Promotores italianos confirmam uso de spyware Paragon contra jornalista
Aprofundamento CEVIU
Aprofundamento
O spyware Graphite da Paragon não é só mais um software de vigilância: ele explora uma falha zero-click no iOS (CVE-2025-43200) que foi corrigida apenas em janeiro de 2025 com o iOS 18.3.1, meses após as infecções reais em dezembro de 2024. Isso significa que, mesmo com atualizações automáticas habilitadas, dispositivos de jornalistas e ativistas permaneceram vulneráveis por semanas, pois a correção exigia atualização manual para versões anteriores. O ataque contra Francesco Cancellato, editor-chefe da Fanpage.it, foi detectado pelo WhatsApp apenas em janeiro de 2025, mas a invasão já havia ocorrido, e durado semanas. A Paragon, apesar de afirmar vender exclusivamente para 'democracias' e proibir alvos como jornalistas, teve seus contratos com a Itália rescindidos unilateralmente em fevereiro de 2025, após a confirmação dos ataques. A empresa foi comprada pela RED Lattice por mais de US$ 500 milhões, mas sua reputação de 'alternativa ética' desmoronou quando o Citizen Lab identificou ao menos quatro jornalistas europeus como alvos confirmados, incluindo um terceiro que pediu anonimato.
O caso italiano não é isolado: o WhatsApp notificou cerca de 90 usuários em mais de 20 países europeus em janeiro de 2025, todos suspeitos de terem sido infectados pelo Graphite. A Meta e a Apple agiram em conjunto, a primeira com notificações diretas, a segunda com patches críticos, mas sem coordenação com autoridades nacionais. Isso expôs uma lacuna operacional grave: os governos não têm mecanismos técnicos próprios para detectar esses ataques; dependem de empresas privadas ou de ONGs como o Citizen Lab. O relatório do COPASIR, de junho de 2025, admitiu que não conseguiu identificar quem ordenou a vigilância contra Cancellato, o que revela tanto a opacidade dos processos quanto a dificuldade real de atribuição, mesmo com evidências forenses robustas.
Por que isso importa
Para empresas brasileiras que lidam com dados sensíveis ou atuam em setores regulados (finanças, saúde, infraestrutura), esse caso mostra que a ameaça de spyware comercial não é teórica: ela opera em tempo real, explora falhas reais em sistemas comuns (iOS, Android, Windows), e pode ser adquirida por Estados-membros da UE, sem transparência, sem controle parlamentar efetivo e sem responsabilização. A ausência de leis nacionais que regulem aquisição e uso de ferramentas de vigilância por agências públicas abre brechas para abusos que afetam diretamente a segurança de colaboradores, fontes jornalísticas e até parceiros comerciais. Além disso, o fato de a Paragon ter sido comprada por uma empresa norte-americana e manter contratos com o ICE dos EUA, mesmo após suspensão por ordem executiva, demonstra que a cadeia de suprimento de spyware está cada vez mais globalizada, opaca e difícil de rastrear jurisdicionalmente.
Perguntas frequentes
O que é o CVE-2025-43200 e por que ele é perigoso?
É uma vulnerabilidade zero-click no iOS que permitia ao Graphite invadir iPhones sem qualquer interação do usuário. Foi corrigida apenas no iOS 18.3.1, lançado em janeiro de 2025. Dispositivos com versões anteriores permaneceram expostos por meses, mesmo com atualizações automáticas ativadas, porque a correção exigia instalação manual.
Por que a Paragon dizia ser 'mais ética' que a NSO Group?
A empresa afirmava vender apenas para países democráticos e incluir cláusulas contratuais proibindo o uso contra jornalistas ou sociedade civil. Mas os ataques na Itália provaram que essas garantias não são verificáveis nem aplicáveis, e que a Paragon rescindiu seus contratos com o governo italiano assim que os casos vieram à tona.
Quem realmente detectou os ataques, e por que isso importa para empresas?
O Citizen Lab, uma ONG canadense, identificou as infecções. Autoridades italianas só confirmaram meses depois. Isso mostra que governos e empresas não têm capacidade técnica interna para detectar spyware avançado, dependem de terceiros. Para empresas brasileiras, isso reforça a necessidade de monitoramento contínuo de indicadores de comprometimento (IOCs), não só de antivírus tradicionais.
Existe alguma proibição real de spyware na Europa?
Não há proibição unificada ainda, mas a European Digital Rights (EDRi) lançou em janeiro de 2026 um 'Spyware Document Pool' e pressiona pela proibição total na UE. O Parlamento Europeu já aprovou resoluções não vinculantes exigindo transparência, mas sem mecanismos de fiscalização. Enquanto isso, países como a Itália usam essas ferramentas sob a justificativa de 'segurança nacional', sem revisão judicial prévia.
Fontes
- techcrunch.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 06 de março de 2026
- Editoria
- CEVIU Segurança da Informação
