Ya hay quien considera el espionaje con el software de origen israelí Pegasus, de la empresa NSO, como uno de los mayores escándalos en lo que va de siglo. No es para menos: el Gobierno anunció que el propio presidente Pedro Sánchez y su ministra de Defensa, Margarita Robles, sufrieron robos de datos de sus móviles el pasado año.
Todo esto se anuncia pocos días después de que Citizen Lab y la revista The New Yorker publicasen una investigación acerca del espionaje a más de 65 políticos, abogados y activistas independentistas catalanes.
Ambos casos se han judicializado, mientras el Congreso de los Diputados llama al presidente a dar explicaciones (aunque rechaza una comisión de investigación sobre el tema) y se prepara para convocar la llamada Comisión de Secretos Oficiales, en donde dará explicaciones la directora del CNI, Paz Esteban.
Teóricamente, en esa comisión parlamentaria se aclararán algunas de las dudas que generan los usos de este sofisticado programa espía, aunque sus deliberaciones y conclusiones son material clasificado.
1) ¿Qué es Pegasus?
Como ya hemos contado, Pegasus es un programa de espionaje muy sofisticado que se puede instalar de forma remota en un teléfono inteligente directamente, es decir, no requiere ninguna acción por parte de su propietario. Es complicado explicar su funcionamiento técnico; a grandes rasgos, el programa aprovecha vulnerabilidades y agujeros de seguridad (llamadas de día 0, aún no descubiertos o existentes y no solucionados), principalmente en servicios de mensajería como iMessage de Apple, Telegram o WhatsApp, para colarse sin que el dueño del móvil se dé cuenta. Cuando no son estos agujeros de seguridad, también se ha utilizado en ataques de phishing, es decir, en sitios web o mensajes que suplantan un organismo público, una asociación, un banco o cualquier otra institución que genere confianza a un incauto.
2) ¿Por qué es peligroso?
Una vez instalado, es posible tomar el control absoluto del dispositivo, incluido el acceso a mensajes cifrados como los de WhatsApp y Signal, la geolocalización del teléfono, y el encendido de micrófono y cámara: es una herramienta que puede espiar no sólo a la víctima sino a su entorno. Además, es realmente esquivo: sabemos de su instalación en los móviles de algunos ciudadanos únicamente gracias a filtraciones y al trabajo de organizaciones como Citizen Lab, que lleva años destapando el mal uso de esta herramienta. Existe una forma de detectar Pegasus en nuestros dispositivos, aunque requiere de cierto grado de pericia: con el soporte de Amnistía Internacional, hay una aplicación llamada MVT que realiza un análisis forense del dispositivo sospechoso, actualizado en este repositorio de Github.
3) ¿Cómo se detectó la presencia de Pegasus?
Todo lo que se ha publicado hasta la fecha apunta a la dificultad extrema de localizar la infección de este software en un dispositivo. Se puede sospechar de que se está infectado, a continuación, realizar un análisis forense profundo. En el caso del teléfono de Sánchez, según una crónica de La Información, se produjo a petición de la directora del CNI, Paz Esteban, a través de la ministra de Defensa, Margarita Robles, la semana pasada. Ya se ha anunciado una revisión en profundidad de cientos de dispositivos en manos de autoridades españolas.
4) ¿Cuándo se descubrieron estos ataques?
El Gobierno insiste en que las infecciones en los móviles del presidente del Gobierno y otros miembros del Ejecutivo fueron descubiertas recientemente. En concreto, Pedro Sánchez entregó su móvil en la última semana de abril y, según ha asegurado de forma oficial el ministro de la Presidencia, Félix Bolaños, se realiza un peritaje durante el fin de semana del 30 de abril y 1 de mayo. Ni el CNI ni Indra (empresa que protege los teléfonos de la cúpula del Estado) habían detectado la infección, afirman fuentes del Gobierno, aunque El País asegura que el CNI alertó de posibles ataques un mes después del sufrido por Sánchez y Robles. En cualquier caso, fuentes del Gobierno aseguran que para detectar si Pegasus accedió a un móvil hace falta una "revisión en profundidad que no es la protocolaria". Es decir, nadie se habría dado cuenta hasta hace apenas unos días.
5) ¿Cuándo se produjeron estos ataques?
