El Comité parlamentario europeo que investiga el uso indebido del software espía Pegasus ha visto cómo uno de sus miembros, el exdiputado griego y periodista Stelios Kouloglou, fue vulnerado en dos ocasiones mientras ejercía su labor de supervisión. Según el Citizen Lab de la Universidad de Toronto, la intrusión tuvo lugar en octubre de 2022 y se repitió en marzo de 2023, ambas mediante un exploit “zero‑click” que aprovechó una vulnerabilidad previamente parcheada en el sistema operativo de iPhone. La ausencia de interacción por parte del usuario permitió que el código malicioso accediera a mensajes, registros de ubicación, fotos y a la propia conversación ambiental que se producía cuando Kouloglou estaba hospitalizado.
El hallazgo tiene un peso especial porque la víctima formaba parte del Comité PEGA, encargado de elaborar un informe sobre el empleo de Pegasus por gobiernos europeos. La coincidencia temporal –el primer ataque se produjo justo cuando el comité debatía borradores que señalaban casos en Chipre, Grecia, Hungría, Polonia y España– sugiere una intención de silenciar o desestabilizar el proceso de investigación. En la segunda fase, el espionaje se produjo mientras Kouloglou se desplazaba de Atenas a Bruselas, en plena fase de audiencias que precedían la publicación del documento final.
Los investigadores no atribuyeron el ataque a un Estado concreto, pero señalaron que la dirección de correo utilizada para la entrega del payload coincidía con la empleada en campañas anteriores que comprometieron a periodistas en varios países europeos. Esa reutilización indica que el cliente gubernamental contaba con la autorización de NSO Group, empresa israelí proveedora del spyware, para operar en múltiples jurisdicciones de la UE. NSO no ofreció comentarios ante la solicitud de información, al igual que la Comisión Europea, cuyo portavoz permaneció en silencio.
El método empleado explotó una falla en el componente de “smart home” de iOS, originalmente detectada por equipos de seguridad y ya corregida por Apple. La falta de actualización del dispositivo de Kouloglou permitió que el código insertara un backdoor sin necesidad de que él realizara alguna acción, como abrir un enlace o instalar una aplicación. Entre los datos extraídos se encontraban correspondencia privada, detalles de su agenda y, potencialmente, grabaciones de conversaciones en la sala de hospital, lo que abre un espectro de vulneraciones que trasciende lo meramente profesional.
La reacción dentro del Parlamento no se hizo esperar. Un eurodiputado describió el suceso como “un ataque directo al Estado de Derecho” y pidió a la Comisión Europea que impusiera límites estrictos al uso de tecnologías de vigilancia en los veintisiete Estados miembros. Kouloglou, por su parte, manifestó su indignación al descubrir que su vida privada había sido vulnerada y confirmó su intención de iniciar acciones legales contra NSO Group. La empresa, que ya enfrenta restricciones en EE. UU. tras una orden ejecutiva que prohibió su empleo por parte del gobierno estadounidense, había anunciado el año pasado la entrada de capital de un fondo de inversión estadounidense, movimiento interpretado como un intento de rehabilitar su imagen tras numerosas denuncias de violaciones de derechos humanos.
El caso refuerza la urgente necesidad de un marco regulatorio europeo que delimite el empleo de herramientas de “Tecnología” de vigilancia, garantizando que su uso se restrinja a investigaciones de delitos graves y que se implemente una supervisión independiente. Mientras el Comité PEGA avanza hacia la publicación de su informe, la exposición de este ataque interno pone de relieve la vulnerabilidad de los propios inspectores ante la misma arma que supervisan, creando un círculo vicioso que amenaza la confianza en las instituciones democráticas.
En última instancia, la revelación de que un miembro del órgano de control haya sido blanco de Pegasus subraya la paradoja de una era en la que la capacidad de espiar se ha democratizado, pero su control sigue siendo esquivo. El debate que se avivará en Bruselas en los próximos meses no solo determinará la legislación sobre spyware, sino que también marcará un punto de inflexión en la relación entre seguridad, privacidad y responsabilidad gubernamental en el contexto digital.


GIPHY App Key not set. Please check settings