El debate europeo sobre el spyware comercial vuelve a ganar urgencia después de que Citizen Lab identificara infecciones con Pegasus en el teléfono de un político griego que había participado en una comisión del Parlamento Europeo dedicada a investigar abusos de la industria de vigilancia. TechCrunch, WIRED y Bloomberg recogieron el caso, que afecta de lleno a la discusión sobre controles, exportaciones y protección de representantes públicos.
Pegasus, desarrollado por NSO Group, es una de las herramientas de espionaje más conocidas del mercado. Su capacidad para comprometer teléfonos móviles ha sido documentada en investigaciones previas sobre periodistas, activistas, abogados y cargos políticos. La gravedad de este caso está en el perfil de la víctima: una persona que investigaba precisamente los riesgos de esa industria.
Cuando una herramienta de vigilancia alcanza a quienes deben fiscalizarla, el problema deja de ser solo técnico y se convierte en una cuestión institucional. La seguridad del dispositivo importa, pero también importan los incentivos, los clientes, los controles de venta y la rendición de cuentas de los gobiernos que adquieren estas capacidades.
Europa lleva años intentando ordenar el uso de spyware, pero el caso muestra lo difícil que resulta poner límites a una tecnología que opera en zonas opacas. Las empresas suelen defender que sus productos se destinan a combatir terrorismo o crimen grave. Las investigaciones independientes, sin embargo, han mostrado usos contra actores civiles y políticos en distintos países.
Para la Unión Europea, el dilema es incómodo. Los Estados quieren capacidades de inteligencia en un entorno de amenazas reales, pero el abuso de esas mismas capacidades erosiona derechos fundamentales y confianza democrática. Además, cuando el objetivo es un eurodiputado o una figura vinculada a investigaciones parlamentarias, el daño potencial afecta a la independencia de las instituciones.
La regulación del spyware no puede limitarse a exigir buenas prácticas a proveedores privados si los compradores públicos no quedan sometidos a controles verificables. Ese es el punto que vuelve más complejo el debate: la tecnología se vende como instrumento de seguridad, pero su uso depende de decisiones políticas y judiciales que muchas veces no son transparentes.
El caso también tiene una lectura empresarial. La ciberseguridad corporativa no puede asumir que los ataques avanzados solo afectan a grandes tecnológicas o infraestructuras críticas. Directivos, abogados, inversores y responsables de cumplimiento pueden convertirse en objetivos si manejan información sensible. La frontera entre seguridad nacional, espionaje económico y presión política se ha vuelto más difusa.
En ese contexto, las organizaciones europeas tendrán que elevar sus protocolos de protección móvil. Actualizaciones, detección de indicadores de compromiso, separación de dispositivos y formación para perfiles expuestos ya no son medidas excepcionales. Son parte de la higiene mínima para quienes operan en sectores regulados, tecnología crítica o asuntos públicos.
La nueva revelación sobre Pegasus refuerza una idea incómoda: Europa todavía no ha cerrado la brecha entre su ambición regulatoria y la realidad de una industria de vigilancia que se mueve más rápido que sus controles.
La reacción regulatoria tendrá que atender además a la compra pública, la supervisión judicial y la cooperación entre países. Sin ese triángulo, cualquier nueva norma corre el riesgo de quedarse en una declaración de principios difícil de auditar.
