Por Canuto  

Un nuevo informe de Citizen Lab concluyó que el periodista y ex eurodiputado griego Stelios Kouloglou fue hackeado con Pegasus mientras participaba en la investigación del Parlamento Europeo sobre los abusos de ese mismo spyware. El caso vuelve a poner bajo presión a la Comisión Europea y revive el debate sobre el uso de herramientas de vigilancia contra periodistas, activistas y opositores políticos.
***

  • Citizen Lab halló que Stelios Kouloglou fue comprometido con Pegasus al menos en 2022 y 2023.
  • El político griego participaba en el comité PEGA, creado para investigar el comercio y abuso de spyware en Europa.
  • El caso reabre críticas por la falta de consecuencias frente al uso de software espía contra periodistas y opositores.


El teléfono móvil del periodista y exmiembro del Parlamento Europeo Stelios Kouloglou fue hackeado repetidamente con Pegasus mientras trabajaba en la investigación europea sobre vendedores y abusos de software espía. La revelación añade un elemento especialmente delicado al debate político en la Unión Europea.

La investigación fue publicada por Citizen Lab, el grupo de vigilancia digital de la Universidad de Toronto. Según ese informe, el iPhone de Kouloglou fue comprometido al menos en dos ocasiones entre 2022 y 2023 mediante spyware fabricado por la empresa israelí NSO Group.

El hecho destaca porque Kouloglou formaba parte del comité PEGA del Parlamento Europeo. Ese organismo fue creado precisamente para examinar el comercio de Pegasus y otras herramientas de vigilancia utilizadas por gobiernos dentro del bloque.

En la práctica, el caso sugiere que una persona dedicada a investigar el abuso de estas tecnologías terminó siendo objetivo del mismo ecosistema que intentaba escrutar. Esa coincidencia elevó la gravedad política del episodio y reactivó exigencias de controles más severos.

Pegasus es uno de los spyware más conocidos y controvertidos del mundo. NSO sostiene que vende esta tecnología solo a gobiernos y agencias policiales para monitorear terroristas y delincuentes graves, pero múltiples investigaciones la han vinculado con espionaje a periodistas, activistas y opositores.

Un hackeo en plena investigación europea

Citizen Lab indicó que Kouloglou fue hackeado en octubre de 2022 y al menos dos veces durante marzo de 2023. En uno de esos incidentes, el iPhone fue comprometido con un exploit de cero clic.

Ese tipo de ataque no requiere que la víctima abra enlaces ni descargue archivos. El dispositivo puede quedar infectado de forma silenciosa, lo que convierte a esta técnica en una de las formas más sofisticadas y costosas de intrusión móvil.

De acuerdo con TechCrunch, el exploit aprovechó una vulnerabilidad de seguridad en el software del iPhone de Apple. La falla ya había sido corregida, pero la actualización correspondiente aún no estaba instalada en el teléfono de Kouloglou.

El mismo medio señaló que la vulnerabilidad estaba relacionada con el software de hogar inteligente de Apple usado en iPhone. A partir de ese acceso, el spyware podía obtener mensajes, correspondencia, datos de ubicación, fotografías y otra información privada sin conocimiento del propietario.

La fecha de octubre de 2022 coincide con un período de intensas discusiones por correos y mensajes antes de un primer borrador del comité. Ese documento abordaba abusos de spyware en Chipre, Grecia, Hungría, Polonia y España.

Citizen Lab también situó nuevos hackeos el 6 y 7 de marzo de 2023. Esos episodios ocurrieron cuando Kouloglou viajaba de Atenas a Bruselas, en medio de audiencias del comité y meses antes de la adopción del informe final por escrito.

TechCrunch agregó un detalle especialmente sensible sobre el episodio de octubre de 2022. El hackeo coincidió exactamente con el momento en que Kouloglou estaba hospitalizado para una cirugía programada.

Ese contexto abre la posibilidad de que los operadores del spyware escucharan conversaciones ambientales sobre su atención médica o encuentros con visitantes. Aunque no se presentó evidencia pública sobre el contenido captado, la sola capacidad técnica agrava la dimensión del caso.

Qué contenía el teléfono y por qué importa

Kouloglou explicó que en su iPhone había comunicaciones con el ex primer ministro griego Alexis Tsipras. También almacenaba información médica privada y contactos periodísticos, además de otros datos personales de alto valor.

En declaraciones recogidas por distintos medios, el ex eurodiputado expresó su enojo al conocer la intrusión. Dijo que el robo no afectaba solo intercambios profesionales o mensajes con ministros, sino también recuerdos íntimos y momentos personales.

Para un periodista y político, el contenido de un teléfono no es un simple archivo digital. Allí pueden convivir fuentes confidenciales, conversaciones con dirigentes, notas de trabajo, patrones de movimiento y material sensible protegido por derechos fundamentales.

Ese punto es central para entender por qué el caso trasciende a la persona afectada. Cuando una herramienta de vigilancia accede a información de periodistas, legisladores o figuras opositoras, la discusión deja de ser puramente técnica y entra de lleno en el terreno democrático.

Kouloglou afirmó que no sabe con certeza qué gobierno pudo haberlo convertido en objetivo del spyware de NSO. También aseguró que hará todo lo posible para descubrir quién fue responsable del ataque.

En conversación con TechCrunch, dijo que considera haber sido objetivo por su trabajo en el comité del Parlamento Europeo. Además, describió el compromiso deliberado de su teléfono como una acción “imprudente”.

El político griego anunció igualmente que planea demandar a NSO Group. Esa intención coloca a la empresa israelí otra vez en el centro de posibles disputas judiciales ligadas a derechos humanos y vigilancia extrajudicial.

