El Gobierno de España afronta una nueva crisis a nivel de Estado tras conocerse este lunes que tanto el teléfono móvil del presidente, Pedro Sánchez, como el de la ministra de Defensa, Margarita Robles, fueron infectados y espiados con el sistema Pegasus, software con el que, según supimos días atrás, también se intervinieron los terminales de múltiples líderes y activistas independentistas. La confirmación de estos hechos, así como la forma de encarar los mismos, plantea numerosas dudas sobre la eficacia de nuestros sistemas de defensa y las capacidades para responder a este tipo de ataques.

¿Quién ha usado Pegasus contra el Gobierno de España?

De momento, no se tiene conocimiento del origen de este ataque informático a los móviles de Sánchez y Robles. Cuando se dio a conocer el espionaje a los independentistas -también con Pegasus-, fueron muchas las voces que apuntaron a una posible intervención del Centro Nacional de Inteligencia. Una posibilidad que no tardaron en intentar desmentir desde el propio CNI y desde Defensa, apelando al marco de la legalidad en el que, según Robles, se mueven siempre nuestros servicios secretos. Distinta explicación, sin embargo, se dio con el hackeo a los móviles de la ministra y el presidente.

Tal y como señaló horas atrás y sigue insistiendo el titular de Presidencia, Félix Bolaños, en este caso se puede confirmar que el espionaje nace de una operación "externa", y no desde ningún órgano oficial sin aval jurídico: "Sabemos que es externa, no ha tenido que ver con ningún organismo del Estado y no ha contado con ninguna autorizacion judicial". Sin embargo, por lo que ha trasladado el propio ministro, todavía se desconoce el origen exacto de esta operación contra el Gobierno, aunque se ha situado a Marruecos en el punto de mira por la escalada de tensión que ha mantenido con nuestro país en los últimos meses.

¿Duda el Gobierno de Marruecos o de organismos no oficiales?

Se sabe que el espionaje efectuado sobre los dispositivos de Sánchez y Robles tuvo lugar entre mayo y junio de 2021, fechas de lo más interesantes por lo que acontecía en nuestro país en ese momento: una confrontación diplomática casi sin precedentes con Marruecos por la estancia de Brahim Ghali, líder del Frente Polisario que busca la autodeterminación del pueblo saharaui -territorio sobre el que nuestro país vecino tiene un abierto interés-, durante un mes en España; una confrontación que llevó a una crisis migratoria en la frontera con Ceuta, con la entrada de miles personas en la ciudad autónoma ante la ausencia y la inacción de las autoridades marroquíes.

Las sospechas sobre Marruecos se incrementan si se tienen en cuenta varios factores: el primero, desvelado por el juez Calama, que investiga este caso, apunta que el hackeo al teléfono de Sánchez tuvo lugar el 19 y el 31 de mayo de 2021. Es decir, que el teléfono de Pedro Sánchez fue espiado por primera vez horas después del comienzo de la crisis migratoria, y el mismo día que se intervino por segunda vez Marruecos dio por rotas las relaciones con España. Además, en aquellas fechas medios polisarios aseguraron que el viaje secreto del jefe del Frente Polisario, Brahim Ghali, desde Argelia a España fue descubierto gracias a Pegasus. El segundo factor tiene que ver con la información desvelada por el diario francés 'Le Monde' en julio del año pasado, asegurando que Rabat había espiado con Pegasus al presidente Macron.

No obstante, en el Gobierno han reclamado no hacer suposiciones ni implicar en esta cuestión a países o instituciones a la ligera. "Para nosotros, externa significa que no ha sido un organismo oficial del Estado competente", ha dicho Bolaños. Es decir, que ese hackeo podría haber partido mismamente de nuestro país. Por tanto, ¿hay motivos fundados para descartar que el espuionaje se haya cometido dentro del Estado, como ya sucedió hace décadas? Desde el Gobierno se limitan a señalar que "es muy complicado decir quién ha podido ser".

