Investigaba el spyware Pegasus: se lo instalaron dos veces en su móvil

Investigaba el spyware Pegasus: se lo instalaron dos veces en su móvil

SpywarePegasusParlamento EuropeoNSOCiberseguridadPrivacidad

Fuentes:HN + Citizen Lab + web research · HN

El 3 de julio de 2026, el Citizen Lab de la Universidad de Toronto publicó un informe. Al terminar de leerlo, solo me venían cuatro palabras a la cabeza: ironía en estado puro.

El protagonista es un político griego llamado Stelios Kouloglou, ex eurodiputado. Entre 2022 y 2023 fue miembro de la comisión PEGA del Parlamento Europeo, cuyo nombre completo es «Comisión de Investigación sobre el Uso de Pegasus y Programas Espía de Vigilancia Equivalentes». Dicho en plata: su trabajo diario consistía en investigar quién estaba usando Pegasus para espiar ilegalmente a otras personas.

Y entonces, en medio de esa investigación, su propio teléfono fue hackeado con Pegasus. No una vez: dos.

El cazador se convirtió en la presa.

El periodista griego y eurodiputado Stelios Kouloglou

▲ Stelios Kouloglou, periodista griego y eurodiputado. Fuente: Citizen Lab

1. Un paciente en la cama del hospital… con el móvil intervenido

Retrocedamos al 21 de octubre de 2022. Ese día, Kouloglou estaba ingresado en un hospital de Atenas para una cirugía programada. No estaba trabajando, ni en una reunión, ni siquiera mirando el teléfono: estaba tumbado en la cama.

Un periodista de investigación griego, Thanasis Koukakis, fue a visitarlo. El propio Koukakis ya era víctima de programas espía: a principios de 2022 se descubrió que su móvil había sido infectado con otro spyware llamado Predator. Los dos pasaron un buen rato charlando en la habitación sobre la investigación de los programas espía, sobre el plan de trabajo de la comisión PEGA. Koukakis incluso hizo una foto de recuerdo.

Ese mismo día. En el mismo momento en que se tomó esa foto. El teléfono de Kouloglou estaba siendo hackeado con éxito por Pegasus.

Foto tomada por Koukakis el día del hackeo

▲ 21 de octubre de 2022. El periodista griego Koukakis visita a Kouloglou en el hospital. En ese preciso instante, el móvil de Kouloglou estaba siendo infectado por Pegasus. Fuente: Citizen Lab / Thanasis Koukakis

Al ver esta foto se siente una profunda inquietud. Los dos retratados están conversando sobre cómo combatir el spyware, y ninguno de los dos sabe que, mientras hablan, un teléfono está transmitiendo sin parar cada detalle de esa habitación —conversaciones, mensajes, agenda, contactos— a un «cliente» al otro lado de la pantalla.

Ahí reside precisamente el terror de un arma de vigilancia de grado militar como Pegasus: no tienes ni idea de que te han hackeado. Tu teléfono funciona con total normalidad. Ni mensajes raros, ni ventanas emergentes, ni ralentizaciones. Pero cada llamada, cada foto, cada mensaje está siendo leído en remoto por alguien.

2. Ataque de cero clics: no tienes que hacer nada para que tu móvil caiga

Alguien podría preguntar: ¿cómo entra Pegasus en un teléfono? ¿No hay que pinchar un enlace, descargar un archivo o al menos contestar una llamada sospechosa?

La respuesta es: no hace falta nada de eso.

Permítanme una analogía sencilla. Imaginen que su teléfono es una casa. Un ataque de virus tradicional es como alguien que llama a la puerta, te engaña para que la abras y entra corriendo. Pero Pegasus funciona de una forma completamente distinta: ni siquiera necesita llamar. Lo que explota son defectos en la propia estructura de la «casa» —pongamos, una grieta en la pared que ni tú mismo sabes que existe—. El atacante introduce algo por esa grieta y toma el control de toda la casa desde dentro.

En ciberseguridad, esto se llama «ataque de cero clics» (zero-click exploit). No tienes que pinchar nada, no hace falta ninguna acción por tu parte; ni siquiera hace falta que desbloquees el teléfono. El ataque se completa solo.