El espionaje al móvil de Pedro Sánchez con Pegasus fue el 19 y el 31 de mayo de 2021. El Gobierno ha tardado nada menos que un año en reconocer los ataques, o al menos es lo que se desprende del momento en el que Félix Bolaños anuncia este bombazo informativo: a las 9:30 horas de un 2 de mayo, día festivo en la Comunidad de Madrid. El anuncio insiste en que las sustracciones de datos (dos al jefe del Ejecutivo, con un total de 2 GB de datos robados, y uno a la ministra, con 9 MB descargados) se producen, efectivamente, hace casi un año.
6) ¿Por qué el Gobierno anuncia ahora este ciberespionaje?
Desde La Moncloa se ha decidido hacer pública esta situación pocas semanas después del que estallase el escándalo del espionaje, también con Pegasus, a prominentes independentistas catalanes, conocido como el Catalangate. Este hecho ha provocado el escepticismo en algunos responsables políticos, que tachan de "cortina de humo" el anuncio del Gobierno. Cabe destacar que el ciberespionaje al Gobierno coincidió con el momento en el que debía decidir si indultaba a los líderes del procés y con la crisis con Marruecos que derivó en una avalancha de migrantes en Ceuta.
7) ¿Existen pruebas?
El caso del espionaje a Sánchez, Robles y otros miembros del Ejecutivo (el diario El País asegura que la ministra de Exteriores, Arancha González Laya, fue espiada por Marruecos en mayo de 2021, aunque se desconoce si también con Pegasus) ha recaído por turno en el Juzgado Central de Instrucción numero 4 de la Audiencia Nacional, cuyo titular es José Luis Calama (el mismo juez que el lunes había enviado la denuncia a reparto). La Abogacía del Estado asegura haber enviado, junto con la denuncia correspondiente, los informes periciales elaborados por el Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI). De esta manera, al tratarse de una materia por naturaleza reservada y estar ya judicializada, es posible que transciendan muy pocos datos.
8) ¿Qué peso pueden tener esas pruebas?
La propia naturaleza de Pegasus hace que surjan dudas acerca de la fuerza de las pruebas aportadas por el Centro Criptológico Nacional. Tal y como comenta el abogado especializado en tecnología David Maeztu, "si se articula a través del juzgado la petición a una compañía 'que sólo vende sus productos a Estados' [que es lo que dice NSO Group] para saber quién ha espiado a quién, obviamente la empresa no te va a contestar". De esta forma, si existe la posibilidad de escribir o borrar en la base de datos de un sistema de mensajería como WhatsApp o iMessage para no dejar rastro de la infección, como sucede con Pegasus, para este abogado "también existe la posibilidad de cuestionar cualquier dato de un dispositivo". "Otra cosa es solicitar a Google por Android, o a Apple por iOS, que informen sobre puertas traseras o vulnerabilidades de día 0 que puedan tener", añade este experto, "que en principio, sin una filtración, no se va a poder saber".
9) ¿Cuántos políticos -y otros- estarían afectados?
Aún se desconoce el número de afectados, tanto en España como en el ámbito de la Unión Europea. El Parlamento Europeo va a celebrar un debate sobre el uso de este software ilegal por parte de los Gobiernos de la UE, mientras la Comisión Europea reconoce su impotencia para controlar el uso de cualquier software espía. Lo que sí sabemos es lo que revelan las investigaciones de entidades como la citada Citizen Lab o Forbidden Stories, que el pasado año desveló que más de 50.000 teléfonos de todo el mundo habían sido infectados por este software espía con el objetivo de socavar a la disidencia en Marruecos, India, Arabia Saudí, Ruanda o Azerbaiyán. También sabemos que el presidente francés, Emmanuel Macron, figuraba en una lista de objetivos de este sistema de espionaje, junto al expresidente de la Comisión Europea Romano Prodi y al presidente del Consejo Europeo, Charles Michel (cuando éste ejercía de primer ministro belga). Y ahora conocemos el escándalo del Catalangate que culmina en el espionaje a lo más alto del Gobierno español.
10) ¿Quién está detrás de este uso de Pegasus?
He aquí la clave del escándalo. El propio Ejecutivo habla de ataques "externos" sin autorización judicial, algo que puede responder a una intrusión por parte de otro país, pero también de una corporación o incluso de un ataque desde dentro; es conocido que el CNI ha tenido acceso a Pegasus, desde su adquisición por parte del Gobierno de Rajoy en 2014 (por unos 20 millones de euros), y Público ha ido desvelando cómo desde las llamadas cloacas de Interior se han adquirido programas informáticos a NSO Group con fondos reservados y sin control aparente. Algunos medios llegan a apuntar a Marruecos, pero tampoco parece que el Gobierno esté dispuesto a reconocer que sean los responsables.