(https://i.imgur.com/qcLryi4.jpeg)
El spyware Pegasus vuelve a situarse en el centro de la polémica tras un nuevo informe publicado por Citizen Lab, que revela que el exmiembro del Parlamento Europeo Stelios Kouloglou fue víctima de múltiples ataques mientras participaba activamente en una investigación oficial sobre el uso indebido de herramientas comerciales de vigilancia dentro de la Unión Europea.
El análisis forense realizado sobre su iPhone confirmó que el dispositivo fue comprometido en varias ocasiones mediante Pegasus, uno de los programas de espionaje más sofisticados del mundo, desarrollado por NSO Group. La investigación concluye que los atacantes pudieron acceder a documentos confidenciales, deliberaciones internas del Parlamento Europeo y otra información sensible relacionada con el trabajo del Comité PEGA.
El hallazgo vuelve a poner de manifiesto el creciente uso de spyware mercenario contra periodistas, legisladores, activistas y defensores de los derechos humanos, reabriendo el debate sobre la regulación internacional de estas tecnologías de vigilancia.
Citizen Lab confirma múltiples infecciones con PegasusLos investigadores de Citizen Lab realizaron un exhaustivo análisis forense del iPhone de Stelios Kouloglou durante mayo de 2026.
Las evidencias técnicas revelaron que el dispositivo fue comprometido al menos en tres ocasiones:
- Alrededor del 21 de octubre de 2022.
- El 6 de marzo de 2023.
- El 7 de marzo de 2023.
Según el informe, los atacantes aprovecharon vulnerabilidades avanzadas para instalar Pegasus sin necesidad de interacción por parte de la víctima, utilizando un método conocido como ataque de cero clic (Zero-Click Exploit).
Este tipo de ataques representa una de las amenazas más peligrosas para dispositivos móviles, ya que el usuario no necesita abrir enlaces, descargar archivos ni realizar ninguna acción para que el spyware se instale con éxito.
Un exploit de HomeKit permitió la infecciónCitizen Lab determinó que la primera infección utilizó un exploit bautizado como PWNYOURHOME, una vulnerabilidad de cero clic que afectaba al sistema HomeKit de Apple.
Durante el análisis se detectó que:
- El 21 de octubre de 2022 se consultó la dirección de correo rauharepo888
- gmail.com.
- Apenas dos minutos después comenzó la actividad correspondiente a Pegasus utilizando datos móviles.
- El dispositivo ejecutaba iOS 15.5 en ese momento.
Apple corrigió posteriormente esta vulnerabilidad en iOS 16.3.1, aunque el ataque ya había sido explotado con éxito antes del lanzamiento del parche de seguridad.
Las infecciones detectadas en marzo de 2023 emplearon nuevamente el mismo exploit, demostrando que los operadores continuaban utilizando la vulnerabilidad incluso meses después de la primera intrusión.
Un miembro del Comité PEGA bajo vigilanciaUno de los aspectos más preocupantes del caso es el contexto en el que ocurrieron los ataques.
Stelios Kouloglou integró el Comité de Investigación sobre Pegasus y Software Espía Equivalente (PEGA) del Parlamento Europeo entre marzo de 2022 y julio de 2023.
Este comité fue creado con un objetivo claro:
- Investigar el uso de Pegasus dentro de la Unión Europea.
- Analizar posibles abusos cometidos por Estados miembros.
- Evaluar el impacto sobre los derechos fundamentales.
- Proponer nuevas regulaciones para limitar el uso de software espía comercial.
La investigación de Citizen Lab convierte a Kouloglou en el primer miembro del Comité PEGA identificado públicamente como víctima de Pegasus mientras formaba parte del organismo investigador.
Acceso a documentos confidenciales del Parlamento EuropeoLos investigadores consideran que las infecciones pudieron permitir a los atacantes acceder a información altamente sensible.
Entre los datos potencialmente comprometidos destacan:
- Documentación confidencial.
- Deliberaciones internas del comité.
- Comunicaciones privadas.
- Correspondencia política.
- Información sobre investigaciones relacionadas con Pegasus.
El acceso a este tipo de información podría haber proporcionado inteligencia privilegiada sobre las acciones regulatorias que la Unión Europea preparaba contra el software espía comercial.
Sin atribución directa a un gobiernoHasta el momento, Citizen Lab no ha atribuido oficialmente los ataques a ningún gobierno específico.
Tampoco existen pruebas concluyentes que vinculen directamente al gobierno griego con las infecciones.
Sin embargo, los investigadores encontraron un importante indicador técnico.
La primera infección comparte la dirección de correo electrónico rauharepo888
- gmail.com, utilizada previamente en una campaña de Pegasus dirigida contra periodistas independientes y activistas rusos y bielorrusos exiliados en Europa.
Según Citizen Lab, este detalle sugiere que el responsable podría ser un operador de Pegasus autorizado para realizar operaciones en múltiples países europeos.
Dado el modelo de licenciamiento utilizado por NSO Group, únicamente determinados clientes cuentan con permisos para ejecutar operaciones transfronterizas dentro de la Unión Europea, reduciendo considerablemente el número de posibles responsables.
Las fechas de los ataques no parecen casualesEl calendario de las infecciones resulta especialmente significativo.
