La investigación sobre Pegasus pretende saber si el atacante de Macron y Pedro Sánchez son el mismo

El CNI se lo dejo claro al juez José Luis Calama, titular del juzgado de Instrucción número 4 de la Audiencia Nacional: «Resulta imposible determinar la autoría de las infecciones acreditadas». Así que cualquier cábala sobre el contenido o la autoría de los datos robados son especulación. Pero para entender cómo funciona Pegasus y en qué consiste exactamente es necesario hacer un poco de historia y explicar qué se conoce hasta ahora y qué no sobre el ataque con Pegasus a parte del gobierno español, el presidente del Gobierno, la ministra de Defensa, el ministro del Interior y ministro de Agricultura.

Algunas cosas, pocas, son certezas y en otras hay que seguir buscando. En cualquier caso, la investigación española podrá saber si el atacante del presidente de Francia, Enmanuel Macron, y el de Pedro Sánchez son el mismo.

ESTE SOFTWARE ESPÍA NO NECESITA QUE LA VÍCTIMA INTERACTÚE CON SU TERMINAL

Lo que permite el software Pegasus es espiar teléfonos móviles con tecnología IOS (Apple) y Android y extraer paquetes de datos de manera que su propietario no sea consciente de que ha sufrido un ciberataque excepto si busca unos indicadores concretos, es decir, somete su móvil a una inspección de informática forense. La característica más importante de este software espía es que no necesita la colaboración forzada o no del usuario del terminal para acceder a su contenido.

En el caso de los Iphones del Gobierno español Pegasus logró infiltrarse de varias formas. Pero la más común es a través de una falsa puesta a punto del software de cualquier APP, por ejemplo, aunque en el caso de Pedro Sánchez fue tras llegarle al móvil un iMessage del usuario LinaKeller23. En ese momento Pegasus accedió a todo el contenido del teléfono de Sánchez. Pero ni siquiera Pegasus necesitó que Sánchez abriese ese mensaje, una vez que está en el teléfono ya puede acceder a su contenido.

Supuestamente, según el protocolo esos móviles del Gobierno son auditados cada quince días. Los ministros son avisados de esos barridos y no tienen que hacer nada porque se hacen en remoto. Se desconoce a día de hoy si ese barrido se hizo tarde, no se hizo o si el volumen de datos de esos días era tan grande que el robo se produjo entre un barrido y otro.

En julio de 2021 el caso Pegasus estalló en Francia cuando el presidente Macron y varios dirigentes más denunciaron haber sido infectados por este software espía, tal y como ya ha publicado MONCLOA. En España nadie buscó debilidades o interacciones en los móviles del Gobierno, sólo se siguió con el protocolo previsto, aunque se sospechó que la entonces ministra de Exteriores, Arancha González Laya, podía haber sido espiada tras la crisis con Marruecos por el asunto de Brahim Ghali, presidente de la República Árabe Saharaui Democrática (RASD), ingresado y tratado en un hospital Logroño.

Arancha González Laya
La exministra González Laya.

El escándalo llegó a España a principios de abril de 2022 cuando el diario norteamericano New Yorker publicaba un estudio de Citizen Lab que sugería que políticos catalanes fueron espiados por el CNI español. El 5 de mayo el Gobierno español tuvo que reconocerlo. Pero, antes, el 30 de abril Félix Bolaños, ministro de la Presidencia solicitaba al CNI que se auditasen los móviles de los ministros y el CCN descubría que Pegasus había extraído al menos 2 GB del móvil de Sánchez y 6 GB del teléfono de Margarita Robles, ministra de Defensa. Los técnicos consultados por MONCLOA aseguran sin embargo que es imposible saber con exactitud qué cantidad de datos exactos se han copiado y cuáles son esos datos concretos.

En el caso de Pedro Sánchez, el juez Calama en su auto de archivo de julio de 2022 explicaba que se activó con un mensaje de iMessage de «LinaKeller», que por el proceso malicioso «aggregatenotd» pasaron un total de 2,57GB y por el «Hmdwatchd» un total de 130MB. Es imposible saber, porque sólo lo conoce el técnico que lo hizo, qué datos eran los que se robaron de los móviles.

