La paradoja más descarnada de la actual crisis de vigilancia digital en Europa acaba de quedar al descubierto: mientras Stelios Kouloglou investigaba cómo gobiernos utilizaban software espía contra ciudadanos, su propio dispositivo móvil fue hackeado múltiples veces. El ahora exdiputado griego, que abandonó el Parlamento Europeo en 2024, fue víctima de repetidos ataques con tecnología Pegasus —un programa de vigilancia fabricado por la compañía israelí NSO Group— justo cuando más se aproximaba a desentrañar los mecanismos de abuso de estas herramientas. La revelación, documentada por investigadores de Citizen Lab de la Universidad de Toronto, no solo demuestra la vulnerabilidad de las propias instituciones europeas, sino que cuestiona radicalmente la capacidad del continente para frenar estos abusos cuando ni siquiera logra proteger a quienes están dentro de sus estructuras de poder.
Kouloglou, que además de su rol legislativo se desempeñaba como periodista, integró desde marzo de 2022 la comisión especial conocida como Pega, cuya misión surgió precisamente después de que grandes revelaciones periodísticas expusieran el alcance del problema. Aquel acontecimiento, que llegó a conocerse como el Proyecto Pegasus, destapó un panorama escalofriante: gobiernos alrededor del mundo compraban licencias de este software para vigilar a activistas, periodistas, políticos y miembros de la sociedad civil, bajo el supuesto justificativo de combatir crimen grave y terrorismo. Los hallazgos obligaron a los legisladores europeos a reaccionar, estableciendo un grupo de trabajo dedicado específicamente a investigar cómo el espionaje digital contravenía las leyes y valores fundamentales de la Unión. Fue en ese contexto, cuando Kouloglou comenzaba a participar activamente en esas indagaciones, que su teléfono fue infectado.
El primer ataque: octubre de 2022, en medio de investigaciones intensas
Según los datos recopilados por Citizen Lab, el primer compromiso del dispositivo de Kouloglou ocurrió el 21 de octubre de 2022, coincidiendo con lo que los investigadores describieron como un "período particularmente intenso" en las deliberaciones de la comisión Pega. En esos momentos, el grupo parlamentario redactaba su primer informe sobre el alcance del problema de vigilancia en la Unión Europea. El timing resultaba enormemente significativo: mientras Kouloglou se sometía a una intervención quirúrgica electiva en una clínica, fue visitado por Thanasis Koukakis, un periodista de investigación griego que en ese entonces realizaba trabajos sobre historias de espías clandestinos operando en su país. Koukakis mismo había sido víctima de lo que se conoció como la "Watergate griega", un escándalo que implicó la vigilancia ilícita de más de 80 personas en Grecia, entre ellas políticos, comunicadores y funcionarios militares. El periodista había acudido a testificar ante Pega, relatando su experiencia de haber sido espiado.
Meses después, cuando la comisión entraba en etapas críticas de su labor, los ataques se reanudaron con mayor agresividad. El 6 y 7 de marzo de 2023, el dispositivo de Kouloglou fue hackeado nuevamente, esta vez mientras viajaba desde Atenas hacia Bruselas, precisamente cuando Pega se encontraba inmersa en discusiones finales para la redacción de su informe. Los investigadores de Citizen Lab advirtieron algo inquietante: las características técnicas de estos ataques guardan similitud con una campaña previa dirigida contra siete periodistas y activistas opositores de habla rusa y bielorrusa que vivían exiliados en territorio europeo. El análisis de los metadatos sugiere que detrás de todos estos incidentes operaba el mismo cliente gubernamental, que probablemente contaba con licencias para operar tanto en Bélgica como en Grecia. Sin embargo, Citizen Lab no logró atribuir de manera definitiva los ataques contra Kouloglou a un gobierno específico, aunque el patrón de conducta apunta hacia actores estatales con acceso directo a tecnología Pegasus.
