Las agencias de inteligencia no descansan. La DGST marroquí lo ha demostrado con creces. Nuevos documentos internos y el testimonio de un exagente, conocido como ‘Safir’, han puesto al descubierto una operación de espionaje masivo mediante el software israelí Pegasus que salpicó directamente a la cúpula política española. Hablo del presidente Pedro Sánchez, de ministros y de un entramado que conecta Rabat, Madrid y París a través de un simple mensaje de texto que jamás llegó a leerse.
El pasado 17 de julio de 2026, un consorcio internacional de medios —con el apoyo de Amnistía Internacional y Forbidden Stories— comenzó a difundir las tripas de un espionaje que se remonta a mayo de 2021, justo cuando la crisis diplomática entre España y Marruecos por la hospitalización del líder del Polisario, Brahim Ghali, alcanzaba temperatura de ebullición. Los servicios de inteligencia marroquíes, liderados por Abdellatif Hammouchi, habían recurrido a la herramienta más sofisticada del mercado para infectar teléfonos de jefes de Estado, activistas saharauis y periodistas. Lo hacían con el sello inconfundible de la Oficina 21, una estructura que manejaba personalmente Fouad Ali El Himma, consejero real y uno de los colaboradores más cercanos de Mohamed VI.
Le pongo en contexto. Durante aquel mayo, el teléfono de Pedro Sánchez fue infectado en dos ocasiones. Se extrajeron 2.57 gigabytes de datos. No fue el único: ministros españoles y otros objetivos de alto perfil corrieron la misma suerte. El modus operandi, según los documentos desclasificados, era quirúrgico: primero se agotaban las vías tradicionales de vigilancia —escuchas telefónicas, seguimiento físico, incluso la colocación de dispositivos en cibercafés del Rif— y solo después se recurría a Pegasus. Safir lo resume con la frialdad que da el oficio: ‘Nunca empezamos con Pegasus, viene después de las escuchas, en su apartamento, en su coche. Es una cuestión científica, como nosotros decimos’.
Anatomía de una infección selectiva
El tradecraft de la DGST no deja lugar a la improvisación. Antes de lanzar un exploit, se recopilaban datos técnicos del terminal objetivo, se identificaba el sistema operativo y se elegía el vector de ataque más discreto. La gama era amplia: enlaces maliciosos clásicos, ataques de ‘clic cero’ que no requieren interacción del usuario, inyecciones mediante infraestructura de red comprometida y vulnerabilidades aún no parcheadas en iOS y Android. La compra de cincuenta teléfonos Samsung Galaxy S6 Edge para precargarlos con software espía y revenderlos en comercios del Rif demuestra hasta qué punto la inteligencia marroquí hibrida el HUMINT con el SIGINT. En el argot del espionaje, eso es una operación de cosecha propia, hecha a medida del terreno.
La elección de Pegasus no fue casual. El software de NSO Group, empresa israelí con lazos conocidos con varios servicios de inteligencia, es un zero-day en sí mismo: se instala sin que el usuario lo note y convierte el teléfono en una central de vigilancia remota. Llamadas, mensajes, fotos, ubicaciones, micrófono y cámara. Todo queda expuesto. Y todo llegaba a una sala de la DGST para su procesamiento. El espionaje no se mide por las redes que se desmantelan, sino por las que siguen vivas el tiempo suficiente como para que ya no importe.

El historial de tensiones bilaterales y la Oficina 21
Marruecos no ha ocultado nunca su capacidad de inteligencia en la región, pero la documentación de la Oficina 21 —encargada de ‘asuntos especialmente sensibles’ y de peticiones para espiar teléfonos extranjeros— eleva el listón. Fouad Ali El Himma aparece como el hombre que daba luz verde a las operaciones de alto nivel, con Hammouchi ejecutándolas. La crisis del Sáhara Occidental ha sido el campo de pruebas perfecto: Pegasus se empleó contra miembros de la misión de la ONU para el referéndum (Minurso) y contra activistas saharauis hospedados en un hotel que, según las revelaciones, estaba equipado con dispositivos de vigilancia física.
