Espionaje contra el Parlamento Europeo: también hackearon a un miembro de la comisión que investigaba Pegasus
(citizenlab.ca)- Se confirmó que el iPhone de Stelios Kouloglou, exdiputado del Parlamento Europeo y antes periodista griego de investigación, fue infectado repetidamente con Pegasus durante su participación en la comisión PEGA
- Los momentos de infección coinciden con el 21 de octubre de 2022 y el 6-7 de marzo de 2023, periodos con mucha comunicación no pública por audiencias, borradores de informes y preparación de visitas oficiales
- La primera infección se vincula con rastros de uso de datos móviles por parte de procesos de Pegasus justo después de consultar el correo de HomeKit
rauharepo888[@]gmail.com, y se evalúa como un exploit de cero clic PWNYOURHOME - No se señaló a ningún gobierno específico como responsable ni hay indicios que apunten al gobierno griego, pero el mismo correo de HomeKit también apareció en campañas de Pegasus contra periodistas y activistas exiliados rusoparlantes y bielorrusoparlantes
- Sin una revisión integral de los dispositivos de miembros y personal del Parlamento Europeo, es difícil saber hasta qué punto las comunicaciones confidenciales de la comisión PEGA y los procesos parlamentarios quedaron expuestos a spyware mercenario
Infecciones con Pegasus detectadas durante la actividad de la comisión PEGA
- Stelios Kouloglou es un político griego y experiodista de investigación que llegó al Parlamento Europeo en 2015
- Del 24 de marzo de 2022 al 18 de julio de 2023 participó como miembro suplente de la comisión PEGA del Parlamento Europeo, encargada de investigar el uso de Pegasus y spyware de vigilancia similar
- La comisión PEGA se creó el 10 de marzo de 2022, tras las revelaciones del Pegasus Project en 2021 y reportes relacionados sobre vigilancia de periodistas, activistas, políticos y ciudadanos por parte de gobiernos europeos
- La misión de la comisión era investigar el alcance del uso de spyware que violara la legislación de la UE, bajo la categoría de “Pegasus and equivalent surveillance spyware”
Resultados forenses del iPhone
- En mayo de 2026, Kouloglou contactó a Citizen Lab y un análisis forense de artefactos del iPhone confirmó la infección con Pegasus
- Los momentos de infección confirmados con alta confianza son alrededor del 21 de octubre de 2022 y el 6-7 de marzo de 2023
-
Infección del 21 de octubre de 2022
- A las 10:16 hubo una consulta de la dirección de correo de HomeKit
rauharepo888[@]gmail.com, y dos minutos después un proceso de Pegasus usó datos móviles - Esta infección se evalúa como un hackeo mediante el exploit de cero clic PWNYOURHOME
- PWNYOURHOME parece funcionar enviando a HomeKit un NSKeyedArchive especialmente diseñado por el atacante, tras lo cual contenido malicioso llega a MessagesBlastDoorService
- Apple mitigó problemas relacionados con HomeKit en iOS 16.3.1, y se estima que el problema de MessagesBlastDoorService fue corregido antes, probablemente en iOS 16.1
- A las 10:16 hubo una consulta de la dirección de correo de HomeKit
-
Infección del 6-7 de marzo de 2023
- También se detectó actividad de Pegasus entre las 09:49 del 6 de marzo de 2023 y las 07:30 del 7 de marzo, posiblemente vinculada al mismo exploit
- Se estima que el dispositivo ejecutaba iOS 15.5 (19F77) durante las infecciones de 2022 y 2023
- Debido a las limitaciones de los datos forenses disponibles, no puede descartarse que haya habido infecciones adicionales no detectadas
Alertas de amenaza de Apple y el problema de que el usuario las note
- El análisis forense indica que Kouloglou recibió tres alertas de amenaza por ataques con spyware mercenario de Apple
- 2 de marzo de 2023
- 29 de agosto de 2023
- 10 de abril de 2024
- Las alertas de amenaza de Apple y de otras empresas no son avisos en tiempo real; por lo general se envían en lote varios meses después de la posible intrusión
- Kouloglou dijo que no recuerda haber recibido las alertas observadas de Apple
- Incluso personas que reciben varias alertas de amenaza pueden no darse cuenta de ellas en la práctica
El momento de la primera infección: coincide con borradores de informe, audiencias y preparación de visitas oficiales
- La primera fecha de infección, 21 de octubre de 2022, coincidió con un periodo especialmente activo en las deliberaciones e investigaciones de la comisión PEGA
- Justo después de la infección estaban programadas las siguientes audiencias
- “Big Tech and Spyware” — 26 de octubre de 2022
- “Spyware and e-privacy” — 26 de octubre de 2022
- Audiencia sobre spyware y derechos fundamentales — 27 de octubre de 2022
- La comisión también estaba preparando la presentación de su primer borrador de informe, que circulaba y se discutía entre miembros y asistentes
- Kouloglou confirmó que la primera infección coincidió con un periodo de intenso intercambio y discusión centrado en mensajes de texto y correos electrónicos
- El primer borrador de informe de la comisión PEGA fue presentado el 8 de noviembre de 2022 por la eurodiputada Sophie in ’t Veld
- El borrador trataba sospechas de uso de spyware en Polonia, Hungría, Grecia, Chipre y España
- La comisión PEGA también preparaba una visita a Grecia y Chipre del 1 al 4 de noviembre de 2022, y Kouloglou participó en la planificación y en la visita
- El dispositivo fue hackeado 10 días antes del inicio de esa visita, mientras circulaban comunicaciones relacionadas con ella
Infección en el hospital y posible exposición de información médica
- El mismo 21 de octubre de 2022, día de la infección, Kouloglou estaba internado en un hospital griego para una cirugía programada
- El periodista griego de investigación Thanasis Koukakis lo visitó en la habitación
- Koukakis ha cubierto de cerca el tema del spyware mercenario en Grecia
- Había testificado ante la comisión PEGA el mes anterior
- En marzo de 2022, Citizen Lab confirmó que Koukakis había sido objetivo del spyware Predator de Intellexa
- Como la infección ocurrió durante su hospitalización, es posible que desde el dispositivo se hayan interceptado datos de salud, incluidas conversaciones en la habitación, intercambios con personal médico, citas, resultados de estudios y diagnósticos
- En la legislación griega, los datos de salud son una categoría especial de información personal con protección reforzada, y el hackeo podría relacionarse con la protección del secreto médico bajo la Law 4624/2019 del código penal griego
El momento de la segunda infección: coincide con la discusión del informe final
- La segunda infección ocurrió el 6-7 de marzo de 2023
- Según Kouloglou, en ese periodo la comisión PEGA estaba inmersa en discusiones intensas relacionadas con la redacción del borrador final
- Kouloglou viajó de Atenas a Bruselas el 6 de marzo de 2023 y estuvo en Bruselas durante el periodo de infección del 6 al 7 de marzo
- En ese mismo periodo, la eurodiputada Sophie in ’t Veld, ponente de PEGA, estaba en Grecia por una misión de la comisión LIBE
- La comisión LIBE es una comisión permanente del Parlamento Europeo encargada de legislación y supervisión democrática en temas de derechos humanos, protección de datos, asilo, migración y no discriminación
- En esa misión, la delegación de LIBE interrogó al director y a funcionarios de la National Transparency Authority de Grecia sobre el escándalo del spyware en el país
- Tras la segunda infección continuaron las audiencias de PEGA y una visita de investigación a España, pero Kouloglou no participó en esa visita
- La infección ocurrió unos dos meses antes de la adopción del primer informe de la comisión PEGA, el 8 de mayo de 2023
- Kouloglou y Thanasis Koukakis habían planeado provisionalmente encontrarse por WhatsApp alrededor del 6-7 de marzo de 2023, pero el encuentro en persona no se concretó
Casos de spyware contra eurodiputados
- Kouloglou es el primer miembro de la comisión PEGA confirmado públicamente como víctima de Pegasus durante su tiempo en la comisión
- Ya antes de la creación de la comisión PEGA existían casos públicos contra eurodiputados
- El dispositivo de la eurodiputada catalana Diana Riba fue infectado en octubre de 2019
- El eurodiputado catalán Jordi Solé fue atacado en junio de 2020, justo antes de ocupar su escaño en el Parlamento Europeo
- Clara Ponsati y Carles Puigdemont fueron atacados a través de asistentes o familiares
- Más adelante, Riba, Solé y Puigdemont participaron en la comisión PEGA y dieron testimonio sobre sus experiencias
- También siguieron apareciendo casos fuera de la comisión PEGA
- En febrero de 2024, Politico reportó que a miembros de la subcomisión de seguridad y defensa se les pidió revisar sus teléfonos después de encontrar rastros de spyware en dos dispositivos
- Se confirmó que la eurodiputada francesa Nathalie Loiseau fue objetivo de Pegasus
- Los servicios de TI del Parlamento Europeo informaron a la eurodiputada búlgara Elena Yoncheva que su dispositivo había sido atacado a finales de octubre de 2023
- En mayo de 2024, el eurodiputado alemán Daniel Freund anunció que había sido objetivo de spyware mercenario de Candiru
Evaluación sobre los responsables y limitaciones pendientes
- La conclusión de que el dispositivo de Kouloglou fue atacado e infectado con Pegasus, spyware mercenario de NSO Group, tiene un alto nivel de confianza
- No se identificó a un cliente específico de NSO Group como responsable
- No hay indicios de que el gobierno griego fuera el autor del hackeo
- No hay reportes de que Grecia sea cliente de NSO Group o usuaria de Pegasus
- Aunque se sabe que el gobierno griego abusó ampliamente del spyware mercenario Predator de Intellexa, no existen indicadores técnicos de que los servicios de seguridad e inteligencia griegos tuvieran acceso a Pegasus
- Sí existe un punto de conexión entre el ataque contra Kouloglou en 2022 y un informe conjunto de Access Now de mayo de 2024
- Ese informe aborda a 7 periodistas independientes y activistas opositores rusoparlantes y bielorrusoparlantes radicados en Europa que fueron objetivo o víctimas de Pegasus
