que pediste. Me centro en los dos casos más recientes y documentados (Predator en Angola y Grecia, y Graphite en Italia/EE.UU.), añado cómo detectarlos técnicamente y una comparativa directa con Pegasus. Todo basado en informes forenses de Amnesty International Security Lab, Citizen Lab, Reuters y tribunales oficiales. La vigilancia selectiva no es teoría: sigue evolucionando con zero-days y reestructuraciones corporativas para evadir sanciones.

1. Predator (Intellexa / Cytrox) en Angola: primer caso forense confirmadoEn febrero 2026, Amnesty International Security Lab publicó la primera confirmación forense de Predator en Angola (mayo 2024).

• Víctima: Teixeira Cândido, periodista del Jornal de Angola, jurista, activista de libertad de prensa y exsecretario general del Sindicato de Periodistas Angolanos (SJA). Crítico del gobierno y de restricciones a la prensa antes de las elecciones de 2027.
• Cómo ocurrió: No fue zero-click puro. El atacante (número desconocido) se hizo pasar por “estudiante investigando” vía WhatsApp, envió al menos 10 enlaces maliciosos durante dos meses. Cândido clicó uno el 4 de mayo de 2024 → infección breve (solo unas horas). Predator accedió a mensajes, fotos, ubicación, micrófono y cámara.
• Contexto: Primera vez documentada en Angola, pero infraestructura de Predator estaba activa en el país desde 2023. Coincide con represión previa a elecciones. Amnesty no atribuye directamente al gobierno angoleño, pero es el patrón habitual.
• Impacto personal: Cândido declaró: “Me sentí literalmente desnudo”. El caso se detectó gracias a análisis forense de su iPhone y colaboración con RSF Digital Security Lab.

Este caso se une al de 2025 en Pakistán (abogado de derechos humanos de Baluchistán atacado vía WhatsApp). Demuestra que Intellexa seguía operativo en 2025 pese a sanciones estadounidenses.2. Predator en Grecia: condena histórica (Predatorgate, febrero 2026)El 26 de febrero de 2026, un tribunal de Atenas condenó a cuatro directivos de Intellexa a 126 años y 8 meses de prisión cada uno (suspendida pendiente de apelación) por violación masiva de datos privados y comunicaciones.

• Condenados: Tal Dilian (fundador israelí, exoficial de inteligencia), Sara Hamou (socia), Felix Bitzios (accionista) y Yiannis Lavranos (dueño de Krikel, empresa que compró Predator para Grecia).
• Hechos: Escándalo de 2022 (“Predatorgate” o “Watergate griego”). Infectaron ~84-87 teléfonos de periodistas (ej. Thanasis Koukakis), políticos opositores, empresarios y militares. El gobierno griego negó uso oficial, pero el caso explotó cuando se detectó Predator junto a espionaje legal por EYP (servicio de inteligencia).
• Actualización marzo-abril 2026: Dilian anunció que apelará (“no seré chivo expiatorio”). El Parlamento Europeo debatió el caso el 9 de marzo de 2026 y EDRi lo calificó como “ruptura histórica de la impunidad” en la UE. El Supremo griego ya había absuelto a instituciones estatales en 2024, pero la condena a los vendedores es un precedente sin igual en Europa.

Predator usó zero-click y enlaces; Intellexa adaptó su infraestructura (rebranding, servidores en Hungría, etc.) pese a sanciones de EE.UU. desde 2023-2024.3. Graphite (Paragon Solutions) en Italia y EE.UU.: casos en curso 2025-2026

• Italia (marzo 2026): Citizen Lab y WhatsApp confirmaron infecciones en al menos 3-5 personas clave:
  • Activistas pro-migrantes (Luca Casarini de Mediterranea Saving Humans, Giuseppe Caccia, David Yambio).
  • Periodistas de Fanpage.it (Francesco Cancellato y Ciro Pellegrino, que publicaron sobre vínculos de Meloni con jóvenes fascistas).
  • Un ejecutivo de comunicaciones (Francesco Nicodemo).
    WhatsApp notificó ~90 víctimas europeas en enero 2025. Paragon canceló contrato con Italia en febrero 2025 tras las denuncias. El gobierno Meloni admitió algunos usos “legales” pero negó los de periodistas.
• EE.UU. (abril 2026): ICE (Inmigración y Aduanas) confirmó ante el Congreso que compró y usa Graphite para “casos de narcotráfico”. Contrato de 2 millones USD (2024), suspendido temporalmente por Biden y reactivado en septiembre 2025. Paragon fue adquirida por AE Industrial Partners (EE.UU.) y reestructurada (fusión con REDLattice) para sortear la orden ejecutiva que prohíbe spyware riesgoso. Graphite se vende como “herramienta policial” pero Citizen Lab la documentó atacando civiles.

Graphite es más “selectivo” (enfocado en apps de mensajería al principio) pero igual de invasivo.4. Cómo detectarlos técnicamente (2026)Ninguno deja iconos visibles. La detección es forense:

• Herramienta principal: Mobile Verification Toolkit (MVT) de Amnesty International (gratuito, open-source). Analiza backups completos de iPhone/Android buscando IOCs (indicadores de compromiso) de Pegasus, Predator, Graphite y similares. Funciona en línea de comandos; guías actualizadas en docs.mvt.re.
• Notificaciones oficiales: Apple, Google y WhatsApp envían alertas directas (“Apple detected a targeted mercenary spyware attack…”). Cada vez más frecuentes en 2025-2026.
• Señales indirectas (no definitivas): drenaje rápido de batería, sobrecalentamiento, uso anormal de datos, reinicios extraños.
• Avanzado: iVerify o Jamf Mobile Forensics (para empresas). En iOS <26, revisar shutdown.log y containermanagerd logs (Predator y Pegasus dejan huellas ahí; iOS 26 las borra parcialmente).
• Limitación: Si es zero-click reciente, solo labs como Citizen Lab o Amnesty pueden confirmarlo con certeza. Para uso personal: actualiza siempre, usa GrapheneOS/CalyxOS y evita clics sospechosos.

5. Comparativa rápida Pegasus vs. Predator vs. Graphite (2026)

Aspecto	Pegasus (NSO)	Predator (Intellexa)	Graphite (Paragon)
Zero-click	Sí (iMessage, etc.)	Sí (adaptado)	Sí (WhatsApp y más)
Zero-days usados	Muchos (histórico líder)	15 desde 2021 (Google TAG)	Menos público, pero en auge
Uso principal	Periodistas, opositores global	Similar + adaptación post-sanciones	Activistas, periodistas, migración
Clientes	+50 países (democracias y no)	Grecia, Angola, Pakistán, Egipto	Italia, EE.UU. (ICE), Europa
Estado actual	Sancionado, pero operativo	Operativo pese a sanciones (leaks 2025)	Comprado por fondos EE.UU.
Detección	MVT + Apple alerts	MVT + shutdown.log	MVT + WhatsApp alerts

Conclusión: Todos son “espionaje como servicio” vendido a gobiernos. Predator y Graphite están ganando terreno porque Pegasus está más vigilado. Los vendors explotan más zero-days que estados-nación (Google 2025). La impunidad sigue (Israel bloquea cooperaciones), pero condenas como Grecia 2026 son un avance raro.