El teléfono de Sánchez «fue infectado» tras visitar Ceuta por la avalancha de migrantes

El teléfono móvil del presidente del Gobierno, Pedro Sánchez, «fue infectado» por Pegasus en dos ocasiones: el 19 de mayo de 2021 y el 31 de mayo de 2021, «y se produjo exfiltración de información del dispositivo debido a esta infección en esas fechas», según recoge un auto del juez de la Audiencia Nacional José Luis Calama conocido ayer.

El instructor de la denuncia presentada por el Gobierno añade que «actualmente el móvil no presenta indicadores conocidos de infección en curso de Pegasus», el programa de la empresa israelí NSO. Un delito que Moncloa atribuyó a un «agente externo» después de revelar este lunes el espionaje. Las fechas de la intrusión en el terminal de Sánchez coinciden con la «grave crisis» desatada con Marruecos por la avalancha de inmigrantes en Ceuta, más de 8.000 personas, que tuvo lugar en la madrugada del 17 de mayo. Un día después el líder socialista y el ministro del Interior, Fernando Grande-Marlaska, visitaron la ciudad autónoma para conocer de primera mano estos hechos. Y el 31 de mayo se produjo el anuncio de Rabat de que daba por «rota» la relación de confianza con España tras acusar al presidente de fomentar el «separatismo» saharaui por acoger al líder del Frente Polisario Brahim Ghali, enfermo por coronavirus.

En su resolución, el titular del Juzgado Central de Instrucción número cuatro de la Audiencia Nacional añade también que el dispositivo móvil analizado el pasado sábado de la ministra de Defensa, Margarita Robles, fue infectado por el programa espía «en junio de 2021» y se produjo, al igual que el de Sánchez, «exfiltración de información del dispositivo y actualmente el móvil no presenta indicadores conocidos de infección en curso».

El fiscal Alonso toma el caso

El juez Calama explica estos detalles en el auto en el que acuerda la incoación de diligencias previas por un delito de descubrimiento y revelación de secretos tras la denuncia de la Abogacía del Estado. El juez dio traslado al Ministerio Fiscal para que informe sobre la práctica de las diligencias de investigación que considere convenientes para determinar la naturaleza y circunstancias de los hechos, así como de las personas que en ellos hayan participado. Según fuentes fiscales, será el jefe del departamento, Jesús Alonso, quien lleve en persona el caso dada su trascendencia: es la primera vez que un presidente del Gobierno denuncia un delito contra su persona.

En su auto, el magistrado explica que los hechos podrían enmarcarse dentro del delito de descubrimiento y revelación de secretos, referente a los «delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio». Y explica que los hechos serían competencia de la Audiencia Nacional por cuanto afectan a altos organismos de la nación.

Según la denuncia, de la terminal del presidente se extrajeron 2,6 gigas en una primera intrusión —equivale a una cuarta parte del volumen de datos de Wikipedia, por ejemplo— y 130 megas en la segunda. En el caso de Robles se extrajeron apenas nueve megas de su móvil.

El juez dio cuenta de esta decisión en un documento donde especificaba que la denuncia señala que, «mediante el análisis de los dispositivos móviles del Presidente del Gobierno y de la ministra de Defensa realizados por el Cert Gubernamental Nacional el 30 de abril de 2022 (sábado pasado), y acompañados a dicha denuncia, se ha tenido conocimiento de que los mismos fueron objeto de varias infecciones por la herramienta Pegasus, software espía de dispositivos móviles».

El Cert es la unidad de respuesta contra los ataques informáticos perteneciente al Centro Criptológico Nacional (CCN), un organismo adscrito al CNI.

Las versiones de la Moncloa y de los servicios secretos no coinciden. El CNI mira a Marruecos cuando habla del espionaje al presidente del Gobierno y a la ministra de Defensa y niega tajantemente que haya habido una «brecha en la seguridad», tal y como dio a entender el Ejecutivo al apuntar que solo el pasado sábado el Centro Criptológico Nacional (CCN), el corazón tecnológico del CNI y un referente mundial en ciberseguridad, fue capaz de confirmar que los terminales de Pedro Sánchez y Margarita Robles habían sido infectados con el programa malicioso israelí. Que el domingo 1 de mayo se entregara los informes oficiales sobre las infecciones que se remitieron a la Audiencia Nacional, matizan responsables de la seguridad del Estado, no quiere decir que esos fueran, ni mucho menos, los primeros avisos por parte del CCN a Moncloa sobre el ataque a iphones oficiales con el famoso malware.

«Se han cumplido todos los protocolos», insisten en círculos del CNI, donde recuerda que el espionaje español fue el primero de Europa en hacerse con una licencia de Pegasus a principios de 2016 y que, por lo tanto, es «desde hace años» muy consciente de la peligrosidad de este sistema. Es más, en 2018 alertó incluso públicamente en unas jornadas del CCN a los expertos en ciberseguridad de la Administración sobre la necesidad de revisar continuamente las terminales de los altos cargo a la caza del malware israelí. Que incluso en ese encuentro organizado por el CNI hubo una ponencia titulada ‘Pegasus & Trident: espionaje a nivel gubernamental en iOS en estado puro’ para insistir a todos los responsables de seguridad de diferentes instituciones en realizar análisis forenses de los smartphone de los altos cargos.

Y no sólo eso. En julio de 2021 el CCN publicó el documento de 15 páginas titulado ‘Detección de software Pegasus en dispositivos iPhone’ y dirigido a los técnicos de seguridad de la Administración, en el que recomendaba y explicaba cómo inspeccionar todos los móviles en busca del software malicioso, al margen de ordenar que se reportara al CNI inmediatamente cualquier incidencia.

Esa supuesta falla de seguridad revelada por el Gobierno —y que cada vez más integrantes de los servicios secretos ponen en cuarentena— es todavía más inexplicable teniendo en cuenta que en las últimas horas fuentes de los servicios secretos han confirmado que el teléfono de la entonces titular de Exteriores Arancha González Laya fue hackeado la pasada primavera, en plena crisis diplomática con Marruecos.

El CCN no pudo certificar entonces que la infección del móvil de la titular de Exteriores se tratara de Pegasus. En cualquier caso, según la versión de la Moncloa, el CCN no habría revisado el resto de terminales del Gobierno. Y ello, a pesar de que un año antes —en agosto de 2020— la propia ministra González Laya y el entonces titular de Justicia, Juan Carlos Campo, ya sufrieron un primer intento fallido de intrusión en sus móviles. «Inédita» En el espionaje español crece el malestar por la decisión «inédita» del Ejecutivo de airear públicamente esa supuesta grieta en la seguridad nacional. Algo que, remarcan, no ha hecho ningún país en el mundo a pesar de que son decenas los estados afectados ya por Pegasus.

La Moncloa se centra en abonar la tesis de la brecha, mientras se esmera en no apuntar al país vecino, pero en el CNI insisten en que solo los estados tienen capacidad para hacerse con Pegasus y recuerdan que el 18 de julio de 2021 Forbidden Stories, un grupo de 17 grandes medios de comunicación, desveló que en 2019 había unos 50.000 móviles en el mundo infectados con Pegasus. Cerca de 10.000 de estos terminales estaba siendo espiados por Marruecos, que, entre otros, había hackeado el móvil del presidente francés, Emmanuel Macron.