CNI espionaje CUP: el centro admite haber espiado a dos exdiputados con autorización judicial

El Consejo de Ministros desclasifica la intervención de dos exdiputados de la CUP con aval del Tribunal Supremo. La revelación reabre el debate sobre los límites del espionaje político en España y la cadena de control judicial.

El Consejo de Ministros ha desclasificado hoy que el CNI intervino los teléfonos de dos exdiputados de la CUP con autorización del Supremo. La decisión, que levanta el secreto de la información clasificada, llega cuatro años después del estallido del procés y reabre una herida que la inteligencia española intenta cerrar con el bisturí de la justicia.

David Fernández y Carles Riera, ambos exmiembros del Parlament por la CUP, fueron objeto de interceptación de comunicaciones durante varios periodos entre 2019 y 2022. Según la documentación remitida al juzgado de instrucción 32 de Barcelona, el CNI habría empleado el software israelí Pegasus, desarrollado por NSO Group, para infectar sus terminales móviles. Las fechas hablan: Fernández, entre finales de 2019 y junio de 2020; Riera, entre junio de 2020 y mayo de 2022. Ambos encajaban en una carpeta abierta por el Tribunal Supremo bajo el epígrafe de “actividades contrarias a la seguridad nacional”.

El circuito judicial: quién sabía qué y cuándo

El auto de autorización lo emitió el juez único del Centro de Inteligencia en el Supremo, la figura que controla —en teoría— que el CNI no se extralimite. Pero la desclasificación parcial de este viernes oculta precisamente los fragmentos que revelarían los métodos, procedimientos y fuentes que usó el servicio. La actual directora, Esperanza Casteleiro, ha podido informar sobre la “naturaleza” de las actividades bajo sospecha, pero no sobre cómo se pinchó la conversación o qué llevó a seleccionar a esos dos nombres. Es decir: el Gobierno dice que todo fue legal, pero tacha lo que demostraría esa legalidad.

Publicidad

Eso, en el oficio, se llama clasificación diferida: se levanta el velo lo justo para satisfacer a un juez, pero sin desnudar el tradecraft. He visto este patrón demasiadas veces. El CNI no revela su caja de herramientas ni cuando está en el banquillo. Y, permítame, tiene razón en hacerlo: si un zero-click exploit deja de ser secreto, deja de valer.

Lo paradójico es que esta operación llega a los titulares no por un leak, sino por la querella de los propios espiados, apoyada en los informes de Citizen Lab. El laboratorio canadiense, un referente en la detección de malware estatal, había detectado rastros de Pegasus en los móviles de Fernández y Riera en 2022. El Gobierno negó entonces —y aún niega— haber pinchado a Albert Botran, también de la CUP, pese a que su terminal también contenía trazas. Una negativa que deja flotando una pregunta incómoda: si no fue el CNI, ¿quién infectó ese móvil?

Pegasus como arma de contrainteligencia doméstica

El software Pegasus es la navaja suiza del ciberespionaje contemporáneo. Permite a su operador extraer mensajes, correos, geolocalización y hasta activar el micrófono sin que el propietario sepa nada. En España, su uso en territorio nacional solo está contemplado con autorización judicial previa —y así lo certifica el Gobierno en este caso—, pero el historial de infecciones en líderes independentistas, políticos de Podemos y miembros del propio Gobierno central ha creado una sombra de desconfianza que el CNI no logra disipar.

El espionaje no se deslegitima por su tecnología, sino por la opacidad con la que se administra la autorización judicial.

procés

Fernández no figuraba en la lista de 18 objetivos que la exdirectora Paz Esteban desveló en 2022 ante la comisión secreta del Congreso. Riera sí estaba anotado. El dato es relevante porque desmonta la idea de que el CNI se limitó a la lista confesada: hubo nombres fuera del radar parlamentario. La vigilancia sobre Fernández se extendió un año y medio, justo cuando ya había dejado la política institucional, pero seguía activo en movilizaciones post sentencia del procés.