El 10 de julio de 2022 el juez de la Audiencia Nacional archivó la causa porque era imposibie, así se lo hizo llegar el CNI la identidad de los atacantes. La pericial encargada al CNI y firmada por el funcionario con NIP 7613 arrojó como resultado que hubo un robo de datos, que el ataque al presidente provino de varios IoCs asociados a la cuenta linakeller2203@gmail.com y del dominio hk9gfzv7s5.execute.api.eu-west- 3amazonaws.com. Y poco más. La empresa NSO Group tampoco acusó siquiera respuesta de la comisión rogatoria enviada a Israel por el juez Calama en la que se pedía que un responsable de la empresa testificase.

LAS FECHAS DEL ESPIONAJE

En el teléfono de Pedro Sánchez se encontró actividad de Pegasus el 13 de octubre de 2020, 19 de mayo de 2021, 31 de mayo de 2021, 12 de junio de 2021 y 27 de diciembre de 2021 donde se llevaron 2,57 Gigabytes (GB) de información. En marzo de 2023, mucho después del robo de datos con Pegasus, Pedro Sánchez, sin informar ni consultar al Congreso de los Diputados cambió sorpresivamente la postura del Estado español sobre la región del Sahara poniéndose del lado del plan propuesto por Marruecos en 2007. Ese cambio de postura terminó de desatar todas las teorías posibles, reales e inventadas, sobre el contenido de lo robado por Pegasus.

Más complicado resultó analizar el móvil de la Ministra de Defensa, ya que el Centro Nacional de Inteligencia (CNI) explicó al juez que un funcionario del CCN borró por error algunos datos de ese teléfono justo un año antes de buscar el rastro de Pegasus. El borrado se produjo por error y, fundamentalmente, porque cuando ocurrió nadie buscaba rastros de ese programa espía, en junio de 2021.

En el auto de archivo el juez Calama explicaba que «se habría producido exfiltración de información del dispositivo de aproximadamente 9 Megabytes, si bien, dado que el dispositivo se restauró a fábrica en julio de 2021 se ha perdido la información referente a la base de datos DataUsage, por lo que la cantidad real de datos exfiltrados puede ser mayor. Asimismo, cabe destacar la importancia de las credenciales de iCloud ya que permiten la exploración del contenido de la cuenta durante varios meses después de la infección del dispositivo».

Es decir, que durante una revisión rutinaria del dispositivo el funcionario del CCN restauró el iPhone de la ministra en julio de 2021, dejándolo vacío, con los ajustes de fábrica y cuando en mayo de 2022 el juez de la Audiencia Nacional ordenó la investigación al CNI  se encontraron que por error un funcionario había restaurado por completo el teléfono de la ministra dejándolo con los ajustes de fábrica.

Sin embargo, el CNI sí fue capaz de averiguar que el móvil de la ministra «presenta indicios de haber sido infectado con Pegasus en cuatro ocasiones, entre mayo y octubre de 2021. El nombre del proceso que ha sido detectado como dañino es «fservernetd», cuya primera aparición se observa el 18 de junio de 2021. Se observan evidencias de dicho proceso entre el 18 y el 23 de junio de 2021. Esto confirma que en dichas fechas el dispositivo estaba comprometido» y sigue el informe explicando que «la cantidad de información exfiltrada entre ambas fechas es la menos de 9 Megabytes (MB). Además se han encontrado inconsistencias en ficheros del sistema del iPhone entre el 5 de junio y el 10 de junio de 2021, lo cual denota un potencial síntoma de infección».

Traducido a lenguaje entendible esto significaría que tras hacer un análisis del teléfono el CCN encontró que el terminal estaba «comprometido». Como los iPhones generan una base de datos con el consumo de datos de red que cada proceso conlleva los peritos pueden averiguar la cantidad de datos que ha salido del terminal, un proceso malicioso que en el caso de la ministra habría movido 9 MB por la red.

En el caso del ministro del Interior, Grande-Marlaska, el CNI dedujo que la infección se produjo el 2 y 7 de junio de 2021, pero los procesos no dudaron solo dos días. La primera duró entre el 2 y el 5 de junio. La segunda duró al menos entre el 7 y el 23 de junio. Esto es posible porque una vez que Pegasus entra en el teléfono se queda ahí hasta que es detectado. En ambos ataques el hacker «sólo» se llevó 325 MB por red móvil y otros 78 vía WiFi, en total 400 MB. Hay que recordar que la madrugada del 24 de junio de 2021 Marruecos permitió que miles de inmigrantes sudaneses asaltasen la valla de Melilla desde Marruecos, muriendo al menos 23 de estos inmigrantes en el asalto.

