Pegasus és un dels programaris espia més coneguts del món, desenvolupat per l'empresa israeliana NSO Group i dissenyat per infiltrar-se en telèfons mòbils i accedir a pràcticament tota la informació del dispositiu sense que l'usuari hagi de fer res. Encara que es va presentar com una eina destinada a combatre el terrorisme i el crim organitzat, el seu ús ha estat envoltat de polèmica durant anys després de múltiples investigacions que han revelat la seva possible utilització contra periodistes, activistes, advocats i figures polítiques en diferents països.
Polítics de la UE que investigaven Pegasus acaben infectats pel mateix programari espia
Precisament per aquest historial, el Parlament Europeu va posar en marxa una comissió específica per investigar l'ús de Pegasus, l'anomenada comissió PEGA, amb l'objectiu d'analitzar com s'ha desplegat aquest tipus de tecnologia, quins controls existeixen i fins a quin punt s'han produït abusos dins i fora de la Unió Europea.
No obstant això, la mateixa investigació ha acabat prenent un gir inesperat que afegeix encara més tensió, ja que almenys un dels eurodiputats que formaven part d'aquesta comissió hauria estat infectat amb el mateix programari espia Pegasus que estaven estudiant.
El cas que ha sortit a la llum és el de l'eurodiputat grec Stelios Kouloglou, el telèfon del qual hauria estat compromès en diverses ocasions entre 2022 i 2023 segons anàlisis forenses realitzades per Citizen Lab, un dels laboratoris independents més reconeguts en l'àmbit internacional en l'anàlisi de ciberespionatge.

L'aspecte més preocupant del cas és el tipus d'atac utilitzat, ja que Pegasus és capaç d'explotar vulnerabilitats conegudes com a atacs “zero-click”, la qual cosa significa que no cal que la víctima premi enllaços, obri missatges o descarregui arxius, sinó que el dispositiu pot ser infectat de forma completament silenciosa.
Aquest tipus de capacitat converteix Pegasus en una eina d'espionatge especialment difícil de detectar i de prevenir, ja que no depèn del comportament de l'usuari sinó de fallades en el mateix sistema operatiu del dispositiu.
De moment no existeix una atribució oficial sobre qui estaria darrere d'aquests atacs concrets, cosa habitual en aquest tipus d'operacions, perquè Pegasus ha estat adquirit al llarg dels anys per diferents governs i agències, la qual cosa complica enormement rastrejar l'origen exacte de cada infecció.
El resultat és una situació especialment incòmoda per a la Unió Europea, que ve com a part dels membres encarregats d'investigar aquest programari podrien haver estat víctimes del mateix sistema que intentaven analitzar, cosa que afegeix un nivell addicional de complexitat política i de seguretat.
Més enllà de l'episodi concret, el que ha passat torna a posar el focus en el debat sobre el control de les tecnologies de vigilància avançades i sobre la dificultat real de regular eines que, a la pràctica, poden arribar a colar-se de forma molt profunda fins i tot dins de les mateixes institucions que intenten controlar-les.