En el caso concreto de Kouloglou, la vulnerabilidad que explotaron se llama «PWNYOURHOME». Es un fallo en la función HomeKit (la app «Casa») de los iPhone. Al atacante le basta con registrar una dirección de correo especial en HomeKit para desencadenar un error interno del sistema y, a partir de ahí, tomar el control del dispositivo.

Durante todo el proceso, Kouloglou no recibió ninguna notificación, no vio nada raro. Hasta varios meses después, Apple no parcheó la vulnerabilidad en la versión iOS 16.3.1. Cuando hackearon a Kouloglou, su teléfono ejecutaba iOS 15.5: para el atacante, la puerta estaba abierta de par en par.

Y aún más inquietante resulta la segunda infección: entre el 6 y el 7 de marzo de 2023. Esos dos días, Kouloglou voló de Atenas a Bruselas para participar en las sesiones intensivas de la comisión PEGA. La comisión estaba ultimando la redacción final de su informe: un documento que determinaba qué gobiernos habían abusado de programas espía y qué responsabilidades debían asumir. Si durante esa semana alguien interceptó las discusiones sobre los borradores del informe, las posiciones de los demás comisarios o incluso las estrategias de votación… sobran las palabras sobre lo que eso implica.

Apple llegó a enviar a Kouloglou tres avisos de seguridad: el 2 de marzo de 2023, el 29 de agosto de 2023 y el 10 de abril de 2024. Pero Kouloglou afirma que no recuerda haber recibido ninguna de esas notificaciones. Y no es de extrañar: las «notificaciones de amenaza» de Apple se envían de forma silenciosa y es fácil pasarlas por alto o confundirlas con spam.

3. ¿Quién vende estas «armas digitales»? Un negocio de miles de millones

Conviene hablar aquí de la empresa que está detrás de Pegasus: NSO Group.

Es una compañía israelí fundada en 2010. Su producto está considerado en el sector como un «arma cibernética». El modelo de negocio es simple y tajante: solo vende a gobiernos, nunca a particulares ni a empresas. Desplegar un sistema Pegasus cuesta, según estimaciones del sector, entre varios millones y decenas de millones de dólares.

La versión oficial de NSO es que Pegasus es «una herramienta de lucha contra el crimen y el terrorismo». Dicho así, suena razonable: que la policía use tecnología de vigilancia para atrapar delincuentes es de sentido común. El problema es que, una vez vendido, NSO no controla cómo lo usan sus clientes. Y en la lista de «clientes» figuran países cuyo historial de derechos humanos deja bastante que desear.

Desde 2021, el consorcio de investigación «Pegasus Project», formado por 17 medios internacionales, ha ido destapando numerosos casos de abuso de Pegasus: periodistas, abogados, políticos opositores, activistas de derechos humanos e incluso jefes de Estado figuran en las listas de objetivos. Cada vez que salta un escándalo, NSO responde con un «investigaremos» o «no sabíamos que el cliente lo usaba así». Pero los casos no dejan de aparecer.

He consultado los documentos judiciales pertinentes. En mayo de 2025, un tribunal de California condenó a NSO Group a pagar 168 millones de dólares a Meta (matriz de WhatsApp) por haber explotado vulnerabilidades de WhatsApp para ayudar a sus clientes a espiar ilegalmente 1.400 teléfonos en todo el mundo. Es la mayor multa impuesta hasta la fecha al sector del spyware.

Pero lo más preocupante es que esa sentencia no ha detenido a NSO. Según el medio TechSpot, en noviembre de 2025 NSO ya se había reestructurado bajo nueva dirección y seguía buscando compradores.

En otras palabras: el negocio continúa.

4. El Parlamento Europeo no es un objetivo nuevo, ni será el último

Kouloglou no es el único eurodiputado que ha estado en el punto de mira de Pegasus.

Antes incluso de que se creara la comisión PEGA, cuatro eurodiputados de origen catalán ya habían sido infectados con Pegasus, entre ellos Diana Riba —que luego sería vicepresidenta de la comisión PEGA— y Carles Puigdemont, expresident catalán. Eran miembros de la comisión y, a la vez, víctimas de Pegasus. Esa situación absurda —ser investigador e investigado al mismo tiempo— ya lo dice todo.

En febrero de 2024 se detectaron rastros de spyware en los teléfonos de dos miembros de la Subcomisión de Seguridad y Defensa del Parlamento Europeo. En mayo del mismo año, el eurodiputado alemán Daniel Freund confirmó que había sido infectado con otro spyware llamado Candiru.

