Los numeros clave
El ataque a Stelios Kouloglou, exdiputado griego del Parlamento Europeo entre 2015 y 2024, ocurrió mientras servía en el Comité PEGA, establecido en marzo de 2022 y operativo hasta julio de 2023. Su dispositivo fue infectado en al menos tres ocasiones: el 21 de octubre de 2022 y el 6 y 7 de marzo de 2023. La primera infección, según Citizen Lab, se realizó mediante un exploit de “clic cero” denominado “PWNYOURHOME”, explotando una vulnerabilidad de Apple HomeKit en un dispositivo que ejecutaba iOS 15.5. Es particularmente notable que la última de estas infecciones coincidiera casi exactamente con la adopción del informe final del Comité PEGA, el 8 de marzo de 2023, que culminaba su trabajo de investigación.
NSO Group, el creador de Pegasus, ha estado en la lista negra del Departamento de Comercio de EE. UU. desde noviembre de 2021, lo que restringe sus relaciones comerciales con empresas estadounidenses. La empresa también enfrentó una sentencia de 168 millones de dólares en favor de Meta Platforms por el hackeo de WhatsApp. Apple, por su parte, ha trabajado para cerrar las vulnerabilidades, resolviendo la específica utilizada en el caso de Kouloglou en iOS 16.3.1. En la región de América Latina, el gasto en spyware ha sido significativo, con México invirtiendo más de 14.4 millones de dólares en contratos entre 2018 y 2021. Este panorama se enmarca en un contexto de un crecimiento anual del 25% en ciberataques en la región, según diversos reportes de seguridad.
Analisis de la tendencia
El caso de Stelios Kouloglou no es un incidente aislado, sino un síntoma alarmante de una tendencia global creciente: el uso indiscriminado de software espía comercial por parte de actores estatales contra sus propios ciudadanos, incluidos aquellos que están en el corazón de las instituciones democráticas. Este patrón revela una preocupante normalización de la vigilancia intrusiva, donde la línea entre la seguridad nacional legítima y el espionaje político se difumina peligrosamente. Ron Deibert, director de Citizen Lab, lo describió como “irónico” y advirtió que una industria de software espía no regulada “corroe la confianza en las instituciones democráticas”, una observación que cobra aún más fuerza cuando el blanco es un legislador que investiga precisamente estos abusos.
La sofisticación de exploits de “clic cero”, como el “PWNYOURHOME” utilizado contra Kouloglou, subraya la dificultad extrema de detectar estas intrusiones, incluso para individuos técnicamente avezados. Esto crea un terreno fértil para la impunidad de los perpetradores y una vulnerabilidad estructural para cualquier persona que maneje información sensible o desafíe el status quo. La continua operación de NSO Group, a pesar de estar en la lista negra de EE. UU. y de las batallas legales con gigantes tecnológicos como Meta, demuestra la ineficacia de las medidas actuales para contener la proliferación de estas herramientas. Rand Hammoud, del Center for Democracy and Technology Europe, afirmó que el caso debería preocupar a “todo el que se preocupe por la democracia, los derechos fundamentales y el estado de derecho en Europa”, señalando un “fracaso más amplio para controlar eficazmente el mercado del software espía comercial”. Esta situación exige una revisión urgente de las políticas de exportación y uso de estas tecnologías, así como la implementación de marcos legislativos robustos que protejan a los individuos y a las instituciones democráticas de esta amenaza creciente.
Contexto regional
El uso del software espía Pegasus y herramientas similares representa una amenaza particularmente grave en América Latina, una región con antecedentes de inestabilidad política y marcos regulatorios a menudo débiles. Los casos documentados de su despliegue son un claro eco de la intrusión sufrida por Kouloglou, pero con consecuencias directas para la libertad de prensa, los derechos humanos y la transparencia gubernamental.
En México, el historial es extenso y preocupante. A pesar de las promesas del presidente Andrés Manuel López Obrador de cesar estas prácticas, Pegasus fue utilizado contra activistas de derechos humanos y periodistas, incluso a fines de 2022. Raymundo Ramos y Ricardo Raphael fueron hackeados múltiples veces entre 2019 y 2020, y un periodista de Animal Político en 2021. El país también ha registrado más de 14.4 millones de dólares en contratos de spyware entre 2018 y 2021, y un juicio por abusos en administraciones anteriores comenzó en diciembre de 2023. Esta inversión considerable en tecnología de vigilancia, a menudo desviada de su propósito legítimo, es un recordatorio constante de la vulnerabilidad de la sociedad civil y los medios independientes.
