El FSB ha lanzado este lunes una acusación sin precedentes técnicos: una operación de los servicios de inteligencia extranjeros que habría infectado con malware los teléfonos móviles de altos funcionarios rusos para robar datos, interceptar conversaciones y activar micrófonos y cámaras de forma encubierta. El anuncio, difundido por la agencia de seguridad rusa el 2 de junio, no identifica al atacante, no publica muestras de código ni indicadores de compromiso y apenas ofrece detalles forenses. Le confieso que al leerlo sentí un déjà vu —es el mismo guion que Moscú ha utilizado en otras ocasiones para señalar a Occidente sin contar con el respaldo de la comunidad de ciberseguridad.
Según el comunicado, el código malicioso permitía extraer información almacenada, escuchar llamadas en curso y activar el micrófono o la cámara de los dispositivos. La unidad de investigación del FSB ha abierto una causa penal bajo los artículos 272 y 273 del Código Penal ruso —acceso no autorizado a información informática y creación de software malicioso—, pero no ha habido detenciones ni se ha señalado a ningún país concreto.
La nota oficial recurre a una fórmula deliberadamente vaga: «Utilizando las capacidades técnicas de las grandes corporaciones internacionales de TI, los representantes de los servicios de inteligencia extranjeros extrajeron de forma encubierta y sin autorización diversos tipos de información». La expresión «grandes corporaciones internacionales de TI» es un comodín que podría apuntar a fabricantes de dispositivos, operadores de plataformas o desarrolladores de aplicaciones. El FSB no aclara a quién se refiere y esa ambigüedad convierte la denuncia en un mensaje político más que en un informe de inteligencia contrastable.
Esta no es la primera vez que Moscú emite una advertencia de este calado sin el respaldo forense que cualquier investigador independiente exigiría. En 2023, el FSB acusó a la Agencia de Seguridad Nacional estadounidense (NSA) de comprometer miles de iPhones en una campaña de vigilancia masiva. Aquella afirmación coincidió con la publicación del informe de Operation Triangulation por parte de Kaspersky, una campaña de espionaje real y técnicamente documentada que afectó a dispositivos iOS. Sin embargo, la atribución a la NSA nunca se confirmó de forma independiente y Apple negó cualquier colaboración con un gobierno extranjero. El patrón es reconocible: una premisa plausible sobre una amenaza real, seguida de una acusación política sin pruebas forenses.
El comunicado se cierra con una advertencia que parece extraída de una cartilla de concienciación para funcionarios: «El FSB de Rusia advierte de que los servicios de inteligencia de Estados extranjeros utilizan tecnologías de la información modernas en sus actividades destructivas, incluidos los dispositivos de comunicación móvil». Y añade que «hablar de información confidencial en ellos o cerca de ellos es inadmisible, ya que el contenido de sus conversaciones puede llegar a ser conocido por terceros y acarrear consecuencias irreversibles». Consecuencias irreversibles. Una frase que cierra conversaciones en lugar de abrir investigaciones.
La ironía es densa. El propio aparato ofensivo cibernético ruso es uno de los más activos y mejor documentados del planeta. El año pasado, el FBI alertó de que piratas informáticos vinculados al Centro 16 del FSB estaban explotando una vulnerabilidad antigua de Cisco para recolectar archivos de configuración de redes de infraestructuras críticas en varios países. Que una agencia de espionaje acuse a otras de espiar no es un titular que se escriba con indignación: es, simplemente, el oficio.
Una agencia que espió a medio mundo acusa ahora a desconocidos de haber hecho lo mismo, sin aportar una sola muestra de malware.
De hecho, la amenaza subyacente es real y no debería trivializarse. Las operaciones de vigilancia móvil respaldadas por Estados son un vector de inteligencia de señales (SIGINT) consolidado desde hace décadas. Los teléfonos de los altos cargos de cualquier gobierno son objetivos legítimos para los servicios de inteligencia extranjeros, y la sofisticación del spyware moderno —llámese Pegasus, Predator o los implantes de la propia NSA— permite convertir un dispositivo en un micrófono y una cámara encubierta sin que el usuario perciba nada. El problema de la denuncia del FSB no es el qué, sino el cómo: la ausencia de evidencias técnicas la sitúa en el terreno de la propaganda, no en el de la atribución.
En mi opinión, la falta de muestras de malware, direcciones de comando y control o cualquier artefacto forense es una decisión deliberada. Publicar esos datos permitiría a los equipos de respuesta a incidentes de todo el mundo buscar patrones similares en sus propias redes, y también blindaría la credibilidad de la acusación. Al no hacerlo, el FSB elige un camino que ya conocemos bien: la acusación sin posibilidad de verificación independiente. Ya advertí en El quinto elemento que «el próximo 11S empezará con un clic», y esa realidad se aplica tanto a los adversarios de Rusia como a la propia Rusia.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza que describe el FSB es, en esencia, una campaña de espionaje móvil (SIGINT) probablemente basada en exploits de día cero o en la cadena de suministro de aplicaciones legítimas. La acusación apunta a que los atacantes se apoyaron en las «capacidades técnicas» de grandes corporaciones de TI, una referencia que podría aludir a vulnerabilidades en sistemas operativos, servicios en la nube o incluso a la colaboración —forzada o voluntaria— de proveedores de software. Sin embargo, la ausencia de atribución convierte el incidente en un clásico caso de «quién lo hizo» sin respuesta, con el añadido de que el propio FSB podría estar escenificando una operación de bandera falsa para justificar medidas de contrainteligencia internas o endurecer el control de las comunicaciones de sus altos cargos.
Las agencias implicadas son difíciles de cartografiar. El atacante permanece en la sombra: si hiciéramos caso al historial de denuncias anteriores de Moscú, la NSA o la CIA serían los candidatos recurrentes, pero sin pruebas no hay forma de señalarlos. La agencia defensora es, naturalmente, el FSB, que ha abierto una investigación penal pero que, al mismo tiempo, no ha mostrado las pruebas que dice tener. Los terceros interesados son, por un lado, las grandes corporaciones de TI mencionadas —Apple, Google, Microsoft—, cuyos productos podrían haber sido instrumentalizados, y, por otro, los servicios de inteligencia aliados, incluido el CNI español. La experiencia demuestra que los móviles de los responsables gubernamentales españoles también están en el punto de mira: el Centro Criptológico Nacional (CCN-CERT) monitoriza de forma permanente las amenazas de spyware avanzado, y en los últimos años ha reforzado los protocolos de seguridad en las comunicaciones de altos cargos.
El nivel de clasificación del material que el FSB dice haber documentado sería, a juzgar por el tipo de operación, de Top Secret o, al menos, Secreto en origen. La interceptación de conversaciones de altos funcionarios produce información sensible que ningún servicio dejaría sin clasificar. Sin embargo, el hecho de que el comunicado se limite a una descripción genérica sugiere que, o bien el material no existe con el detalle necesario, o bien Moscú no está dispuesto a desclasificarlo ni siquiera para respaldar su propia acusación. El precedente histórico de la Operación Triangulación, documentado por Kaspersky con un rigor técnico impecable, demuestra que cuando un Estado quiere hacer creíble una denuncia de ciberespionaje, el único camino es publicar los indicadores de compromiso. Sin ese paso, la historia del FSB no pasará de ser una nota en los boletines de inteligencia que los analistas leerán con escepticismo.
