“Caso Pegasus”: Fallos de seguridad de teléfonos de políticos dejan en entredicho la ciberseguridad del Gobierno

El CNI ya tenía manuales para proteger dispositivos móviles desde 2021, pero los teléfonos del presidente y los ministros no habían sido revisados en profundidad

La ministra de Asuntos Exteriores, Unión Europea y Cooperación, Arancha González Laya, interviene en una sesión de control al Gobierno, a 9 de junio de 2021, en el Congreso de los Diputados, Madrid
La ministra de Asuntos Exteriores, Unión Europea y Cooperación, Arancha González Laya, interviene en una sesión de control al Gobierno, a 9 de junio de 2021, en el Congreso de los Diputados, Madrid FOTO: EUROPA PRESS/E. Parra. POOL Europa Press

El Centro Nacional de Inteligencia (CNI) parecía tener la teoría clara y así lo reflejaba ya en informes de hace un año en los que hablaba del peligro de Pegasus. Sin embargo, según el relato del Gobierno no fue hasta el pasado fin de semana cuando conocieron que el teléfono del presidente Pedro Sánchez, nada menos, había estado infectado por este virus espía que nació en Israel. Aunque, en principio, la protección de los móviles de los miembros del Ejecutivo no depende del propio CNI sí fueron estos funcionarios los que hicieron el análisis del dispositivo. Diversos expertos en ciberseguridad alertan de las carencias que demuestra en la protección digital del Estado todo este episodio derivado del ya bautizado “CatalanGate”.

En mayo de 2021 ya consta un informe del propio Centro Criptológico Nacional -entidad que depende del CNI- en el que se habla de “buenas prácticas” con dispositivos móviles. Se alertaba, por ejemplo, de los mensajes enviados desde compañías extrañas como un escenario en el que no confiar puesto que detrás podría haber un Pegasus y, además, utilizaban fotografías de ejemplos recogidas precisamente de Citizen Lab, el propio organismo que ha analizado decenas de móviles de políticos independentistas.

Imagen del informe del Centro Nacional de Inteligencia
Imagen del informe del Centro Nacional de Inteligencia FOTO: La Razón (Custom Credit)

El relato del Gobierno, en boca del ministro de la Presidencia, Félix Bolaños, asegura que ellos no tenían ni idea de que los móviles de miembros del Ejecutivo habían estado infectados con este spyware que, en la teoría, solo pueden comprar gobiernos. Solo lo supieron el sábado 30 de abril cuando el propio CCN, que había elaborado este informe en mayo, chequeó el teléfono de Sánchez y de la ministra de Defensa, Margarita Robles, y ambos dieron positivo. Es inevitable preguntarse entonces cómo en todos estos meses unos teléfonos de contenido tan sensible no habían sido analizados en profundidad.

Seguridad de los teléfonos móviles

Bien es cierto que la seguridad de los teléfonos móviles no depende del CNI, aunque sí los programas que dan las garantías, según algunas fuentes conocedoras de los mismos. Es un complejo que se encuentra en la Presidencia del Gobierno el que se hace cargo y cuenta con un departamento de seguridad propio. Su máximo dirigente es Óscar López, tras la salida de Iván Redondo el pasado mes de julio, que decide sobre este Departamento de Seguridad de Moncloa. Éste entrega móviles cifrados a los responsables de los ministerios, pero algunos expertos en ciberseguridad (que prefieren no ser identificados) señalan el error garrafal que supone que estos teléfonos no lleven un chequeo más constante.

Sobre la pregunta de si no hay ninguna manera de evitar Pegasus en el móvil de un presidente del Gobierno, la respuesta es negativa, pero indican que sí se podrían hacer análisis del tráfico del teléfono del mandatario lo que daría mucha información sobre dónde se está dirigiendo y, en función de eso, se pueden determinar posibles interferencias. Es decir, si repentinamente del teléfono de Sánchez salen dos gigas de información a un servidor en Israel es probable que haya aparecido un malware. De hecho, señalan que posiblemente este ha sido el análisis realizado ahora por el CCN para determinar cómo ha pasado un Pegasus por el móvil del socialista.

El Ejecutivo no ha reconocido públicamente que otros teléfonos también hayan sido espiados como apuntan algunas informaciones sobre los de la exministra de Exteriores Arancha González Laya o el ex responsable de Justicia Juan Carlos Campos. Reconocer esto afianzaría la teoría de que ya se sabía que algunos miembros del Gobierno habían sido vigilados mucho antes de este fin de semana cuando los funcionarios de Inteligencia hicieron el análisis a fondo de los teléfonos. Y si lo sabían nunca lo judicializaron, estrategia contraria a la que han seguido ahora.

Actualmente son varios los móviles que el CCN tiene bajo la lupa digital, entre ellos, el de las tres vicepresidentas del Gobierno Nadia Calviño, Yolanda Díaz y Teresa Ribera, el del ministro del Interior, Fernando Grande-Marlaska y el de la Ministra de Justicia, Pilar Llop. Fuentes consultadas en algunos de estos ministerios indican que el análisis no se prolongará mucho y que de informarse sobre el resultado lo hará la Secretaría de Estado.