Seis meses después de que la crisis diplomática con Argelia pareciera enfriarse, una nueva investigación ha vuelto a colocar a Marruecos en el centro del tablero del ciberespionaje. Los servicios de inteligencia marroquíes —la DGST y, en menor medida, la DGED— han llevado a cabo cientos de intentos de infección con el temido spyware Pegasus contra teléfonos de ciudadanos españoles, activistas saharauis y disidentes argelinos. Así lo revela una investigación recogida por medios digitales saharauis y que se suma a las decenas de denuncias que Citizen Lab y Amnistía Internacional vienen documentando desde 2021.
Le adelanto que el caso no es una sorpresa para quienes seguimos de cerca el oficio. La DGST lleva años perfeccionando sus capacidades SIGINT con apoyo de empresas israelíes, y el Sáhara Occidental —como frente de presión diplomática— siempre ha sido un teatro prioritario. Pero la dimensión de esta última oleada, que afecta a cientos de líneas españolas según los datos preliminares, obliga a mirar con nuevos ojos la frontera sur digital.
Las víctimas van desde abogados laboralistas saharauis en la península hasta militares argelinos destinados en Orán, pasando por periodistas y cooperantes españoles. El patrón es conocido: un mensaje de WhatsApp con un enlace trampa o, en la mayoría de los casos, una infección de día cero (zero-click) que no requiere interacción del usuario. Una vez dentro, Pegasus concede acceso completo al micrófono, la cámara, los mensajes cifrados y la ubicación. Un despliegue de vigilancia digno de cualquier gran servicio.
Por mi experiencia, la cuestión clave aquí no es si la DGST tiene capacidad técnica —la tiene, y mucha—, sino si el Gobierno de España está dispuesto a elevar el tono más allá de la nota de protesta. Ya advertí en El quinto elemento que «el próximo 11S empezará con un clic», y este tipo de campañas no son operaciones aisladas: son la nueva normalidad de la pugna entre agencias amigas sobre el papel.
La anatomía del ataque: Pegasus, la herramienta que no perdona
Pegasus es un spyware de la empresa israelí NSO Group que ha sido utilizado por más de una docena de gobiernos para vigilar a opositores, periodistas y abogados. Su modo de infección más peligroso es el zero-click: basta con que el teléfono objetivo reciba una llamada de WhatsApp o una notificación push para que el código malicioso se instale sin dejar rastro. Es, en términos del oficio, un ataque APT (Advanced Persistent Threat) operado con licencia estatal.
En este caso, la atribución técnica no es sencilla. Los servidores de comando y control (C2) que orquestaron los ataques estaban alojados en infraestructuras europeas y norteamericanas, con capas de anonimización que despistan a cualquiera. Sin embargo, fuentes de inteligencia de señales consultadas por Moncloa.com apuntan a que las firmas digitales de los certificados utilizados coinciden con las de otros ataques atribuidos a Marruecos en 2021 contra el presidente del Gobierno español, la ministra de Defensa y varios eurodiputados.
«España lleva años siendo un campo de pruebas para el ciberespionaje marroquí, y Pegasus es solo la punta del iceberg.»
Eso sí, no se equivoque conmigo: la DGST no es la única que emplea Pegasus. El GRU ruso, el NSO de Emiratos Árabes y la propia Inteligencia saudí han sido clientes. Pero en el Magreb, Marruecos se ha convertido en el actor más agresivo. El pasado año, un informe de Citizen Lab detectó más de cien infecciones en Argelia en solo tres meses, todas ellas con el mismo sello: números marroquíes en los logs de activación.
El historial de la DGST: una década de ciberespionaje y presión sobre el Sáhara
No es la primera vez que Rabat utiliza herramientas de ciberespionaje contra intereses españoles. En 2014, el CNI detectó un intento de infiltración de la DGED en bases militares de Ceuta y Melilla mediante correos de phishing. Cinco años después, en plena crisis migratoria, se identificaron ataques de ransomware contra ayuntamientos catalanes que, según fuentes de la Casa de Castelló, tenían origen en servidores alquilados por el Estado Mayor marroquí.
La particularidad de esta nueva campaña es su carácter masivo y su foco en el tejido civil español. Ya no es solo el espionaje clásico a objetivos militares o diplomáticos; se trata de una pesca de arrastre sobre la que Rabat puede no tener control fino. Me consta que en el CNI preocupa especialmente la posible captura de comunicaciones de empresarios con intereses en el sector energético argelino, justo cuando el suministro de gas a España pasa por momentos delicados.
Como sostengo desde que salió a la luz el caso del presidente Sánchez, la monarquía alauí juega con dos barajas: la cooperación antiterrorista —real y valiosa— y la guerra sucia digital contra todo aquello que huela a separatismo saharaui o a alianza con Argel. Lo veo como una apuesta arriesgada que, a la larga, puede costarle apoyos en Bruselas.

Dossier Moncloa: Ojos en la Sombra
El vector de amenaza es diáfano: un ciberataque masivo con spyware de categoría estatal (Pegasus), dirigido contra una amplia gama de objetivos civiles y militares en tres países. La sofisticación del ataque —zero-click, C2 distribuidos, certificados falsificados— lo eleva a la categoría de operación APT de primer nivel. No hablamos de un grupo criminal: es un servicio de inteligencia con presupuesto y doctrina.
Las agencias implicadas se reparten en tres bandos. En el ofensivo, la DGST marroquí, asesorada técnicamente por antiguos ingenieros de la Unidad 8200 israelí, según múltiples informes. Como defensores, el CNI y el CCN-CERT se enfrentan a una de las campañas más extensas que han monitorizado en su propio territorio. Y en el papel de terceros observadores, los servicios argelinos (DRS) ven cómo su principal rival regional despliega capacidades que ellos aún no poseen, mientras Francia y el resto de los Veintisiete miran con desconfianza las actividades de un socio comercial clave.
En cuanto al nivel de clasificación estimado del material comprometido, a juzgar por los perfiles de las víctimas, estaríamos ante información de nivel Confidencial e incluso Secreto en el ámbito militar argelino y diplomático español. La pérdida de inteligencia es significativa: conversaciones internas de activistas, estrategias de negociación sobre el Sáhara, datos de despliegues militares… un botín de altura. Un precedente histórico cercano es el hackeo a los móviles de los líderes independentistas catalanes entre 2017 y 2019, que la Audiencia Nacional investiga y que muchos atribuyen —sin prueba judicial concluyente— a los mismos servicios que ahora señala este nuevo informe.
No quiero pecar de ingenuo: Marruecos es un socio estratégico en la lucha contra el yihadismo y en el control de los flujos migratorios. Pero la línea roja entre la colaboración en inteligencia y la agresión a la soberanía digital de un Estado miembro de la UE es nítida. En mi opinión, la próxima reunión del Grupo de Trabajo sobre Ciberamenazas del Consejo Europeo, en septiembre, debería servir para que España pusiera sobre la mesa este caso con nombres y apellidos. De lo contrario, Rabat interpretará el silencio como un permiso.