¿Por qué se ha tardado tanto en comprobar el espionaje? ¿No hay controles?

Una de las dudas más sorprendentes y sonrojantes que arroja el nuevo capítulo desde este escándalo. Si la infección de los móviles de Robles y Sánchez -dos teléfonos que guardarían información sensible y de vital importancia para la seguridad de nuestro país- se propició entre mayo y junio de 2021, ¿cómo es posible que no se haya descubierto hasta este mismo fin de semana? Peor aún: ¿no sospechó el Gobierno de esta posibilidad tras saber que Macron, Johnson y otros jefes de Estado y gobernantes habían sido espiados con Pegasus? ¿Se habrían revisado siquiera ambos dispositivos si no hubiera visto la luz el espionaje a los independentistas?

En caso negativo, ¿significa eso que el Centro Criptológico Nacional o los servicios de inteligencia españoles en general no mantienen un control constante y exhaustivo sobre estos dispositivos? ¿Qué ha fallado? El Gobierno niega que conociera esta información antes del fin de semana, pero tampoco ha dado hasta ahora ninguna respuesta clara más allá de afirmar que sí "ha habido actualizaciones y revisiones" sin llegar, eso sí, a "verificaciones tan en profundidad como esta"; también, que no existen "pruebas de que haya habido intrusiones posteriores a mayo y junio", por lo que las nuevas medidas para proteger la información de los teléfonos "parecen ser eficaces".

¿Qué contenido se ha robado?

Según han detallado fuentes del Ejecutivo a distintos medios de comunicación, del teléfono de Sánchez se extrajeron 2,6 gigas de información en mayo de 2021 y 130 megas el mes siguiente. Por su parte, del teléfono de la ministra de Defensa solo se extrajeron, en un único movimiento, nueve megas de información. No obstante, el Gobierno no ha informado hasta la fecha del contenido robado. Sí se conocen todas las funciones que puede llevar a cabo Pegasus, dato que indica que ambos móviles podrían haber sido revisados de arriba a abajo. Así lo contaron en laSexta Clave, que accedieron al manual de instrucciones de este software.

Pegasus puede instalarse en un dispositivo tanto a distancia como cerca del objetivo, y con un mecanismo de lo más sencillo. Una vez introducido, se puede ser el dueño completo de dicho dispositivo, teniendo un acceso pasivo y activo al mismo. Es decir, se puede activar el micrófono las 24 horas del día, hacer pantallazos y no dejar rastro, usar libremente todas las aplicaciones del teléfono e incluso hacer fotos sin flash y desactivando la luz verde que aparece en algunos teléfonos cuando se emplea. Con Pegasus también se pueden recibir alertas en el ordenador o en el teléfono de los movimientos de su usuario, tanto de forma general como específica (acceso a la agenda, al calendario, a los mensajes...).

¿Se han visto afectados otros ministros o dirigentes por Pegasus?

Otras de las cuestiones que no se han aclarado hasta ahora. Al margen de lo que se conce en relación a los dirigentes europeos y los líderes catalanes infectados con Pegasus, el Gobierno se ha limitado a decir que, por ahora, no les "consta" que los terminales de otros ministros o altos cargos del Gobierno hayan sido intervenidos con este sistema. 'El Confidencial' ha publicado en las últimas horas que los teléfonos del ministro de Justicia, Juan Carlos Campo, y de la exministra de Exteriores Arancha González Laya ya sufrieron un primer intento de 'hackeo' en agosto de 2020, aunque no habría tenido éxito.

Más allá, según Servimedia, Moncloa recibió hace casi un año un aviso formal de los servicios secretos de la probabilidad de que los teléfonos del presidente y de sus ministros hubieran sido intervenidos con Pegasus. Según fuentes del Ejecutivo, las distintas áreas fueron alertadas tras saber que al menos uno de los titulares del Gobierno había sido víctima del software. Aquel espionaje habría tenido lugar en el móvil de la por entonces ministra González Laya durante la mencionada crisis diplomática con Marruecos. No obstante, en aquel momento no se impulsó ninguna denuncia ni querella por parte del Gobierno.