El silencio institucional ante evidencia de corrupción democrática
Lo que convierte este caso en especialmente inquietante es la reacción —o mejor dicho, la falta de reacción— de las instituciones europeas frente a hallazgos de semejante magnitud. Los investigadores subrayan una ironía amarga: este es el primer caso documentado en el que se demuestra que un miembro de la propia comisión investigadora de abusos de spyware fue atacado con esa misma tecnología. A pesar de esto, las recomendaciones que Pega formuló han sido esencialmente ignoradas, según advierten expertos consultados. El panorama que emerge es desolador: mientras el continente discute sobre protección de datos y privacidad, sus estructuras legislativas no solo resultan incapaces de implementar medidas efectivas, sino que sus miembros siguen siendo vulnerables a la vigilancia masiva. Kouloglou himself, en declaraciones posteriores, expresó su indignación: la experiencia de descubrir que su vida privada había sido escrutada por actores estatales lo dejó profundamente afectado. Para él, el caso trasciende lo personal y toca cuestiones fundamentales: corrupción sistémica, acceso a justicia, y la viabilidad misma de la democracia cuando los gobiernos pueden operar en las sombras vigilando incluso a quienes están encargados de supervisarlos.
La pregunta que flota en el aire es inquietante: ¿cuántos otros parlamentarios europeos han sido objetivo de estas técnicas sin siquiera saberlo? Un especialista en ciberseguridad parlamentaria señaló que, potencialmente, miembros del Parlamento Europeo podrían estar asistiendo a sesiones legislativas y participando en encuentros de alto nivel sin ser conscientes de que sus dispositivos han sido convertidos en "espías de bolsillo". Esto implicaría que decisiones críticas sobre regulación, presupuestos y política exterior podrían estar siendo interferidas por actores externos que monitorean conversaciones privadas, documentos confidenciales y movimientos de legisladores. La vulnerabilidad no es marginal ni afecta solo a casos aislados; representa una fractura profunda en los mecanismos de seguridad que supuestamente protegen las instituciones democráticas del continente. NSO Group, la empresa fabricante de Pegasus, no respondió a los requerimientos de los investigadores pidiendo comentarios sobre el caso de Kouloglou, manteniéndose en la línea de opacidad que ha caracterizado su actuación desde que sus productos salieron a la luz pública.
El contexto histórico amplía aún más la preocupación. Pegasus no es la única herramienta de vigilancia disponible en el mercado de spyware, pero sí una de las más sofisticadas y costosas. Solo gobiernos con presupuestos amplios y capacidad técnica pueden adquirirla, lo que convierte cada ataque en una decisión deliberada de actores estatales. Desde que el Proyecto Pegasus fue revelado en 2021, la comunidad internacional ha documentado decenas de escándalos vinculados a esta tecnología. Sin embargo, las consecuencias legales para los gobiernos que abusan de ella han sido mínimas. Algunos casos llegaron a tribunales nacionales e internacionales, pero raramente con resultados concretos de responsabilidad. La Unión Europea, a pesar de su retórica sobre derechos fundamentales y estado de derecho, no ha logrado implementar un marco punitivo que desaliente efectivamente estos usos. En su lugar, predomina un patrón de denuncias públicas, investigaciones parlamentarias sin peso vinculante, y resoluciones que quedan archivadas.
Las implicancias de estos hallazgos se despliegan en múltiples direcciones. Por un lado, evidencian la fragilidad de las democracias liberales europeas cuando se enfrentan a tecnologías de vigilancia moderna: las instituciones diseñadas hace décadas simplemente no están equipadas para defenderse de amenazas que operan a nivel digital. Por otro lado, plantean interrogantes sobre la confiabilidad de las propias investigaciones parlamentarias: si los investigadores son espiados, ¿qué garantías hay de que sus hallazgos no hayan sido manipulados o anticipados por actores externos? Esto crea un ciclo de desconfianza que podría socavar la credibilidad de los órganos de control. Además, el hecho de que gobiernos con licencias en países de la Unión continúen utilizando estas herramientas sugiere que los mecanismos de supervisión sobre estos contratos son inefectivos. Algunos analistas sostienen que Europa necesita un cambio regulatorio radical que prohíba directamente la venta y uso de software de vigilancia masiva; otros argumentan que una regulación más estricta podría ser suficiente si va acompañada de sanciones significativas. Lo cierto es que el status quo ha demostrado ser insuficiente, y mientras persista, la amenaza continuará afectando tanto a individuos como a instituciones.