El Salvador también ha sido escenario de graves abusos. Treinta periodistas y empleados de seis medios de comunicación, incluyendo 22 de El Faro, fueron atacados entre junio de 2020 y noviembre de 2021. El Faro presentó una demanda en California en 2022, buscando justicia por estas violaciones a la privacidad y la libertad de expresión.
En la República Dominicana, la periodista de investigación Nuria Piera fue blanco e infectada tres veces entre 2020 y 2021, lo que la convierte en el tercer país de América donde Amnistía Internacional ha confirmado el uso de Pegasus contra periodistas o defensores de derechos humanos.
Panamá tiene un oscuro precedente con el expresidente Ricardo Martinelli, quien presuntamente desvió más de 13 millones de dólares de fondos de salud para adquirir Pegasus y espiar a opositores políticos, ilustrando la corrupción y el abuso de poder asociados a estas herramientas.
Finalmente, en Colombia, se ha revelado que el gobierno de Iván Duque adquirió Pegasus por 11 millones de dólares, supuestamente financiado por EE. UU. y sin conocimiento del entonces presidente. El actual presidente Gustavo Petro ha instado a una investigación exhaustiva, declarando que estos actos “violaron la soberanía nacional”.
La región, en general, carece de una regulación y supervisión robustas para las actividades de inteligencia. Aunque la Corte Suprema de México derogó una regulación de 2016 que permitía al ejército realizar escuchas telefónicas sin orden judicial, la necesidad de un marco legal más amplio y estricto es urgente. Erika Guevara-Rosas, directora para las Américas de Amnistía Internacional, ha abogado por una moratoria global sobre el software espía. Además, la expansión de empresas como Dream, cofundada por Shalev Hulio (cofundador de NSO Group), que ofrece soluciones de ciberseguridad “defensivas” en la región, genera un escrutinio adicional, dado el historial de sus fundadores en el desarrollo de herramientas ofensivas. Medios como El Faro y Animal Político, así como organizaciones de derechos humanos, han sido directamente afectados, lo que subraya cómo la proliferación de spyware erosiona los pilares de la democracia y la sociedad civil en América Latina.
Perspectiva a futuro
El incidente de Stelios Kouloglou, y la vasta evidencia de abusos de software espía en América Latina y otras regiones, marcan un punto de inflexión crítico en la discusión sobre la ciberseguridad y los derechos humanos. De cara al futuro, es imperativo que tanto las legislaciones nacionales como los acuerdos internacionales se fortalezcan para hacer frente a esta amenaza. Kouloglou ha anunciado su intención de demandar a NSO Group, un paso que, si bien individual, podría sentar un precedente importante en la rendición de cuentas de los desarrolladores de spyware.
En la Unión Europea, la indignación por el hackeo a un MEP es palpable. Hannah Neumann, otra miembro del Comité PEGA, ha instado al Parlamento a implementar plenamente las recomendaciones del comité, enfatizando que “el software espía no hace que las democracias sean más seguras”. Eurodiputadas como Saskia Bricmont han solicitado medidas vinculantes para prohibir el uso ilegal de spyware en Europa, lo que podría influir en normativas a nivel global. A nivel regional, las investigaciones iniciadas por el presidente Petro en Colombia y el juicio en curso en México son pasos cruciales para abordar el legado de impunidad.
La lucha entre los desarrolladores de spyware y los investigadores de ciberseguridad, como Citizen Lab, continuará. La capacidad de Apple para parchar vulnerabilidades como la de iOS 16.3.1 es una carrera armamentística constante, donde la velocidad de detección y corrección es clave. Sin embargo, la proliferación de otros proveedores de software espía y la naturaleza clandestina de su uso plantean desafíos complejos. Organizaciones como Amnistía Internacional y PEN Internacional seguirán abogando por una moratoria global sobre el software espía, buscando un alto total a su comercialización y uso hasta que se establezcan salvaguardias claras y mecanismos de supervisión efectivos.
La perspectiva a futuro implica una mayor concienciación y vigilancia por parte de la sociedad civil, los medios de comunicación y los gobiernos. Los gobiernos democráticos deben auto-regularse y controlar estrictamente a sus propias agencias de inteligencia, garantizando que estas herramientas no se conviertan en armas contra la propia democracia. El rol de las grandes empresas tecnológicas en la protección de la privacidad de sus usuarios, a través de parches de seguridad y acciones legales, será igualmente fundamental para salvaguardar la privacidad, la libertad de prensa y los procesos democráticos a escala mundial.