Citizen Lab revela: Pegasus infecta dos veces a Stelios Kouloglou, del comité PEGA del Parlamento Europeo

El exeurodiputado griego y periodista fue infectado en octubre de 2022 y marzo de 2023, según confirma Citizen Lab con alta certeza. Alguien vulneró su privilegio parlamentario para espiar las deliberaciones del comité que investigaba los abusos del spyware.

El spyware Pegasus infectó dos veces el teléfono del exeurodiputado Stelios Kouloglou mientras éste formaba parte del comité PEGA del Parlamento Europeo, creado precisamente para investigar los abusos de esa misma herramienta. Es la primera vez que un miembro del comité PEGA aparece como víctima pública de espionaje con la tecnología de NSO Group.

Kouloglou, periodista griego y eurodiputado sustituto, se había sometido a pruebas de seguridad antes de unirse al comité en 2022 y no esperaba que nadie tuviera la osadía de infectarlo. “Habría sido un escándalo mayúsculo si me hackeaban mientras estaba en el panel”, declaró a CyberScoop. Y sin embargo, alguien lo hizo.

Dos infecciones mientras el comité preparaba sus audiencias más delicadas

La investigación del Citizen Lab, publicada el viernes y basada en el análisis forense del dispositivo del exdiputado, concluye con “alta certeza” que Kouloglou recibió dos infecciones de Pegasus: una hacia octubre de 2022 y otra en torno a marzo de 2023.

Publicidad

La primera infección se produjo cuando el comité preparaba algunas de sus audiencias más relevantes y el primer borrador del informe. Kouloglou estaba ingresado en un hospital y recibió la visita de otro periodista griego que había testificado ante el comité y cuyo teléfono ya había sido infectado anteriormente con spyware. La capacidad del malware para capturar audio en directo hace plausible que las conversaciones en el entorno sanitario quedaran comprometidas.

La segunda infección coincidió con “discusiones intensas relacionadas con la redacción final del informe”, según Citizen Lab. En aquel momento, el comité negociaba las conclusiones políticas del escándalo que sacudía a la Eurocámara, incluidas las revelaciones sobre el uso de Predator en Grecia.

Hannah Neumann, eurodiputada alemana y miembro del comité PEGA, no se mostró sorprendida: “Muchos esperábamos ciberataques durante el trabajo del comité, pero sigue siendo frustrante constatar que ocurrió de verdad”, señaló. Neumann recordó que los servicios de TI del Parlamento Europeo realizaron comprobaciones limitadas, pero no suficientes.

“Es irónico que un miembro del comité encargado de investigar Pegasus fuera atacado con el spyware Pegasus. Alguien, en algún lugar, quería violar el privilegio parlamentario y escuchar lo que se decía allí”, afirmó Ron Deibert, director del Citizen Lab.

El tradecraft del ataque: cómo Pegasus se cuela en el bolsillo de un parlamentario

espionaje eurodiputados

Pegasus no necesita que la víctima pulse un enlace. Mediante un exploit de día cero (zero-day) o de un clic (zero-click), el malware se instala silenciosamente y otorga al atacante acceso completo al micrófono, la cámara, los mensajes y los archivos del dispositivo. En el caso de un parlamentario, el objetivo no eran datos personales, sino privilegio parlamentario: las deliberaciones confidenciales del comité PEGA.

El director del Citizen Lab, Ron Deibert, fue tajante: “Este caso demuestra que la industria del spyware mercenario, todavía sin regular, es venenosa para los procesos democráticos”. John Scott-Railton, investigador senior del laboratorio, añadió una advertencia: “El próximo capítulo lo conocemos: habrá más parlamentarios hackeados. De hecho, sospecho que hay eurodiputados votando y asistiendo a reuniones de alto nivel sin saber que su teléfono se ha convertido en un espía en su bolsillo”.

Dossier Moncloa: Ojos en la Sombra

El vector de amenaza es el ciberataque con spyware comercial de tipo Pegasus, suministrado por la empresa israelí NSO Group a agencias gubernamentales de todo el mundo. La atribución concreta del ataque a Kouloglou sigue sin esclarecerse: Citizen Lab no ha podido identificar al cliente que disparó las infecciones. Las agencias defensoras —los servicios de seguridad informática del Parlamento Europeo— fracasaron en su detección, pese a las alertas previas. Entre los terceros interesados figuran todos los Estados que compran Pegasus y, desde luego, el propio NSO Group, que afronta nuevas demandas judiciales.

Publicidad

El nivel de clasificación de la información comprometida es, a mi juicio, Sensible pero no formalmente clasificada. Las deliberaciones del comité PEGA no tenían la consideración de secreto de Estado, pero formaban parte del núcleo duro de la función parlamentaria europea. Su violación toca la médula del mandato representativo.

El precedente no es nuevo. Ya escribí en El quinto elemento que “el próximo 11S empezará con un clic”. Pegasus y Predator han sido herramientas de intromisión en España (el caso del presidente Sánchez y de ministros en 2022), en Polonia, en Hungría y en Grecia. Siempre con la misma matriz: gobiernos que espían a opositores, periodistas y, ahora, a los propios parlamentarios encargados de fiscalizarlos.

Lo veo como un síntoma de un desequilibrio más profundo: el secretismo con que los servicios de inteligencia compran capacidades ofensivas a empresas privadas opacas deja vacío de contenido el control democrático. La respuesta no puede limitarse a otra comisión de investigación. La eurodiputada Neumann lo dijo con claridad: “No necesito otro comité, necesito que actúen”. Kouloglou, por su parte, ya ha anunciado acciones legales contra NSO Group, siguiendo una senda judicial difícil pero que otros, como los periodistas de El Faro en El Salvador, han empezado a recorrer con éxito.

Queda la pregunta de cuántos teléfonos de parlamentarios están comprometidos sin que nadie se haya molestado en comprobarlo. Le invito, lector, a reflexionar sobre qué tipo de democracia se construye cuando quienes legislan no pueden hablar en privado sin riesgo de que una agencia extranjera esté escuchando. La próxima cita será la aplicación —o el entierro— de las recomendaciones del comité PEGA. Si se archivan, el mensaje que enviaremos a los mercaderes del spyware será peor que un silencio: será un permiso.