Lo que halló Citizen Lab y las dudas sobre el autor

El informe no atribuye el espionaje a un país específico ni identifica públicamente al cliente que utilizó Pegasus. Sin embargo, los investigadores sí encontraron indicios de que la misma entidad apuntó también a siete periodistas independientes rusoparlantes y bielorrusos, además de activistas opositores radicados en Europa.

Ese patrón sugiere una operación con alcance transfronterizo. También refuerza las sospechas de que el software habría sido empleado para vigilar a voces críticas fuera de los supuestos límites de seguridad nacional invocados por sus vendedores.

Según TechCrunch, el cliente gubernamental reutilizó la misma dirección de correo electrónico cargada de Pegasus usada en una campaña previa contra periodistas en Europa. Aunque la identidad exacta del cliente sigue sin conocerse, esa reutilización apuntaría a una continuidad operativa relevante.

El medio añadió que la repetición de esa infraestructura implica que el cliente tenía autorización de NSO Group para desplegar Pegasus en varios países europeos. NSO no respondió a las solicitudes de comentarios enviadas antes de la publicación del informe.

Tampoco hubo respuesta inmediata de la compañía a preguntas citadas por Bloomberg. Esa ausencia de comentarios mantiene intactas las dudas sobre mecanismos de supervisión, control geográfico y responsabilidad del fabricante frente al uso de su tecnología.

Los ataques contra miembros del Parlamento Europeo no son inéditos, pero siguen siendo poco comunes. Antes de este caso, Pegasus ya había sido vinculado con el espionaje a cuatro legisladores catalanes entre 2019 y 2020 y a un representante francés en 2023.

No obstante, el episodio de Kouloglou marca el primer incidente conocido en el que un miembro en funciones del comité PEGA fue hackeado. Ese dato convirtió la revelación en un símbolo de la profundidad de la crisis del spyware dentro de Europa.

Presión sobre la Comisión Europea y debate político

El comité PEGA concluyó en 2023 que las tecnologías como Pegasus representaban una “amenaza para la democracia y los derechos fundamentales”. Por ello, pidió reglas más estrictas sobre cómo podían venderse y utilizarse dentro de la Unión Europea.

Para varios críticos, el nuevo caso demuestra que esas advertencias no fueron atendidas con suficiente firmeza. La preocupación no se limita al pasado, porque plantea si las instituciones europeas siguen sin herramientas eficaces para disuadir estos abusos.

John Scott-Railton, investigador senior de Citizen Lab, sostuvo que el caso expone la necesidad de una respuesta más contundente por parte de la Comisión Europea. A su juicio, alguien del propio comité encargado de investigar Pegasus terminó infectado con ese spyware mientras las recomendaciones posteriores fueron ignoradas.

La ex eurodiputada neerlandesa Sophie in ’t Veld, relatora del comité PEGA, fue aún más directa. Dijo que no ve el ataque a Kouloglou como un incidente aislado, sino como parte de un sistema de agresiones sostenidas.

Según su valoración, durante cinco años ha existido completa impunidad frente al abuso de software espía. Añadió que no ha habido absolutamente ninguna consecuencia y que el verdadero escándalo es la ausencia de acciones para detener la práctica.

Un legislador europeo en ejercicio, citado por TechCrunch sin ser nombrado, describió el hackeo como un “ataque directo al estado de derecho”. También pidió a la Comisión Europea imponer límites estrictos al uso de spyware en los 27 Estados miembros.

Desde la Comisión, el portavoz Antoine Lomba declaró por correo electrónico que la institución está trabajando para abordar el uso ilegal del spyware desde varios ángulos del derecho de la UE. Añadió que cualquier intento de acceder ilegalmente a datos de ciudadanos, incluidos periodistas y opositores políticos, es inaceptable.

Lomba sostuvo además que se trata de un tema complejo que debe afrontarse de manera integral. Según esa explicación, algunos desafíos ya fueron abordados mediante legislación y otros se atienden con herramientas no legislativas.

Un caso con impacto más allá de Europa

El caso también tiene resonancia fuera del continente europeo por la trayectoria internacional de Pegasus. En Estados Unidos, NSO permanece mayormente vetada tras una orden ejecutiva de la era Biden que prohibió el uso gubernamental de spyware susceptible de violar derechos humanos.

Aun así, el año pasado la empresa confirmó que un grupo de inversión estadounidense no identificado canalizó decenas de millones de dólares hacia la compañía. Ese movimiento fue interpretado como parte de un posible esfuerzo por rehabilitar una marca muy golpeada por señalamientos de abusos.

Para audiencias interesadas en tecnología, regulación y mercados digitales, el episodio funciona como recordatorio de que la infraestructura de vigilancia avanzada es ya un asunto geopolítico. No se trata solo de ciberseguridad, sino también de gobernanza, derechos civiles y control sobre herramientas de intrusión de alto costo.

La historia de Kouloglou ilustra además un problema recurrente de la economía tecnológica contemporánea. Sistemas desarrollados con justificación de seguridad pública pueden terminar operando en zonas opacas donde la supervisión institucional llega tarde o resulta insuficiente.

Ese mismo dilema aparece hoy en otros campos como la inteligencia artificial, el análisis masivo de datos y la vigilancia algorítmica. La pregunta de fondo es quién audita a quienes poseen tecnologías capaces de observar, perfilar o penetrar la vida privada de ciudadanos y representantes públicos.

Kouloglou dijo que decidió hacer pública su historia por la democracia, los derechos humanos y la lucha contra la corrupción. Su mensaje final resume por qué este caso difícilmente quede reducido a un incidente técnico entre un teléfono y un software espía.


Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín