La vulneración de un dispositivo móvil perteneciente a un legislador encargado de investigar la vigilancia ilegal es un escenario que suena a novela de espías, pero para Stelios Kouloglou, fue una realidad forense. Mientras formaba parte de la Comisión PEGA del Parlamento Europeo, Kouloglou fue blanco de repetidas infecciones con el spyware Pegasus. Esta comisión existía específicamente para investigar el abuso de las herramientas de vigilancia comercial en toda la Unión Europea. La ironía de la situación es profunda, pero la mecánica técnica del ataque revela una realidad mucho más preocupante sobre la seguridad móvil moderna. Este incidente no fue cuestión de que un usuario hiciera clic en un enlace sospechoso o descargara un archivo adjunto malicioso. Fue una intrusión silenciosa, de cero clics, que eludió los controles de seguridad estándar de uno de los dispositivos de consumo más seguros del mercado.
Recientemente pasé una tarde revisando los artefactos forenses comunes en las infecciones de Pegasus con un colega especializado en respuesta a incidentes móviles. A menudo vemos un patrón en el que los atacantes más sofisticados evitan la interacción por completo. Prefieren el camino de menor resistencia, que en el mundo del spyware mercenario de alta gama, a menudo implica atacar procesos del sistema que el usuario nunca ve. En el caso de Kouloglou, los atacantes utilizaron como arma una vulnerabilidad específica en el marco HomeKit de Apple. Esta metodología permite a un atacante comprometer un dispositivo sin ninguna notificación ni acción por parte del propietario. Cuando su modelo de seguridad depende de que el usuario tome la decisión correcta, un exploit de cero clics hace que ese modelo quede efectivamente obsoleto.
Los investigadores de Citizen Lab identificaron que las infecciones en el iPhone de Kouloglou ocurrieron a través de un exploit con el nombre en código PWNYOURHOME. Esta cadena de ataque específica se dirige al demonio HomeKit en iOS. El 21 de octubre de 2022, los registros forenses mostraron una búsqueda de una dirección de correo electrónico específica relacionada con HomeKit: rauharepo888[@]gmail.com. Dos minutos más tarde, un proceso de Pegasus estaba activo en el dispositivo, consumiendo datos móviles. Esta secuencia de eventos es una señal clásica de un exploit de cero clics en funcionamiento. El atacante envía una solicitud especialmente diseñada a través de un servicio como iMessage o HomeKit, que el teléfono procesa automáticamente en segundo plano. Si la solicitud contiene código malicioso que explota un fallo de gestión de memoria, el atacante obtiene la capacidad de ejecutar código con los privilegios del servicio objetivo.
En el momento de la primera infección, Kouloglou utilizaba iOS 15.5. Apple finalmente abordó esta vulnerabilidad en iOS 16.3.1, pero durante meses, el dispositivo permaneció abierto a este punto de entrada específico. Desde una perspectiva arquitectónica, este exploit resalta una debilidad sistémica en la forma en que los sistemas operativos móviles manejan servicios complejos e interconectados. HomeKit está diseñado para facilitar la vida automatizando dispositivos domésticos inteligentes, pero su profunda integración en el núcleo del sistema operativo proporciona una superficie de ataque masiva. Piense en ello como una puerta trasera que se deja sin llave en un edificio de alta seguridad porque los residentes querían la comodidad de un sistema de entrada por control remoto.
El momento de estas infecciones sugiere un objetivo altamente estratégico. El primer compromiso exitoso ocurrió en octubre de 2022, mientras Kouloglou estaba en el hospital para una cirugía. Durante este período, recibió la visita de Thanasis Koukakis, un periodista griego que anteriormente había sido blanco del spyware Predator. La segunda serie de infecciones ocurrió en marzo de 2023. Este período fue crítico para la Comisión PEGA, ya que los miembros estaban inmersos en intensas discusiones sobre la redacción final de su informe de investigación. Los atacantes tuvieron acceso al dispositivo durante las mismas semanas en que las deliberaciones confidenciales y los testimonios de los testigos eran más sensibles.
Citizen Lab descubrió que el spyware estuvo activo los días 6 y 7 de marzo de 2023, utilizando el mismo exploit PWNYOURHOME empleado meses antes. Esta persistencia es un sello distintivo de las operaciones de Pegasus. El spyware está diseñado para ser sigiloso, pero también es resistente. Si un dispositivo se reinicia, el operador a menudo necesita volver a infectarlo. El hecho de que los atacantes volvieran a comprometer con éxito el dispositivo utilizando el mismo vector sugiere que confiaban en la eficacia continua del exploit contra la versión de iOS no parcheada. Por diseño, Pegasus permite al operador grabar llamadas, leer mensajes cifrados e incluso activar el micrófono o la cámara de forma remota. Para un miembro de una comisión que investiga estas mismas herramientas, la exposición de tales datos es un fallo catastrófico de confidencialidad.
