Transcurridos 100 días de investigación judicial y de inteligencia sobre el asalto con el software Pegasus a móviles del Gobierno, ni el Ejecutivo ni la Justicia disponen de informe que asevere con certeza a qué contenidos concretos de los teléfonos de Pedro Sánchez, Fernando Grande-Marlaska, Margarita Robles y Luis Planas tuvo acceso el agresor, supuestamente un servicio de espionaje extranjero. Ni es previsible, indican fuentes de la seguridad del Estado, que a corto plazo se pueda conocer un alcance “real y concreto” de daños.
De momento no es posible describir el robo de información, aseveran las fuentes consultadas, más allá de la cantidad de bytes robados. Los análisis disponibles no llegan a entrar en lo cualitativo: ni en qué mensajes, ni qué documentos, localizaciones, trayectos, contactos o fotos copió el agresor.
El titular del Juzgado Central de Instrucción 4 de la Audiencia Nacional, José Luis Calama, tiene no obstante ordenado al Ejecutivo que conserve “todos los volcados de información verificados sobre los terminales telefónicos referenciados, así como cuanta información haya podido ser extraída de ellos, y los informes de toda clase, sean preliminares, definitivos o de cualquier otro tipo, elaborados al efecto”. Así lo dijo en un auto emitido el 6 de julio, dos meses después de la incoación de las diligencias del caso.
Informes técnicos
El último movimiento del juez, el pasado 13 de julio, fue requerir al Centro Criptológico Nacional (CCN, dependiente del Centro Nacional de Inteligencia) unos informes definitivos de sus análisis de los teléfonos atacados, y enviar un cuestionario suyo y de la fiscalía al ministro de Presidencia, Félix Bolaños.
Hoy solo hay cuatro informes disponibles, y que han sido incorporados por el Gobierno o la abogacía del Estado en sus denuncias. Se trata de análisis de lo que el juez llama “CERT Gubernamental”. Con esas siglas se alude, en inglés, al equipo de respuesta a emergencias informáticas.
Los cuatro informes tienen los nombres en clave CCN-CERTIT-30/22, CCN-CERTIT-31/22, CCN-CERT IT-44/22 y CCN-CERT IT-32/22. Todos ellos son “análisis de dispositivo móvil”, como se subtitulan. El primero y el segundo fueron realizados por técnicos del CCN el 30 de abril con los teléfonos del presidente Sánchez y la ministra de Defensa. Los dos últimos se hicieron el 11 de mayo pasado sobre los móviles, respectivamente, de los ministros de Agricultura e Interior.
La información disponible apenas abarca ocho folios. Los informes referidos dicen qué operario es el autor, con qué método ha hecho el análisis, cuándo empezó el cribado de información… y confirman la detección de señales de infección. “Solo quien tiene Pegasus reconoce a Pegasus”, reitera a este diario una de las fuentes consultadas.
En todos los casos se analiza un número no concretado de “infecciones” a los terminales entre mayo y junio de 2021, y de los que el juez sospecha que pudieron captar “información sensible” que podría “comprometer gravemente la seguridad del Estado”.
Entre las instancias ministeriales preguntadas por este diario, solo una, la de Interior, descarta en cualquier caso que del móvil de Marlaska sacaran datos sensibles: “El ministro no lleva ese tipo de información en el móvil”, indican. De su terminal fueron copiados seis gigas de datos, la mayor cantidad conocida en el caso. La ministra de Defensa también ha negado que guardara información delicada en su teléfono, en recientes declaraciones a Europa Press.
Escollos
Los informes certifican la copia y emisión al espía de 2,6 gigabytes y 130 megabytes en sendos ataques al teléfono de Pedro Sánchez, y nueve megas extraídos del de Margarita Robles. Los técnicos, según las fuentes consultadas, llegan a conocer qué parte del sistema operativo de los aparatos tiene rastros de Pegasus, e incluso qué apps (aplicaciones) han emitido información sin que lo ordenara el usuario y a horas de tráfico no habitual de datos.
Pero esas señales presentes en el sistema operativo no permiten conocer toda la extensión del ataque, solo certificar que ese ataque ha tenido lugar, qué cantidad de información ha sido copiada, cuándo y durante cuánto tiempo.
Uno de los escollos con que choca la investigación es el cifrado, cuentan en la seguridad del Estado. En este caso, no tanto la del teléfono gubernamental como la de la propia emisión de datos robados. “Los usuarios de Pegasus pueden encriptar la transmisión de los datos que copian en el terminal atacado”, corrobora Josep Albors, ingeniero experto del laboratorio de seguridad informática de la firma ESET España.
Señuelos
La imposibilidad de conocer con revisiones técnicas la información concreta robada con Pegasus no implica que no se llegue a saber por otras vías. Lo certifica el precedente francés, recuerdan fuentes de Moncloa, cuyo servicio de inteligencia llegó a averiguar qué había captado Marruecos con el software espía de fabricación israelí. Las mismas fuentes confirman que, “con la reserva necesaria”, el CNI realiza averiguaciones en el exterior para saber qué información pudieron obtener los intrusos con Pegasus. Si en algún momento llega a haber un informe político de daños, "será muy a posteriori", y probablemente secreto, apuesta la fuente del entorno de Presidencia.
Facilita ese tipo de pesquisas el uso de señuelos. Una de las armas de defensa contra Pegasus es precisamente la instalación de informaciones o contenidos falsos que puedan resultar de interés para los agresores. Esos contenidos, explican las fuentes consultadas, han de poder ser después discretamente rastreados por la inteligencia agredida.
Esta, al parecer, fue una de las claves para que la DGSE (la Direction Générale de la Securité Exterieure), el servicio francés de inteligencia, llegara a conocer en 2021 parte del contenido robado de los móviles del presidente Emmanuel Macron, el primer ministro, Edouard Philippe, y catorce miembros del gobierno galo, entre 50.000 números franceses de teléfono atacados en 2019.
