El documento reporta exfiltración de información, miles de eventos de control remoto y activaciones del micrófono. Aunque el informe no identifica responsables, el funcionario denunció que la interferencia se habría originado desde el Ministerio de Defensa.
Un análisis forense practicado a un iPhone 15 Pro Max atribuido a Andrés Idárraga Franco, entonces secretario de Transparencia y hoy ministro de Justicia encargado, documentó la presencia del software espía Pegasus, desarrollado por NSO Group Technologies.
El informe fue elaborado por Forensic Strategic Group (FSG), con apoyo de Incoseg, y concluye un hallazgo positivo, sustentado en cuatro indicadores de compromiso (IOC) coincidentes con infraestructura asociada a NSO Group. De acuerdo con el documento, el nivel de certeza técnica es calificado como alto.
Según la reconstrucción forense, la infección se evidencia desde el 1 de agosto de 2025, fecha en la que se registraron eventos como la activación de servicios camuflados, la inyección de librerías maliciosas y mecanismos de persistencia que permitieron accesos reiterados al dispositivo. El análisis señala que estas acciones facilitaron un acceso prolongado y sostenido.
En relación con el impacto, el informe estima que fueron exfiltrados 2,3 gigabytes de información, enviados de forma silenciosa y continua a servidores de comando y control (C2). El documento no especifica el contenido exacto de los datos transferidos.
Asimismo, se identificaron al menos 8.876 eventos de control remoto, entre ellos 8.742 registros de pulsaciones de teclado (keylogging) y 134 activaciones remotas del micrófono, además de otras acciones asociadas a control y persistencia del sistema.
Entre los componentes afectados se incluyen el sistema operativo iOS, servicios críticos del sistema, la aplicación MobileMail, bases internas de contactos, datos de WhatsApp y de ubicación, así como perfiles de configuración fraudulentos y servicios ejecutados con privilegios elevados.
Respecto a la cámara, el informe indica que no se hallaron registros concluyentes de grabación o extracción de imágenes. No obstante, se identificaron eventos técnicos compatibles con activaciones del componente, aclarando que la ausencia de registro no descarta la capacidad, aunque no se afirma de manera categórica por rigor pericial.
Finalmente, el documento no atribuye responsabilidades institucionales ni penales. Sin embargo, Idárraga denunció públicamente que la presunta interferencia se habría originado desde el Ministerio de Defensa Nacional, señalamiento que deberá ser evaluado por las autoridades judiciales competentes.