- Uno de los Apple ID anonimizados en ese informe,
rauharepo888[@]gmail.com, es el mismo correo de HomeKit usado contra Kouloglou - Según el conocimiento disponible sobre la infraestructura de infección de Pegasus en ese periodo, este tipo de correo parece ser específico de un operador concreto
- No se pudo confirmar si la segunda infección de 2023 está vinculada al mismo operador o a uno distinto
- Las infecciones parecen haber existido en al menos dos jurisdicciones europeas: Grecia y Bélgica
- Según el conocimiento previo sobre licencias de NSO Group, esto sugiere la posibilidad de un cliente con licencia para realizar infecciones en múltiples jurisdicciones de la UE
Impacto sobre los procesos democráticos y la confidencialidad parlamentaria
- La infección del dispositivo de un miembro de la comisión PEGA implica que comunicaciones estrictamente confidenciales y procedimientos parlamentarios sensibles podrían haber quedado expuestos durante la actividad de la comisión
- Entre lo potencialmente expuesto estarían comunicaciones entre miembros y asistentes de la comisión PEGA, así como procedimientos sensibles relacionados con actores investigados por la comisión
- Como no se conoce el estado de los dispositivos de otros miembros y asistentes de PEGA, sin una revisión integral no hay forma de saber si hubo infecciones similares
- Este caso muestra la amenaza que el spyware mercenario representa para la integridad de los procesos democráticos
- No es la primera vez que dispositivos de eurodiputados son objetivo o víctimas de spyware mercenario, lo que demuestra el carácter corrosivo del hackeo mercenario no regulado
Recomendaciones
- Las instituciones de la UE deben iniciar de inmediato una investigación para determinar el alcance y la magnitud de la vulneración de datos y procedimientos de la UE
-
Eurodiputados y asistentes
- Los eurodiputados y asistentes que participaron en la comisión PEGA deben someterse de inmediato a análisis forense de infección por spyware y preservar los dispositivos laborales y personales que podrían haber sido objetivo
- La Directorate-General for Information Technologies and Cybersecurity (DG ITEC) ofrece revisiones de spyware
- Deben prestar atención a alertas sobre ataques respaldados por Estados y, si reciben una, buscar apoyo especializado con rapidez
- Los eurodiputados de la UE deberían activar Lockdown Mode en iPhone y Advanced Protection en Android
- Estos modos aumentan significativamente la protección del dispositivo contra spyware mercenario
- DG ITEC puede proporcionar orientación adicional de ciberseguridad
-
Parlamento Europeo e instituciones de la UE
- El Parlamento Europeo debe investigar de inmediato los ataques con spyware dirigidos contra eurodiputados y procedimientos parlamentarios
- Como se trata de ataques ya ocurridos hace tiempo, se requiere una investigación rápida para evitar la pérdida de rastros forenses
- El Parlamento debería encargar un informe anual sobre amenazas cibernéticas y de vigilancia contra el Parlamento y sus miembros
- Podría elaborarlo el European Parliamentary Research Service u otra entidad
- DG ITEC debe preparar un plan para aumentar significativamente la tasa de revisión de dispositivos y publicar estadísticas anuales sobre la cantidad de dispositivos analizados y la tasa de hallazgos
- DG ITEC debe distribuir regularmente orientación concreta a eurodiputados y asistentes sobre alertas de ataques respaldados por Estados emitidas por empresas como Apple y Google
- La Comisión Europea debe realizar su propia investigación y revisiones para determinar si comisarios y personal han sido objetivo de spyware mercenario
- La DG DIGIT de la Commission debe desarrollar capacidades integrales de detección y respuesta a spyware, junto con revisiones periódicas
-
PACE, parlamentos nacionales y empresas tecnológicas
- La Parliamentary Assembly of the Council of Europe (PACE) debe investigar si sus miembros y personal fueron objetivo, considerando su trabajo previo sobre abusos de spyware mercenario en Europa
- La Directorate of Information Technology del Council debe coordinarse con instituciones pares y revisar regularmente posibles señales de ataques con spyware mercenario contra miembros y personal de PACE
- Los servicios de seguridad y órganos de supervisión de los parlamentos nacionales deben tomar como referencia el modelo de técnicas de revisión de diputados de DG ITEC para proteger a sus representantes
- Las empresas tecnológicas deben mejorar la forma en que presentan las alertas, incluyendo investigación de UX, para asegurar que quienes las reciben realmente las vean, las entiendan y puedan actuar
1 comentarios
Opiniones en Hacker News
En mayo de 2026, Kouloglou contactó a Citizen Lab, y tras hacer un análisis forense de los rastros de su iPhone, concluyeron con alta certeza que hubo infecciones exitosas con el spyware Pegasus alrededor del 21 de octubre de 2022 y entre el 6 y el 7 de marzo de 2023.