No es la primera vez que Rabat emplea tecnología israelí para vigilar a España. En 2018, el CNI detectó intentos de intrusión en redes ministeriales que se atribuyeron a la DGST. La tensión subterránea entre ambos servicios ha sido constante, pero lo de mayo de 2021 marcó un antes y un después. Moncloa guardó silencio entonces, quizá por el temor a enredar una relación diplomática ya de por sí frágil. Ahora, con las tripas al aire, las preguntas se acumulan. ¿Sabía el CNI que el presidente estaba infectado? Si lo sabía, ¿por qué no actuó? Si no lo sabía, ¿cómo pudo fallar de tal manera el perímetro de seguridad del núcleo duro del Gobierno?
Mientras tanto, en París, la historia se repite. El presidente Macron bloqueó la compra de Pegasus para los servicios franceses en 2020 por el riesgo reputacional que suponía asociarse a una herramienta empleada por regímenes autoritarios. Irónico: la DGSE, la inteligencia exterior gala, descubrió rastros de Pegasus en los teléfonos de siete ministros franceses y los vinculó a clientes de NSO, entre ellos Marruecos y Emiratos Árabes Unidos. El club de infectados es selecto.
Dossier Moncloa: Ojos en la Sombra
Analizo este caso con los ojos de quien ha estudiado durante años la ciberguerra y la contrainteligencia. El vector de amenaza es un ciberataque con software espía comercial de categoría state-grade, suministrado por NSO Group y operado directamente por agentes de la DGST. No se trata de un grupo APT difuso: aquí hay nombres, apellidos, salas de procesamiento y un método que mezcla la intrusión remota con la vigilancia física. El nivel de sofisticación es altísimo, pero también lo es el rastro documental que deja. Y eso, en el oficio, suele ser un error de principiante o una operación que se sabía que iba a explotar tarde o temprano.
Las agencias implicadas son claras. Ataca la DGST marroquí, con apoyo implícito —o al menos con suministro— de NSO Group, cuyo software requiere licencia y asistencia del fabricante. Defiende, en el caso español, el Centro Criptológico Nacional (CCN-CERT) y el CNI, que en teoría deberían haber detectado las infecciones en los terminales de alto perfil. Miran, y toman buena nota, la DGSE francesa, el Mossad —por el origen israelí de la herramienta— y la CIA, siempre atenta al tablero magrebí. El material comprometido, a juzgar por los volúmenes extraídos del teléfono del presidente, es de clasificación secreto o muy reservado, aunque parte de la información robada pudiera ser sensible pero no clasificada.
Recuerdo ahora lo que escribí en El quinto elemento: «El próximo 11S empezará con un clic». Aquel libro hablaba de ciberterrorismo, pero la esencia se mantiene. Pegasus no derriba torres, pero derriba gobiernos. La confianza entre aliados se erosiona cuando el socio de la orilla sur infecta el teléfono del presidente del Gobierno español. Lo veo como un salto cualitativo en la doctrina de inteligencia marroquí, que ya no se limita a vigilar a la disidencia saharaui, sino que se atreve con los líderes de un socio comercial y vecino de la UE.
Hay una lectura confidencial que no puedo pasar por alto. El testimonio de Safir, el exagente, sugiere que Pegasus se utilizaba solo después de agotar las vías tradicionales. Esto significa que la DGST disponía de recursos humanos sobre el terreno en España mucho antes de lanzar el malware. ¿Agentes durmientes? ¿Colaboradores locales? El CNI no ha hecho comentarios, pero fuentes cercanas a la Casa de Castelló me admiten que la contrainteligencia en la frontera sur ha sido siempre el talón de Aquiles. Marruecos conoce nuestras debilidades porque las ha cultivado durante décadas.
El próximo movimiento lo marcará el informe que el consorcio periodístico promete para las próximas semanas. Si aparecen más nombres de la cúpula española, la presión sobre el CNI se multiplicará. Y si Rabat opta por el silencio —como ha hecho hasta ahora—, la brecha de confianza será difícil de suturar. Permítame una última reflexión: en el juego de espejos de la inteligencia, las infecciones como esta siempre dejan cicatriz. Y una cicatriz en el teléfono de un presidente es una cicatriz en la soberanía de un país.