La primera intrusión ocurrió cuando Kouloglou permanecía hospitalizado para someterse a una cirugía programada.
Durante su estancia recibió la visita del periodista griego Thanasis Koukakis, quien anteriormente también había sido víctima del spyware Predator, desarrollado por Intellexa.
Koukakis había comparecido ante el Comité PEGA apenas un mes antes para declarar sobre su propio caso de vigilancia.
Por otra parte, la segunda infección, registrada en marzo de 2023, coincidió con una etapa crítica del trabajo parlamentario.
En ese momento se desarrollaban las deliberaciones finales y la redacción del informe definitivo del Comité PEGA, que posteriormente sería aprobado por el Parlamento Europeo.
Apple notificó repetidamente los ataquesEl análisis forense también reveló que Apple envió varias notificaciones oficiales alertando sobre ataques de spyware mercenario.
Kouloglou recibió avisos los siguientes días:
- 2 de marzo de 2023.
- 29 de agosto de 2023.
- 10 de abril de 2024.
Estas alertas forman parte del sistema de detección implementado por Apple para advertir a usuarios que podrían estar siendo objetivo de herramientas de espionaje altamente sofisticadas como Pegasus.
Cellebrite también vuelve al centro del debateEl informe de Citizen Lab coincide con otra investigación reciente relacionada con herramientas de vigilancia digital.
Los investigadores revelaron que las autoridades rusas utilizaron las soluciones forenses UFED de Cellebrite para acceder al iPhone del opositor Andrey Pivovarov en junio de 2021.
Lo llamativo del caso es que la extracción de datos ocurrió apenas tres meses después de que Cellebrite anunciara públicamente la suspensión de sus operaciones comerciales en Rusia y Bielorrusia.
Durante el análisis del dispositivo, las autoridades buscaron información relacionada con figuras relevantes de la oposición, incluidos:
- Mijaíl Jodorkovski.
- Anastasiya Burakova.
- Tatiana Usmanova.
Posteriormente, algunos de estos activistas fueron objetivo de campañas de phishing atribuidas al grupo ruso COLDRIVER, lo que plantea interrogantes sobre el posible uso de la información obtenida mediante herramientas forenses para facilitar operaciones posteriores de vigilancia.
El espionaje también alcanza las redes de telecomunicacionesCitizen Lab también publicó recientemente otra investigación que evidencia cómo la vigilancia digital ya no depende exclusivamente del malware.
El informe documenta dos campañas independientes que aprovecharon vulnerabilidades ampliamente conocidas en la infraestructura mundial de telecomunicaciones para rastrear la ubicación de personas sin necesidad de infectar sus dispositivos.
Las técnicas identificadas incluyen:
- Mensajes SMS especialmente manipulados con comandos ocultos.
- Explotación de los protocolos SS7.
- Abuso del protocolo Diameter.
- Suplantación de operadores móviles.
- Manipulación del tráfico de señalización.
Estas campañas permitían convertir un teléfono móvil en una auténtica baliza de seguimiento prácticamente invisible para el usuario.
Proveedores de telecomunicaciones utilizados como infraestructuraSegún Citizen Lab, ambas campañas aprovecharon la infraestructura de tres operadores específicos:
- 019Mobile.
- Airtel Jersey (Sure Group).
- Tango Networks U.K.
Los investigadores sostienen que estas redes actuaron como puntos de tránsito que facilitaron el enrutamiento de tráfico de señalización empleado en operaciones encubiertas de geolocalización.
Los atacantes utilizaron herramientas especializadas capaces de manipular protocolos de telecomunicaciones, ocultar su identidad y mantener actividades de seguimiento durante largos periodos sin ser detectados.
Pegasus continúa representando una amenaza globalEl caso de Stelios Kouloglou demuestra que el uso de spyware comercial sigue extendiéndose más allá de la lucha contra el terrorismo o el crimen organizado, objetivos para los cuales estas herramientas suelen justificarse oficialmente.
Las evidencias presentadas por Citizen Lab muestran que periodistas, legisladores, activistas, opositores políticos y defensores de los derechos humanos continúan siendo objetivos prioritarios de tecnologías de vigilancia extremadamente sofisticadas.
Además, la combinación de exploits de cero clic, herramientas forenses avanzadas y el abuso de la infraestructura mundial de telecomunicaciones confirma que las operaciones de espionaje digital evolucionan constantemente y son cada vez más difíciles de detectar.
En fin...El descubrimiento de que Pegasus comprometió el iPhone de un miembro del Comité PEGA mientras investigaba precisamente el uso de este software espía representa uno de los casos más preocupantes documentados hasta la fecha. La investigación de Citizen Lab evidencia que las herramientas de vigilancia comercial siguen utilizándose contra figuras políticas y defensores de los derechos fundamentales, generando serias dudas sobre los mecanismos de control existentes.
Al mismo tiempo, los recientes hallazgos sobre el uso de Cellebrite y el abuso de protocolos de telecomunicaciones como SS7 y Diameter ponen de relieve que el ecosistema del espionaje digital continúa expandiéndose. Este escenario refuerza la necesidad de establecer regulaciones más estrictas, mejorar la supervisión internacional de los proveedores de software espía y fortalecer la protección de la privacidad frente a tecnologías capaces de comprometer incluso a quienes investigan su propio abuso.
Fuente: https://thehackernews.com/