¿Debe depurar responsabilidades el CNI?

La intervención de los teléfonos de Sánchez y Robles desvela un cierto fracaso de la seguridad de las comunicaciones entre los miembros del Ejecutivo, así como en los sistemas destinados a proteger cada uno de los terminales que maneja información sensible sobre asuntos de Estado. Desde que se destapó el espionaje a los independentistas se ha puesto en el punto de mira a Paz Esteban López, la primera mujer al mando de los espías españoles, así como al propio CNI. En relación a este, no es la primera vez que se ve salpicado por un escándalo relacionado con el espionaje, aunque en esta ocasión, y como se ha indicado el principio, tanto la ministra Robles como el propio organismo han defendido la legalidad de sus operaciones.

Pero en el tiempo en que el CNI se llamaba CESID (Centro Superior de Información de la Defensa), el servicio de inteligencia español llegó a espiar sin autorización judicial y gozaba de una impunidad casi total. Eso pasó hasta que, en 1995, el periódico 'El Mundo' destapó las llamadas 'Escuchas del Cesid': personalidades muy revelantes de la España de los 80 fueron escuchadas ilegalmente por el CESID a lo largo de siete años. Entre sus víctimas, políticos como Isabel Tocino, Fernández Ordóñez o José Barrionuevo; periodistas como Luis María Ansón o Pedro J. Ramírez; o empresarios como Alicia Koplotivz o José Antonio Segurado. Esta es la razón por la que, con Pegasus, han sido señalados de nuevo.

Asimismo, sobre Esteban López se cierne ahora otra sombra, la de las grietas en la seguridad del Estado. Si bien estaba previsto que la directora del CNI compareciera esta semana en la recién formada Comisión de Secretos Oficiales sobre el supuesto espionaje a líderes independentistas, posiblemente se vea obligada a incluir en su agenda una extensa explicación sobre los mecanismos que emplean los servicios secretos para salvaguardar los intereses del país. Prueba de ello es que no parecen haber funcionado los mecanismos de prevención ante ataques informáticos al Gobierno, ni tampoco las supuestas revisiones periódicas que se realizan para asegurarse de que los aparatos electrónicos están libres de amenazas.

¿Se han pedido explicaciones a los creadores de Pegasus?

El escándalo sobre el uso ilícito de Pegasus lleva tiempo rondando a Israel, país en el que fue creado este sistema. El software que se apropia de los datos de los móviles sin hacerse notar es fabricado por la compañía NSO, que defiende que ellos solo lo venden para combatir el crimen a países con Gobiernos legítimos. Tras el hackeo a los independentistas, 'eldiario.es' preguntó a NSO sobre esta cuestión. "NSO vende sus productos bajo licencia y regulación a los organismos de inteligencia y policiales. Estas herramientas críticas se utilizan para prevenir el terrorismo y la delincuencia en virtud de órdenes judiciales y de las leyes locales de sus países", respondió la compañía.

No obstante, NSO podría no estar vendiendo Pegasus únicamente a "gobiernos legítimos". En julio del año pasado la Fiscalía de México ya constató que al menos una empresa privada lo usó para espiar a activistas y periodistas del país. En concreto, el órgano judicial mexicano detalló que conoció este software durante la investigación del caso de espionaje contra la periodista Carmen Aristegui, a quien intervinieron su móvil durante el Gobierno de Enrique Peña Nieto (2012-2018). Por el momento, se desconoce si el Gobierno de España se ha puesto en contacto con NSO para conocer el origen del espionaje a los móviles del presidente y sus ministros, si bien se prevé abrir una investigación formal que esclarezca un asunto tan oscuro como gravísimo.