Antes del archivo de aquella investigación reabierta hace unos días para comparar los datos del Pegasus francés con el español, el juez Calama pidió al consejo de ministros que, ante la imposibilidad de saber qué datos concretos habían sido robados, facilitase a su juzgado el contenido de esos teléfonos móviles para conocer al menos si había información sensible en ellos o de interés nacional. Pero el Consejo de ministros se negó el 23 de agosto de 2022 a desclasificar esos documentos, «actos, información, dato ni objeto alguno, toda vez que en relación a los hechos investigados, los informes realizados por el CNI no contienen elemento alguno que se encuentre clasificado ni como secreto reservado, pues se trata de documentos cuyo contenido no compromete a la Seguridad del Estado, ni las fuentes, medios y procedimientos del CNI. Estas mismas circunstancias concurren también en los informes CCN-CERT 31/22 (Defensa) y CCN-CERT 32/22 (Interior)».

ATAQUES EN FRANCIA

Sin embargo, el espionaje francés acreditaría en 2023 que algunos IoCs (indicadores de compromiso) eran los mismos identificados en otros ataques a objetivos contrarios a la política nacional marroquí. Por ejemplo, a opositores al rey Mohamed VI, militantes de organizaciones saharauis o periodistas críticos con el régimen de Rabat. Pero, hay que insistir en este extremo, no existe una sola prueba que implique al servicio de espionaje marroquí en estos ataques, lo que sí es objetivo es que algunas víctimas de Pegasus eran opositores marroquíes.

Por eso el 23 de abril de 2024 el juez Calama decide la reapertura de la causa y pide al CNI que identifique si los indicadores del Pegasus francés son similares a los del ataque sufrido por el gobierno español. Tras la decisión de Calama sólo hay «la respuesta a una Orden Europea de Investigación (OEI) en virtud de la solicitud de auxilio judicial emitida por la autoridad judicial de Francia, vicepresidente primero encargado de las investigaciones, División Económica y Financiera Tribunal Judicial de París, en su expediente con número fiscal (…), se ha acordado abrir expedir testimonio de dicha OEI para su unión a las presentes Diligencias Previas».

Esto no significa que los franceses sepan qué había en los teléfonos móviles del gobierno español. Sólo que se van a comparar datos de unos y otros. En el caso de que los IoCs fuesen compatibles se lograría acreditar que los atacantes franceses y españoles son los mismos.

CÓMO FUNCIONA PEGASUS

Pegasus es un software espía inventado y desarrollado por la empresa privada israelí NSO Group, fundada en 2010. A pesar de ser de origen israelí lo cierto es que el 70% de la propiedad es de Novalpina Capital, una firma británica. Pegasus no es el primer y único producto de NSO Group, que sólo comercializa su producto a gobiernos autorizados previamente por el gobierno israelí. Durante estos diez años se cree que Pegasus fue vendido a los gobiernos de Marruecos, Rusia, China, Arabia Saudí, México, Francia o España, entre otros.

Y ¿qué puede hacer Pegasus una vez dentro? Las posibilidades son ilimitadas, ya que hasta que son detectados pueden activar el micrófono y la cámara del móvil, descargar los mensajes almacenados en la memoria, saber vía GPS dónde ha estado el propietario del teléfono e incluso acceder a la nube asociada al móvil.

Pero no es fácil espiar a un dirigente político ni siquiera usando Pegasus. En el caso de los políticos españoles varios errores encadenados permitieron que esto ocurriese. En España cuando un alto cargo toma posesión de su puesto, el Departamento de Seguridad Nacional (DSN)) le entrega un móvil limpio y con todo lo necesario para evitar ciberataques. El móvil ha sido configurado por el Centro Criptológico Nacional (CCN), o rama tecnológica del CNI.

En realidad la única certeza es que España tiene Pegasus porque el propio Gobierno lo ha reconocido, ese y otro rival suyo llamado Sourgum, comercializada por Candiru, usado supuestamente en Cataluña en 2019 con la preceptiva autorización judicial para espiar a independentistas catalanes. En cualquier caso, NSO Group nunca informa sobre quienes son sus clientes y asegura que es imposible que ellos accedan a las investigaciones de sus estados clientes una vez que le venden el software. O eso dicen, aunque cualquier experto asegura que todos los fabricantes comercializan su producto con una «puerta trasera», pero en el caso de Pegasus los gobiernos tienen sus propios expertos que hacen las comprobaciones pertinentes, porque sería poco inteligente comprar un software espía que permita al fabricante espiarte a ti.