Pegasus espió al legislador que investigaba abusos del spyware
Citizen Lab confirmó que el software espía de NSO Group hackeó el teléfono del periodista y exlegislador griego Stelios Kouloglou mientras integraba el comité de la Eurocámara creado para investigar el uso indebido de programas de vigilancia.

El Citizen Lab, la unidad de derechos digitales de la Universidad de Toronto, confirmó que el teléfono del periodista y excongresista griego Stelios Kouloglou fue hackeado con el spyware Pegasus, de la empresa israelí NSO Group, mientras él integraba el comité PEGA del Parlamento Europeo, creado para investigar el uso indebido de este tipo de software de vigilancia por parte de gobiernos del bloque. Es la primera vez que se identifica públicamente a un miembro de ese comité como víctima de un ataque con spyware.
Según el informe publicado el viernes 3 de julio de 2026 por Citizen Lab, el dispositivo de Kouloglou fue comprometido en octubre de 2022 y al menos dos veces más en marzo de 2023. En todos los casos se usó un exploit "zero-click": el spyware ingresó al teléfono y extrajo información sin que la víctima tuviera que hacer clic en ningún enlace ni realizar acción alguna.
La brecha aprovechó una vulnerabilidad ya conocida en el software de casa inteligente que Apple integra en el iPhone. Apple ya había lanzado una corrección para esa falla, pero el parche todavía no estaba instalado en el teléfono de Kouloglou al momento de los ataques. Una vez dentro, Pegasus permitió al atacante acceder a mensajes de texto, otras comunicaciones, datos de ubicación y fotos almacenadas en el dispositivo.
Citizen Lab no atribuyó el ataque a un gobierno en particular, pero señaló un dato que ata cabos: la cuenta de correo electrónico utilizada para desplegar Pegasus contra Kouloglou es la misma que se usó en una campaña anterior para hackear teléfonos de periodistas en distintos países de Europa. Esa reutilización sugiere que el cliente responsable contaba con autorización de NSO Group para operar el spyware contra objetivos en más de un país del continente.
Ni la Comisión Europea ni NSO Group respondieron a los pedidos de comentario de TechCrunch sobre el hallazgo.
Un ataque a la propia investigación
El comité PEGA fue formado por el Parlamento Europeo para esclarecer casos de espionaje estatal con herramientas como Pegasus contra periodistas, opositores y funcionarios en distintos países del bloque. Que uno de sus propios investigadores terminara espiado con la misma herramienta que debía fiscalizar añade gravedad al caso, sobre todo porque los ataques ocurrieron mientras el comité avanzaba en su trabajo y antes de la publicación de sus conclusiones.
Kouloglou calificó lo sucedido como "imprudente" en diálogo con TechCrunch. Un legislador europeo en funciones, consultado por el mismo medio, definió el hackeo como "un ataque directo al Estado de derecho" y pidió a la Comisión Europea que imponga límites estrictos al uso de spyware en los 27 países miembros del bloque.
Los ataques con spyware contra legisladores en ejercicio son poco frecuentes, lo que refuerza la lectura de que el objetivo era monitorear de cerca el trabajo interno del comité PEGA. El caso reabre el debate sobre los límites del uso de este tipo de herramientas, que los gobiernos suelen justificar como necesarias para investigar delitos graves, pero que en la práctica también terminaron usándose contra periodistas, legisladores y voces críticas.