Kouloglou dijo que no recuerda haber recibido una notificación de Apple verificada por Citizen Lab; me pregunto si eso debe entenderse como que Apple le avisó que estaba siendo vigilado, pero él lo ignoró.
Es impactante que las notificaciones de amenazas de Apple y otras empresas no sean en tiempo real, y que normalmente se envíen agrupadas varios meses o más después de un ataque dirigido.
Si Apple puede detectar la amenaza pero no la elimina ni la bloquea, y se queda esperando en silencio durante meses antes de avisarle al usuario, no sé cómo llamarle si no es teatro de seguridad.
Es interesante que la primera infección coincida con una campaña previa de Pegasus dirigida a periodistas y activistas rusófonos y bielorrusófonos exiliados en Europa.
La pregunta es quién es el cliente de Pegasus con “autoridad para vigilar en varios países europeos”.
En un artículo anterior [0] sobre los casos mencionados de exiliados rusos, se dice que Países Bajos y Estonia usaron Pegasus fuera de sus fronteras, pero podría haber más entidades con licencias de ese tipo.
Si los casos de exiliados rusos y el de Kouloglou están conectados por el mismo método de ataque, un país como Estonia parecería más plausible. Dicho eso, siempre existe la posibilidad de que una agencia con acceso a Pegasus colabore con una agencia sin autorización, o lo use en su nombre.
[0] https://www.accessnow.org/publication/hacking-meduza-pegasus...
Me pregunto si no será un problema de decisiones de arquitectura de software, como un gran kernel monolítico, servicios innecesarios de telemetría y marketing, APIs heredadas, lenguajes inseguros como C y falta de análisis estático.
Los teléfonos ya deberían tratarse como terreno infectado, y no se debería guardar nada importante en ellos.
Algunos líderes ni siquiera usan smartphones, así que están protegidos del spyware electrónico.
Algunos bancos, chats, apps de citas y servicios como Uber solo funcionan en móvil.
En esa época, muchos teléfonos de políticos griegos fueron hackeados con Pegasus.
En Grecia es un escándalo que todavía no se ha resuelto por completo, y toda la evidencia apunta a que fue una operación coordinada por la oficina del primer ministro con la agencia de inteligencia local.
Por eso me parece difícil llamarlo un ataque contra el Parlamento Europeo.
https://notesfrompoland.com/2026/02/26/poland-charges-former...
Si tienes un martillo, todo parece un clavo.
Lo interesante es que esto sugiere que tanto información médica privada y confidencial como documentos gubernamentales confidenciales podrían haberse filtrado a través del mismo teléfono.
¿El Parlamento Europeo no tiene una política para separar dispositivos de trabajo y personales?
Es entendible si consideramos que el horario laboral y el tiempo personal a menudo se mezclan.
La información médica no estaba dentro del teléfono.
Eurodiputados catalanes también fueron objetivo de Pegasus y, aunque no recuerdo los detalles, en ese momento los únicos clientes eran Estados, así que España habría contratado el servicio.
No pasó nada.
Seguro pronto harán a las apuradas alguna ley para obligar a alguien a hacer algo, o le pondrán una gran multa a alguien para cerrar el asunto rápido.
Alguien tiene que hacerse responsable.
¿El Lockdown Mode de iOS podría haber evitado esto?
Pero, para reducir la superficie de ataque, convierte deliberadamente el smartphone en un teléfono muy tonto.
El caso práctico es cuando solo necesitas un dispositivo simple para enviar y recibir mensajes, hacer llamadas por la red telefónica normal y ver la hora.
Por contexto, algunos países europeos han abusado tanto del spyware como Pegasus que las empresas israelíes terminaron cortando relaciones; el caso italiano de abajo es uno de esos.
Otros también mencionaron a Grecia y Polonia.
Es irónico que un eurodiputado haya terminado siendo objeto de la misma vigilancia que sufren periodistas, activistas inocentes y quizá gente común.
Y eso a manos de Estados miembros de la UE, contribuyendo directamente al desarrollo y la propagación de malware por parte de empresas israelíes.
https://www.bbc.com/news/articles/cvgmzdjw24yo
Espero que el producto se siga ofreciendo a las mismas personas a través de otros revendedores secundarios.