| País | Caso emblemático | Verificación |
|---|---|---|
| Polonia | El senador opositor Krzysztof Brejza, hackeado 33 veces en la campaña de 2019 | Citizen Lab + Amnistía |
| Tailandia | Operación GeckoSpy: 30+ activistas prodemocracia infectados | Citizen Lab |
| Emiratos Árabes Unidos | El activista Ahmed Mansoor, uno de los primeros objetivos del mundo (2016) | Citizen Lab + Lookout |
| Arabia Saudí | Pegasus en el entorno de Jamal Khashoggi antes de su asesinato | Citizen Lab |
| Hungría | Periodistas infectados, confirmado por el Pegasus Project | Forbidden Stories + Amnistía |
El caso polaco es especialmente grave por dónde ocurre: una comisión del Senado concluyó después que las elecciones de 2019 fueron injustas por el uso del software, dentro de la Unión Europea. Y el caso saudí es el más sombrío: Citizen Lab halló Pegasus en el entorno de Khashoggi —en el teléfono de su confidente y, después, en el de su esposa— en los meses previos a su asesinato en el consulado de Estambul. Es la prueba más cruda de que la vigilancia mercenaria no es un asunto abstracto de privacidad: puede ser el preludio de la violencia.
La brecha entre vigilancia y atribución
Hay una segunda brecha, más sutil, que el rastreo registra con cuidado: la distancia entre demostrar que un teléfono fue infectado y demostrar quién lo ordenó. El análisis forense puede confirmar con altísima certeza que un dispositivo tiene Pegasus. Atribuir esa infección a un gobierno concreto es más difícil, porque NSO Group afirma vender solo a Estados pero no revela a cuáles.
Por eso el rastreo clasifica cada caso por su nivel de confianza en la atribución del operador —alta, media, circunstancial, circunstancial-fuerte, desconocida— y no funde “hay Pegasus en este teléfono” con “este gobierno lo puso”. Esa disciplina es lo que separa un dataset utilizable en due diligence o en litigio de una acusación sin respaldo.
Por qué es infraestructura, no denuncia
Seguir el spyware comercial como una base de datos estructurada —caso, país, herramienta, fabricante, número de víctimas confirmadas, sector, nivel de atribución, fuente— sirve a quien necesita comparar y verificar. Una ONG de derechos digitales, un despacho que litiga contra un fabricante, un periodista de investigación, un equipo de seguridad corporativa o un regulador de exportación de tecnología de vigilancia necesitan exactamente esto: casos verificados, geolocalizados, con su fuente y su nivel de confianza.
El mapa mundial del rastreo permite ver la incidencia por país de un vistazo y, al pulsar cada país, saltar al caso concreto y su referencia. El valor no está en la indignación, sino en la trazabilidad: poder ir de “spyware en Polonia” a “senador Brejza, 33 infecciones, 2019, verificación Citizen Lab y Amnistía, elecciones declaradas injustas por una comisión del Senado”. Esa cadena es lo que convierte la vigilancia documentada en conocimiento accionable.
Nota metodológica
El rastreo recoge solo casos con verificación forense (análisis de dispositivos por Citizen Lab, Amnistía Internacional u organizaciones equivalentes) o judicial. La ausencia de un país en el mapa significa ausencia de investigación pública verificable, no ausencia de vigilancia. Cada caso documenta la herramienta, el fabricante, el número de víctimas confirmadas y el nivel de confianza con que se atribuye a un operador. Se distingue entre confirmación de la infección y atribución del operador. Este es un tema sensible: si te afecta personalmente la vigilancia, organizaciones como Access Now ofrecen líneas de ayuda especializadas. Diálogo Ciudadano no presta asesoría legal; este rastreo es infraestructura informativa.