Uno de los hallazgos más significativos del informe de Citizen Lab es el solapamiento entre el caso Kouloglou y otras campañas. La dirección de Gmail específica utilizada en la búsqueda de HomeKit, rauharepo888[@]gmail.com, también se vio en ataques contra periodistas rusos y bielorrusos que viven en el exilio en Europa. El análisis forense de la infraestructura de Pegasus sugiere que estas direcciones de correo electrónico suelen ser únicas para operadores o clientes específicos de NSO Group. Este descubrimiento apunta hacia un cliente de Pegasus con una licencia que permite operaciones en múltiples jurisdicciones europeas.
Esta conexión cambia la narrativa de un incidente aislado a parte de un patrón generalizado de vigilancia transfronteriza. Cuando un único operador se dirige tanto a periodistas de la oposición como a legisladores europeos de alto rango, la distinción entre seguridad nacional y espionaje político desaparece. En términos de integridad de los datos, la presencia de tales herramientas en el dispositivo de un legislador pone en duda la seguridad de cada comunicación que tuvo con denunciantes y activistas. Estas personas a menudo arriesgan sus vidas para proporcionar información a las comisiones de investigación, y lo hacen bajo el supuesto de que su identidad está protegida por la seguridad digital del legislador.
Si bien el caso Kouloglou se centró en la vigilancia basada en malware, es importante reconocer que Pegasus es solo una parte de un conjunto de herramientas más amplio. Investigaciones recientes de Citizen Lab también han revelado el uso del rastreo a nivel de telecomunicaciones. Estas campañas explotan debilidades en los protocolos del Sistema de Señalización n.º 7 (SS7) y Diameter, que son la columna vertebral del roaming móvil global. Los atacantes pueden rastrear la ubicación de una persona sin instalar nunca malware en su dispositivo. Lo hacen suplantando identidades de operadores y enviando comandos de señalización maliciosos a través de proveedores de telecomunicaciones de confianza.
Este tipo de vigilancia es aún más difícil de detectar que una infección por Pegasus. No hay artefactos forenses en el teléfono porque el ataque ocurre dentro de la infraestructura de la red. Hablando proactivamente, esto convierte al ecosistema de las telecomunicaciones en un punto crítico de falla para las personas de alto riesgo. Ciertos proveedores en el Reino Unido y Jersey fueron identificados como puntos de tránsito para este tráfico de señalización malicioso. Estos proveedores funcionaron efectivamente como un puente encubierto para que los proveedores de vigilancia rastrearan objetivos a nivel mundial. Esto revela que incluso si se tiene el teléfono más seguro del mundo, la propia red sigue siendo una vía explotable para los actores patrocinados por estados.
El tema recurrente en estos informes forenses es que las medidas de seguridad tradicionales son insuficientes contra el spyware mercenario. Si usted es un objetivo de alto riesgo, el parcheo es solo el primer paso. Parchear es como tapar agujeros en el casco de un barco; lo mantiene a flote, pero no impide que el enemigo dispare más proyectiles. Para los usuarios que enfrentan amenazas patrocinadas por estados, Apple introdujo el Modo de aislamiento. Esta función reduce drásticamente la superficie de ataque al deshabilitar tecnologías web complejas, bloquear ciertos tipos de archivos adjuntos y restringir las solicitudes de servicio entrantes, como las invitaciones de HomeKit de usuarios desconocidos.
Desde una perspectiva de riesgo, el caso Kouloglou es un recordatorio de que la seguridad digital es un componente crítico para la supervisión democrática. Cuando los propios investigadores se ven comprometidos, la integridad de toda la investigación está en riesgo. Debemos avanzar hacia un modelo de confianza cero para los dispositivos móviles donde ya no asumamos que un dispositivo es seguro solo porque está actualizado. Para aquellos en roles sensibles, las llaves de seguridad de hardware y la comunicación cifrada de extremo a extremo a través de plataformas como Signal ya no son opcionales. Son la base para la supervivencia en un entorno digital donde las paredes tienen oídos.
La implementación de una estrategia defensiva requiere un enfoque granular para el endurecimiento del dispositivo. Si su trabajo implica el manejo de datos sensibles o la investigación de entidades poderosas, considere los siguientes pasos:
Fuentes:
Descargo de responsabilidad: Este artículo tiene fines informativos y educativos únicamente y no reemplaza una auditoría de ciberseguridad profesional o un servicio de respuesta a incidentes.



Nuestra solución de correo electrónico cifrado y almacenamiento en la nube de extremo a extremo proporciona los medios más potentes para el intercambio seguro de datos, lo que garantiza la seguridad y la privacidad de sus datos.
/ Crear una cuenta gratuita