Pegasus hackeó al eurodiputado que investigaba Pegasus

03.07.2026 5
Pegasus hackeó al eurodiputado que investigaba Pegasus

El software espía Pegasus se utilizó para hackear el teléfono de Stelios Kouloglou, un ex eurodiputado griego que formaba parte del comité PEGA, creado específicamente para investigar los abusos de Pegasus y herramientas de vigilancia similares. Citizen Lab lo confirmó el 2 de julio de 2026.

El análisis forense del iPhone de Kouloglou encontró infecciones en octubre de 2022 y de nuevo en marzo de 2023, mientras formaba parte activa del comité encargado de destapar precisamente este tipo de abusos de software espía en la UE.

¿Quién es Stelios Kouloglou y qué es PEGA?

Kouloglou, periodista de investigación griego convertido en político, fue miembro suplente del comité PEGA del Parlamento Europeo entre marzo de 2022 y julio de 2023. PEGA se creó para investigar cómo los gobiernos de la UE abusaron de Pegasus y software equivalente, elaborando borradores de informes sobre presuntos abusos en Chipre, Grecia, Hungría, Polonia y España. Kouloglou solicitó él mismo el examen forense tras sospechar, y Citizen Lab publicó sus hallazgos como el Informe 194.

Cómo ocurrió el hackeo

La primera infección, el 21 de octubre de 2022, utilizó PWNYOURHOME, una cadena de exploits de tipo zero-click dirigida a una vulnerabilidad del software de hogar inteligente de Apple: no se requirió ningún clic, descarga ni acción por parte de Kouloglou. Una segunda infección se produjo a principios de marzo de 2023. Según Citizen Lab, las intrusiones podrían haber expuesto documentos confidenciales del comité y deliberaciones internas, además de los mensajes y fotos personales de Kouloglou.

  • Objetivo: Stelios Kouloglou, ex eurodiputado y miembro del comité PEGA.
  • Software espía: Pegasus, de NSO Group, entregado mediante el exploit zero-click PWNYOURHOME.
  • Infecciones: 21 de octubre de 2022 y 6-7 de marzo de 2023.
  • Descubrimiento: análisis forense de Citizen Lab, solicitado por el propio Kouloglou, publicado en julio de 2026.

Un rastro que lleva a periodistas rusos y bielorrusos

Citizen Lab no ha atribuido el hackeo a un gobierno concreto y afirma que no hay pruebas de implicación del gobierno griego. Sin embargo, los investigadores encontraron una coincidencia técnica: la misma dirección de correo vinculada a HomeKit usada en la primera infección de Kouloglou apareció también en una campaña de Pegasus ya documentada, dirigida contra periodistas y activistas rusos y bielorrusos exiliados en otras partes de Europa. Esto apunta a un único cliente de Pegasus con licencias para operar en varias jurisdicciones europeas, en lugar de una operación griega aislada.

Reacción de la UE y nuevas peticiones de límites

Kouloglou calificó la intrusión de "temeraria", explicando a la prensa que expuso no solo intercambios profesionales con ministros, sino también momentos privados con su familia. Un eurodiputado en activo calificó el hackeo de "un ataque directo al Estado de derecho" e instó a la Comisión Europea a imponer límites estrictos al uso de software espía en los estados miembros. La Comisión no respondió a las solicitudes de comentarios de la prensa.

Importante: Infecciones de Pegasus como esta son de tipo zero-click - no requieren ninguna acción de la víctima y a menudo no dejan rastro visible, por lo que el análisis forense independiente (como el realizado aquí por Citizen Lab) es actualmente la única forma fiable de detectarlas.

Casos como este recuerdan que ni siquiera los legisladores que investigan abusos de vigilancia están exentos de ella - y que herramientas cotidianas como una VPN, aunque no puedan detener un exploit zero-click, siguen siendo una de las pocas capas al alcance de periodistas y activistas comunes para dificultar el rastreo de red por parte de esos mismos operadores.

Conclusión: Un miembro del propio comité creado para investigar los abusos de Pegasus fue hackeado con Pegasus mientras realizaba ese trabajo, y las huellas técnicas conectan la operación con una campaña más amplia contra periodistas rusos y bielorrusos exiliados. Dos años después de que PEGA concluyera su labor, Europa todavía no tiene límites vinculantes sobre quién puede comprar y usar este tipo de software espía.
Etiquetas: vpn privacy surveillance cybersecurity security digital rights eu spyware

Lee también