Es decir: el Parlamento Europeo —ese lugar que presume de ser «el bastión de la democracia europea»— está siendo penetrado desde todos los flancos por todo tipo de programas espía.

Hay un detalle crucial que merece atención: Citizen Lab declara expresamente que no hay pruebas de que el gobierno griego estuviera detrás de esta intrusión. Al contrario, las evidencias apuntan al mismo «operador» vinculado a los casos de hackeo a periodistas exiliados rusos y bielorrusos: un cliente con «autorización» para usar Pegasus en varios países europeos. Es decir, muy probablemente se trata de una operación de vigilancia transfronteriza.

5. ¿Por qué es importante todo esto? Porque las reglas se están pisoteando

Volvamos a la frase del principio: el cazador se convirtió en la presa. Es más que un titular efectista: apunta a un problema mucho más profundo.

Cuando la persona encargada de vigilar los abusos de un spyware puede ser hackeada impunemente con ese mismo spyware, significa que esa tecnología de vigilancia ya no está sujeta a ninguna regla.

La comisión PEGA existía precisamente para trazar líneas rojas: ¿en qué circunstancias se puede usar el spyware? ¿Quién puede autorizarlo? ¿Qué derechos tienen las personas vigiladas? Pero cuando los teléfonos de los propios comisarios son vulnerados, cuando las discusiones confidenciales de la comisión pueden estar siendo escuchadas, el propio acto de «trazar líneas rojas» se vuelve casi imposible. Porque aquello que pretendes limitar ya sabe de antemano cómo vas a hacerlo.

Es como un examen en el que el alumno ha visto las preguntas antes de entrar al aula. ¿Qué sentido tiene el examen?

Citizen Lab cierra su informe con una recomendación que me parece tan sensata como descorazonadora: instan a todos los miembros y al personal de la comisión PEGA a que se hagan un escaneo forense de sus teléfonos. Porque «a falta de un cribado exhaustivo, no es posible saber si otros miembros de la comisión o sus equipos han sufrido intrusiones similares».

Cuatro años después, nadie sabe cuántos teléfonos siguen «caídos».

6. ¿Qué puede aprender un ciudadano de a pie de todo esto?

Siendo francos, para una persona normal, un ataque del calibre de Pegasus es casi imposible de防御. No es de esas cosas que se arreglan instalando un antivirus. Las vulnerabilidades que explota a menudo ni siquiera las conoce el propio fabricante del teléfono (en seguridad informática se llaman «días cero», zero-days).

Pero hay algunas cosas que todo el mundo debería saber:

Primero, sé consciente de que esta amenaza existe. No es un argumento de película de Hollywood. El spyware de grado militar se ha desplegado masivamente por todo el mundo, y los objetivos hace tiempo que dejaron de ser solo terroristas: ahora incluyen a periodistas, abogados, políticos, activistas… y a quienes investigan a todos los anteriores.

Segundo, presta atención a los avisos de seguridad de tu fabricante. Tanto Apple como Google envían «notificaciones de amenaza» a los usuarios que puedan estar siendo objetivo de ataques patrocinados por estados. Si recibes una, no la ignores. Puede significar que tu teléfono ya está en el punto de mira.

Tercero, si trabajas en algo sensible, activa el «modo de aislamiento» (Lockdown Mode en iOS, Protección Avanzada en Android). Limita muchas funciones —por ejemplo, ciertos archivos adjuntos no se cargan automáticamente cuando un desconocido te envía un iMessage—, pero eleva drásticamente la dificultad de un ataque con spyware.

Conclusión

Al terminar este artículo he vuelto a mirar la foto de la habitación del hospital. Las dos personas retratadas son un político que investiga el spyware y un periodista que ya fue hackeado. Están hablando de cómo combatir la vigilancia. Y entre ellos, un teléfono está siendo infectado por el mismo programa de vigilancia que están investigando.

Esa imagen, en sí misma, es la metáfora de la época que nos ha tocado vivir.

El informe de Citizen Lab recomienda que las instituciones europeas y los parlamentos nacionales realicen un cribado exhaustivo de spyware entre sus miembros. Pero yo creo que hay algo todavía más urgente que el cribado: alguien tiene que responder a una pregunta. ¿Quién vigila a los vigilantes?

Enlaces de referencia: