España

Caso Pegasus: el CNI rastrea la huella digital facilitada por Francia en busca de pistas del 'hackeo' a Pedro Sánchez

El Centro Criptológico Nacional analiza los Indicadores de Compromiso (IOCs, por sus siglas en inglés) facilitados por Francia por el 'hackeo' con Pegasus a personalidades galas

  • El presidente del Gobierno, Pedro Sánchez, en el Congreso. -

La información facilitada por Francia ha permitido al magistrado José Luis Calama, de la Audiencia Nacional, reabrir la causa de Pegasus, relacionada con la infección mediante este software de varios terminales de miembros del Gobierno, incluido el de Pedro Sánchez. Entre esa documentación figuran unos elementos conocidos bajo el nombre técnico de Indicadores de Compromiso (IOCs, por sus siglas en inglés), que revelan las huellas que dejó el espionaje mediante el mismo sistema a altos mandatarios franceses. El Centro Nacional de Inteligencia (CNI), a través del Centro Criptológico Nacional, ya trabaja en el análisis de los informes.

La Justicia española se encontró con un muro a la hora de investigar el caso Pegasus, debido principalmente a la falta de colaboración de las autoridades israelíes, lo que propició el archivo de la causa. Pero los informes entregados ahora por Francia sirven al magistrado para reabrir la causa, en busca de nuevos indicios sobre el hackeo de los terminales de Pedro Sánchez, Margarita Robles, Fernando Grande-Marlaska y Luis Planas.

La clave se centra en los citados IOCs. Fuentes de seguridad consultadas por Vozpópuli detallan que se trata de una huella digital que deja el ataque mediante una infección con Pegasus. El software se abre paso a través de archivos y rutas, dejando tras de sí un rastro detectable mediante procedimientos de análisis forense.

El Centro Criptológico Nacional, departamento del CNI encargado de la ciberseguridad, ya analiza el contenido de los informes facilitados por Francia. En él se detallan los IOCs de los terminales investigados por el país vecino, entre los que figuran personalidades políticas -incluidos dirigentes del Gobierno de Emmanuel Macron-, además de periodistas y activistas.

El objetivo del nuevo análisis del Centro Criptológico Nacional es buscar patrones o procedimientos similares detectados en Francia respecto a los que se analizaron en los teléfonos de Sánchez, Robles, Marlaska y Planas. Con esta información se pretende dar un impulso a la investigación, bloqueada hasta fechas recientes por la falta de información novedosa.

Fuentes de seguridad consultadas por este diario inciden en que este nuevo análisis forense servirá a las autoridades españolas si el origen del espionaje en ambos casos -Francia y España- es similar. No obstante, la información facilitada por el país vecino está lejos de la autoría de su ataque: el escándalo de espionaje en París nunca se llegó a esclarecer, si bien apuntaló una crisis con Marruecos que ya venía arrastrada por otros roces diplomáticos. Rabat, por su parte, niega cualquier implicación en los hechos.

Así, la investigación del Centro Criptológico Nacional basado en la información facilitada por Francia difícilmente servirá para determinar la autoría en torno al ataque a los terminales de Sánchez y el resto de ministros, en tanto que no ofrece ninguna revelación clave sobre el origen de la agresión.

Pedro Sánchez, líder del PSOE, en Moncloa.
Pedro Sánchez, líder del PSOE, en Moncloa.EUROPA PRESS / Jesús Hellín.

La causa Pegasus

La investigación de Francia ha supuesto un revulsivo al procedimiento que abrió el magistrado José Luis Calama Teixeira en la Audiencia Nacional ante la denuncia de la Abogacía General del Estado en mayo de 2022. La misma advertía de una infección a los teléfonos de Pedro Sánchez y Margarita Robles, si bien luego se amplió a los también ministros Fernando Grande-Marlaska y Luis Planas.

El magistrado ordenó periciales al CNI, tomó declaración a su entonces directora general Paz Esteban y se dirigió al Consejo de Ministros para solicitar la desclasificación de información relativa a las infecciones con Pegasus. La misma se desestimó. Tras ello se solicitó la testifical de los ministros afectados y de Félix Bolaños en su condición de Ministro de Presidencia. Los denunciantes declinaron comparecer en persona en la Audiencia Nacional, así como participar por videoconferencia, de manera que limitaron su intervención en la investigación a la respuesta de un cuestionario.

Paz Esteban, durante su toma de posesión al frente del CNI, en 2020

En paralelo, el juez ordenó al CNI que conservara todo el volcado de los teléfonos analizados y libró en mayo de aquel año una comisión rogatoria a Israel. Esta última diligencia era la clave de bóveda del procedimiento puesto que para seguir avanzando necesitaba que Tel Aviv facilitase el traslado de una comitiva judicial al país para interrogar a los dueños de NSO Group. En concreto, se pretendía averiguar a qué tipo de comprador está permitida la venta de Pegasus (puesto que en principio solo los estados pueden adquirir el software), así como las condiciones acordadas en el contrato de compraventa.

Inacción del Ejecutivo

El objetivo de la Justicia era esclarecer quién podría haber adquirido el programa con el que se hackeó el móvil del presidente del Gobierno, puesto que el CNI determinó en sus informes que resultaba “imposible” determinar la autoría de las infecciones. Sin embargo, Israel ignoró el auxilio judicial y hasta dos recordatorios posteriores, abocando de esta forma la causa a un punto muerto del que acabó por provocar su archivo.+

En su auto de archivo, el juez explicó que la vía penal no podía avanzar más y abrió la puerta a que Moncloa recurriera a la vía diplomática

Las únicas evidencias constatadas hasta el momento es que a Sánchez le infectaron el teléfono con Pegasus los días 19 y 31 de mayo de 2021 y que le sustrajeron 2,6 GB de información. En el caso de la ministra de Defensa los hackeos se produjeron entre el 18 y 23 de junio, aunque la información sustraída fue mucho menor, en concreto de 9 megabytes. Se da la circunstancia de que las infecciones se produjeron en paralelo a la crisis migratoria abierta con Marruecos tras salir a la luz que España había acogido durante semanas al líder del Frente Polisario, Brahim Ghali, gravemente enfermo de coronavirus.

En su auto de archivo, el juez explicó que la vía penal no podía avanzar más y abrió la puerta a que Moncloa recurriera a la vía diplomática “capaz de impulsar el cumplimiento de los tratados internacionales”. Pese a ello, no se tiene constancia ni de que la Abogacía General del Estado recurriera el archivo, ni que activase la opción diplomática a la que se refirió el instructor.

Con todo, las pesquisas que Francia ha practicado en paralelo también por un hackeo masivo con Pegasus a periodistas, asociaciones, políticos y miembros del Gobierno han propiciado la reapertura del procedimiento. El juez ha encargado al CNI que examine toda la documentación aportada por el país galo en relación a los IOCs y que compare todos estos elementos con los que disponen ya de las infecciones al presidente del Gobierno y de tres ministros con Pegasus. Calama Teixeira confía en que una actuación “conjunta y coordinada” con las autoridades francesas le acerque a despejar la incógnita sobre quien es el verdadero autor de las infecciones.

Apoya TU periodismo independiente y crítico

Ayúdanos a contribuir a la Defensa del Estado de Derecho Haz tu aportación Vozpópuli