En 2022 y 2023, el Comité PEGA del Parlamento Europeo llevó a cabo una investigación sobre el abuso de software espía en toda la Unión Europea, en respuesta a revelaciones periodísticas sobre el uso de la tecnología Pegasus, desarrollada por el grupo NSO. Este escándalo no solo ha puesto de relieve problemas éticos y legales en el uso de tecnología de vigilancia, sino que también ha planteado serias preguntas sobre la protección de la privacidad y la seguridad de los propios legisladores europeos.
Recientemente, se ha revelado que el propio comité no ha estado a salvo de las garras de este software malicioso. En un informe publicado el viernes, el Citizen Lab de la Universidad de Toronto informó que se encontró spyware Pegasus en el teléfono de Stelios Kouloglou, un periodista griego y miembro suplente del Comité PEGA. Este es el primer caso documentado en el que un miembro del comité ha sido identificado públicamente como víctima del software espía Pegasus, lo que añade una capa de gravedad a la situación.
Para Kouloglou, el hallazgo de Pegasus en su dispositivo fue una sorpresa. Sin embargo, para otros miembros del Comité PEGA, este descubrimiento era algo que se esperaba, aunque con cierto retraso. Para Citizen Lab, era irónico que un miembro del comité encargado de investigar el uso de Pegasus fuera él mismo objeto de una infección por este mismo software. Esta situación hace evidente que se necesita un esfuerzo mucho mayor para prevenir abusos de este tipo de software espía, incluyendo la implementación de las recomendaciones del informe final del Comité PEGA, que hasta ahora no han sido puestas en práctica en el Parlamento Europeo.
Kouloglou explicó a CyberScoop que había realizado pruebas de seguridad en su teléfono antes de unirse al Comité PEGA en 2022, por lo que no creía que alguien se atreviera a intentar infectar su dispositivo tras convertirse en miembro del panel. Dada la atención que ha recibido el uso del spyware Predator en Grecia, expresó que "sería un gran escándalo" si su teléfono fuera hackeado mientras formaba parte del comité. Sin embargo, las investigaciones de Citizen Lab concluyeron con "alta confianza" que alguien había infectado su teléfono con Pegasus en dos ocasiones: una en octubre de 2022 y otra en marzo de 2023.
Durante la primera infección, el comité se encontraba en medio de preparativos para importantes audiencias y redactando su primer informe. En ese momento, Kouloglou estaba hospitalizado y recibió la visita de otro periodista griego que había testificado ante el comité y que también había sido víctima de un ataque de spyware anteriormente. Dada la capacidad de los programas espías para escuchar a través de dispositivos infectados, es posible que esta infección haya vulnerado las protecciones para los datos de salud.
En la segunda infección, el panel estaba preparando más audiencias y "estaba inmerso en intensas discusiones relacionadas con el proceso de redacción final", según Citizen Lab. La investigación sobre el teléfono de Kouloglou se llevó a cabo en mayo, tras una conversación con un abogado que le sugirió que había una manera de enviar los datos de su dispositivo a la organización de investigación, en un momento en que Kouloglou estaba realizando reportajes de investigación y escribiendo una columna titulada "el escándalo de la semana". "Dije: '¿Por qué no? Vamos a hacerlo'", comentó.
Hannah Neumann, miembro del Comité PEGA y eurodiputada alemana, subrayó que quien infectó el teléfono de Kouloglou lo hizo en "momentos cruciales" del trabajo del comité. "Muchos de nosotros esperábamos algunos hackeos durante el comité, pero ahora sigue siendo frustrante descubrir que realmente ocurrió", declaró Neumann a CyberScoop. "Cuando decidimos crear el Comité PEGA, trabajamos arduamente con el departamento de seguridad informática del Parlamento Europeo para que pudieran realizar revisiones de spyware para los miembros del Comité y su personal".
Tanto Kouloglou como Neumann pudieron solo especular sobre quién pudo estar detrás de esta infección. Sin embargo, para ambos, así como para Citizen Lab, el motivo parece claro. "Es irónico que un miembro del comité encargado de investigar Pegasus haya sido él mismo objeto del spyware Pegasus", afirmó Ron Deibert, fundador y director de Citizen Lab. "Alguien, en algún lugar, probablemente quería violar el privilegio parlamentario y averiguar qué estaba sucediendo en ese comité. Este caso demuestra cómo la industria de spyware mercenaria, aún no regulada y altamente abusiva, es tóxica para los procesos democráticos".
Kouloglou ha expresado su intención de emprender acciones legales contra NSO Group. Muchos de los afectados por spyware han tenido dificultades para ganar demandas contra los fabricantes de este software, aunque no todos han fracasado. NSO Group, con sede en Israel, no respondió a una solicitud de comentario el jueves por la tarde.
Neumann hizo hincapié en que las lecciones aprendidas tras la infección del teléfono de Kouloglou incluyen la necesidad de que "los miembros de los parlamentos nacionales y del Parlamento Europeo realicen chequeos regulares de sus dispositivos. Aparentemente, no respetan la democracia europea ni el parlamentarismo". Más importante aún, enfatizó que es momento de implementar las recomendaciones del Comité PEGA. "No sé cuánto más necesita para que los estados miembros y la Comisión se despierten y empiecen a implementar las muy buenas recomendaciones de nuestro Comité PEGA, porque todos sabemos que hay un abuso del spyware", subrayó Neumann. "No necesito otro comité para eso. Solo necesito que actúen".
John Scott-Railton, investigador senior del Citizen Lab, advirtió que Kouloglou probablemente no será el último miembro del parlamento en ser infectado. Algunos ya habían sido víctimas antes de la labor del Comité PEGA, y otros han sido identificados como objetivos desde entonces. "Proporcionar a agencias gubernamentales altamente secretivas herramientas de vigilancia suministradas por empresas mercenarias irresponsables y, a menudo, poco éticas es una receta para el abuso de poder", señaló a CyberScoop. "Puedo anticipar cómo será el próximo capítulo: más parlamentarios hackeados. De hecho, sospecho que hay miembros que votan y asisten a reuniones de alto nivel sin tener idea de que su teléfono se ha convertido en un espía en su bolsillo".
Este caso no solo resalta la vulnerabilidad de los propios legisladores ante la tecnología de vigilancia, sino que también plantea serias preocupaciones sobre la protección de la privacidad y la integridad de los procesos democráticos. La falta de acción efectiva para regular la industria del spyware y la creciente evidencia de su abuso representan un desafío urgente que los gobiernos deben abordar con rapidez y determinación.