Un exmiembro del Parlamento Europeo que ayudó a investigar el abuso de software espía comercial fue él mismo repetidamente objetivo con Pegasus, según un new report from cybersecurity researchers at Citizen Lab . El caso ha reavivado las preocupaciones sobre el uso de herramientas de vigilancia contra políticos, periodistas y la sociedad civil.
Citizen Lab descubrió que el iPhone de Stelios Kouloglou, periodista griego y exmiembro del Parlamento Europeo, fue infectado con Pegasus al menos tres veces entre octubre de 2022 y marzo de 2023. Durante ese periodo, Kouloglou formó parte del Comité PEGA del Parlamento, creado para investigar el uso y mal uso de software espía como Pegasus en toda la Unión Europea.
Los investigadores afirmaron que los ataques coincidieron con momentos clave en el trabajo del comité, lo que genera preocupación de que el operador pudiera haber solicitado acceso a discusiones parlamentarias confidenciales o a información relacionada con la investigación. Sin embargo, Citizen Lab afirmó que no pudo identificar de forma concluyente al gobierno o al cliente responsable de desplegar el software espía.
“No esperaba que un miembro de PEGA fuera espiado por Pegasus”, dijo Kouloglou a Reuters, describiendo el ataque como tanto impactante como imprudente dado su papel en la investigación de prácticas de vigilancia ilegal.
Pegasus, desarrollado por la empresa israelí de ciberinteligencia NSO Group, es capaz de comprometer silenciosamente iPhones y dispositivos Android, permitiendo a los operadores acceder a mensajes, correos electrónicos, fotos, datos de ubicación, micrófonos y cámaras sin que el usuario lo sepa. NSO sostiene que vende el software únicamente a clientes gubernamentales verificados para su uso contra delitos graves y terrorismo, aunque la empresa ha enfrentado repetidamente acusaciones de que sus productos se han utilizado para atacar a periodistas, políticos de la oposición, abogados y activistas de derechos humanos.
El Parlamento Europeo no comentó directamente el caso de Kouloglou, pero afirmó que sus equipos de ciberseguridad monitorizan continuamente las amenazas contra los sistemas parlamentarios. Añadió que las herramientas de detección de software espía están disponibles para los legisladores desde 2022 y que el Parlamento pidió recientemente que esas protecciones se extiendan a todos los dispositivos utilizados para el trabajo parlamentario.
Se cree que el incidente es el primer caso documentado públicamente en el que un miembro del Comité PEGA fue objetivo con Pegasus mientras formaba parte activamente del comité. Los defensores de la privacidad afirman que este descubrimiento ilustra el creciente desafío de proteger a las instituciones democráticas de tecnologías de vigilancia comerciales que pueden desplegarse contra quienes investigan su mal uso.
Citizen Lab advirtió que el caso pone de manifiesto los riesgos persistentes que supone el software espía mercenario, incluso después de años de escrutinio público y esfuerzos regulatorios. Los investigadores pidieron una mayor supervisión de las herramientas comerciales de vigilancia y mayores protecciones para funcionarios electos, periodistas y otros que puedan convertirse en objetivos debido a su trabajo.
