Los investigadores de Pegasus consiguieron a Pegasus

15

Stelios Kouloglou conocía el juego. Era eurodiputado y formaba parte del grupo de trabajo especial de la UE que buscaba software espía. En el verano de 2022 viajó por el continente, sentándose con víctimas de vigilancia digital, desvelando capas de un escándalo que involucraba a periodistas, jefes de policía y políticos por igual. Pensó que estaba sosteniendo la lupa. No sabía que la lente se estaba volviendo hacia él.

Entonces salieron los datos. Su iPhone estaba comprometido. Por Pegaso. La misma herramienta para la que fue contratado para exponer.

“Fue algo realmente demasiado imprudente”, dice.

Es una broma oscura. Un investigador hackeado por el crimen que investiga. Kouloglou pasó años investigando este asunto antes de unirse al parlamento, por lo que no fue ingenuo respecto de las amenazas. Aún. El impacto es diferente cuando es tu propio teléfono el que suena con malware. Ahora está enojado. Con razón.

Aquí está el trasfondo que probablemente conozca pero que necesita escuchar nuevamente. Pegasus no es sólo una aplicación que descargas por accidente. Explota los agujeros en iOS y Android para burlar las defensas. ¿Una vez dentro? La cámara rueda. El micrófono permanece abierto. Mensajes, fotos, listas de contactos, todo va para quien pagó por ello. Desarrollado por NSO Group, una empresa israelí cuya mayoría de sus acciones fueron compradas recientemente por inversores estadounidenses en 2025, el software espía se vende a los gobiernos. Teóricamente para atrapar terroristas. ¿En la práctica? Se utiliza a menudo con periodistas, activistas y políticos molestos.

El Citizen Lab de la Universidad de Toronto abandonó el informe forense el viernes pasado. El momento no podría ser peor. O mejor, dependiendo de si te gusta el drama. El teléfono de Kouloglou no fue atacado ni una sola vez. Pero varias veces. Primero el 21 de octubre de 2202, mientras estaba en el hospital recuperándose de una cirugía electiva. Imaginar. Tumbado ahí. Vulnerable. Luego lo visita un periodista de investigación griego, Thanasis Koukakis, que había sido pirateado por otro software espía llamado Predator. Ellos hablan. Quizás sobre el comité. Quizás sobre el caso.

Luego silencio. Hasta marzo de 2023. El comité se estaba preparando para audiencias clave. Estaban a punto de interrogar a los proveedores de software espía. Entonces es cuando Pegaso ataca de nuevo. Los días 6 y 7 de marzo. ¿Coincidencia? Dígame usted.

La ironía es asfixiante.

Hannah Neumann, otra eurodiputada de la comisión que es partidaria del medio ambiente y que definitivamente no es sutil al respecto, lo calificó de absurdo. Los atacantes no sólo estaban observando al tipo. Estaban observando la investigación.

“Espiamos la investigación de espionaje”, le dice Neumann a WIRED. Así fue como se desarrolló.

Los investigadores del Citizen Lab hicieron una inmersión profunda. No pudieron determinar quién ordenó los ataques. No hay prueba irrefutable que apunte a una agencia gubernamental específica. Esta vez descartaron explícitamente al gobierno griego, lo cual es importante porque Grecia estaba en medio de su propio lío de software espía al estilo “Watergate” que involucraba al software Predator de Intellexa aproximadamente al mismo tiempo. Pero las huellas coinciden. Los vectores de ataque se superpusieron con intentos contra siete periodistas de habla rusa y bielorrusa entre finales de 2020 y principios de 2023. Es un patrón. Siempre es un patrón.

John Scott-Railton, de Citizen Lab, lo expresa sin rodeos.

“Es la temporada abierta de software espía para los legisladores europeos.”

Nadie está preparado. ¿Parlamentos nacionales? Indefenso. ¿La UE? Durmiendo.

Kouloglou admite que probablemente vio las advertencias de “bloqueo” de Apple: las alertas que dicen “oye, alguien podría estar hackeándote”. Las recibió en marzo y agosto de 2303. Nuevamente en abril de 2404. Pero las notificaciones llegan tarde. Cuando llega la carta, el robo ya está hecho. De todos modos, no recuerda haberlos visto. ¿Quién mira su pantalla en busca de errores cuando está ocupado salvando la democracia?

Lo que molesta a la mayoría de la gente es que nada ha cambiado. El Comité PEGA terminó su trabajo. Entregó una lista de demandas. Construir un laboratorio tecnológico de la UE para análisis forense. Crear un grupo de trabajo sobre software espía para las elecciones. Asegure los canales. Pasaron los años. El polvo se asentó. Y luego bam. Un miembro del comité se arraiga.

Europa ha ignorado el problema hasta que éste le mordió la mano que lo alimentaba.

El portavoz del Parlamento Europeo no quiso dar detalles a WIRED, pero señaló algunos “sistemas de selección” para los eurodiputados. Medidas. Ampliaciones de protección. Suena a jerga tecnológica para decir “lo estamos intentando”. Pero esfuérzate más. Las recomendaciones están ganando molde digital.

Scott-Railton califica la situación de embarazosa. Y no se equivoca. Otras naciones se han mudado. Estados Unidos ha sancionado a proveedores, prohibido visas y utilizado órdenes ejecutivas para enfriar el mercado de software espía. Europa sólo debate. Mientras tanto, la IA está abaratando esto. Más fácil. Más rápido. La barrera de entrada está desapareciendo.

Kouloglou considera la violación como una violación de su vida personal. Mensajes con niños. Con familiares. No sólo cosas de trabajo. Vida.

“No es sólo una cuestión de privacidad. Es justicia. Democracia.”

Quiere responsabilidad. Pero la rendición de cuentas requiere acción. Hasta ahora, el silencio es más fuerte que las alarmas del software espía.