Yo ya escribí en El quinto elemento que “los próximos 11S empezarán con un clic”. Pegasus es exactamente ese vector. No hace falta un ejército en la calle; basta con infectar el móvil de un disidente y escuchar. Lo que me inquieta no es que el CNI use esa herramienta —está en su manual—, sino la opacidad con la que se administra la cadena de autorizaciones. ¿Quién evalúa si la amenaza a la seguridad nacional justifica un año y medio de pinchazo a un político ya retirado?

Dossier Moncloa: Ojos en la Sombra

El caso que hoy ocupa los juzgados de Barcelona tiene tres capas de lectura. La primera es técnica: el vector de ataque, es puro ciberguerra con armamento de doble uso comprado a un contratista privado israelí. La segunda es judicial: un magistrado del Supremo firmó las escuchas, lo que da cobertura legal al espionaje doméstico. Y la tercera es política: la Moncloa de 2026 decide desclasificar ahora, con el procés ya amortiguado y el independentismo institucional recompuesto, en un gesto que busca proyectar transparencia sin ceder un ápice en la soberanía del CNI sobre sus métodos.

Publicidad

En el vector de amenaza, nos movemos en el terreno de la infiltración a través de un exploit de día cero —o one-click, según la versión de NSO— dirigido contra terminales de alto valor. La herramienta es conocida: Pegasus, en sus múltiples versiones, permite el acceso persistente y enriquecido al dispositivo. El coste operativo es alto, y su despliegue requiere una infraestructura de mando y control que Citizen Lab ha documentado con precisión.

En cuanto a las agencias implicadas, el CNI actúa como agencia atacante —perdón, “investigadora”— bajo el paraguas del Centro Criptológico Nacional (CCN-CERT). La agencia defensora, en este contexto, es la propia CUP y sus exdiputados, pero el control recae en el tribunal del Supremo. Un tercer actor, Citizen Lab, monitoriza desde fuera. Y aunque no se menciona, el Mossad —como Estado exportador a través de NSO— observa de reojo cada vez que su herramienta estrella salta a la prensa europea.

Sobre el nivel de clasificación estimado, a juzgar por la naturaleza de las actividades reveladas —interceptación de comunicaciones de exdiputados por presuntas amenazas a la seguridad nacional—, el material no desclasificado debe rozar el Top Secret a nivel operativo, aunque la estructura judicial impone una etiqueta de Confidencial para los autos que autorizan las intervenciones. Esa paradoja —la justicia muy reservada, la inteligencia aún más— es la que alimenta la sospecha.

El precedente histórico inmediato es el escándalo Pegasus de 2022, que costó el puesto a Paz Esteban y confirmó que la Casa de Castelló pinchó a 18 independentistas. Pero si escarbamos más, hay un eco más profundo: la tensión entre el poder del Estado para espiar a sus ciudadanos y el control de los jueces es tan vieja como la democracia. En Estados Unidos, el escándalo de las escuchas sin orden del FISA Court en los años 70 llevó a la creación de la Foreign Intelligence Surveillance Court. En España, la reforma de 2002 del CNI ya preveía que las intervenciones domésticas requerían aval judicial. La pregunta es si ese aval es un control real o un sello en blanco.

Como autor de Desnudando a Google, ya advertí que la tecnología desborda los marcos legales. Aquí tenemos un caso de libro: la herramienta es privada, el comprador es un servicio de inteligencia, la autorización es judicial, pero el ciudadano nunca sabrá exactamente qué información se extrajo ni durante cuánto tiempo se almacenó. Así que, mientras los jueces de Barcelona esperan el volcado de autos censurados, yo me quedo con la misma frase que escribí hace años: “Alguien tenía que decir que el rey Google va desnudo.” Y el rey CNI, en este caso, también lleva poca ropa.