Cinco años después del espionaje con Pegasus en el móvil del presidente español Pedro Sánchez, la investigación judicial no ha podido demostrar técnicamente quién lo infectó, porque Pegasus deja muy poca huella y es casi imposible rastrear su origen. El Gobierno informó en mayo de 2022 de al menos dos intrusiones exitosas en el teléfono oficial de Sánchez en mayo de 2021, con extracción de unos 2,6 GB de datos, y de otra en el de la ministra de Defensa Margarita Robles. El ministro Félix Bolaños, en una rueda de prensa aquel mayo de 2022, informó de que se había producido esta intrusión fuera de la ley que se denunciaron ante la Audiencia Nacional, y negó las especulaciones de si podrían tener alguna relación con el CatalanGate. Pero fuentes de inteligencia citadas por The Objective, dentro de los servicios de seguridad españoles no hay dudas: la autoría sería de Marruecos. Lo que quedaba por saber, era cuándo y cómo se produjo esta infección de los dispositivos móviles. El teléfono de Sánchez fue fabricado por el Centro Nacional de Inteligencia (CNI) español, y es un teléfono de alta seguridad, al que no se puede poner ni quitar ninguna aplicación. Uno de los hechos incontestables que el CNI pudo probar durante la investigación es la fecha exacta del primer —y mayor— robo de datos en el móvil de Sánchez: tuvo lugar el 19 de mayo de 2021. Según estas fuentes, Marruecos habría aprovechado una “ventana de oportunidad” durante la visita de Sánchez y el ministro Fernando Grande-Marlaska a Ceuta y Melilla, en plena crisis migratoria y diplomática de mayo de 2021, relacionada con la acogida en España del líder del Frente Polisario y enemigo declarado del rey Mohamed VI, Brahim Ghali, y la entrada de miles de personas a Ceuta ante la pasividad de las fuerzas marroquíes, lo que tensó al máximo la tensión bilateral.
¿Cuándo se infecta el teléfono?
El 18 de mayo de 2021, Sánchez viajó junto con Grande-Marlaska a Ceuta para comprobar sobre el terreno los efectos del asalto masivo del día anterior. Lo calificó de “una grave crisis para España y para Europa”. En aquel desplazamiento, Sánchez y Marlaska mantuvieron una reunión con técnicos de Interior en el Centro Operativo de Seguridad en la frontera de El Tarajal, epicentro del asalto situado a escasos metros de territorio marroquí. Posteriormente, el presidente y el ministro, acompañados de un reducido grupo de miembros del equipo presidencial, van sobrevolar en helicóptero El Tarajal. Durante la jornada del 18 de mayo, el teléfono de Sánchez habría sido detectado en tres ubicaciones muy concretas: en El Tarajal, durante el sobrevolo en Ceuta y en Melilla. Según el análisis que recogen las fuentes, solo el presidente y su séquito coincidieron en estas tres geolocalizaciones aquel día, lo que habría permitido identificar con total certeza cuáles eran sus terminales (Sánchez llevaba dos teléfonos encima) y aislar la firma de sus dispositivos.
¿Cómo se consiguió infectar el teléfono?
La clave técnica, según la información publicada, estaría en el uso de dispositivos llamados IMSI-Catcher o StingRay. Se trata de equipos portátiles, de la medida aproximada de una maleta, capaces de simular antenas de telefonía móvil. Cuando un teléfono se conecta a una de estas falsas antenas, el dispositivo puede capturar información técnica única del terminal —los códigos IMSI y IMEI— que funcionan como un “DNI digital” del móvil. Las fuentes citadas sostienen que Marruecos dispone de varios de estos dispositivos, adquiridos a empresas como la alemana Rohde & Schwarz y la israelí Elbit Systems. Algunos modelos de uso militar podrían tener un alcance suficiente para cubrir toda la superficie de Ceuta y Melilla e incluso operar desde un dron.
¿Cuándo se robaron los datos?
La infección con Pegasus se habría producido el 18 de mayo de 2021 y, al día siguiente, el 19 de mayo, se habría producido el robo más grande de datos del teléfono. Horas después, la seguridad del Estado activó la alarma. Las fuentes aseguran que el método utilizado fue un ataque “zero-click”, es decir, que no requirió ninguna acción por parte del presidente: no tuvo que pulsar ningún enlace, abrir ningún archivo ni responder a ninguna llamada sospechosa. Este tipo de ataque es más sofisticado y difícil de detectar que el llamado “one-click”, y se vería facilitado por el uso previo de un IMSI-Catcher, que permite identificar el objetivo exacto, interceptar su tráfico y degradar selectivamente la red para inyectar el código malicioso en un entorno controlado. Una vez infectado uno de los teléfonos —no se sabe cuál fue el primero—, el acceso a su agenda habría facilitado que la infección se extendiera a otros dispositivos de altos cargos, como los de Fernando Grande-Marlaska y Margarita Robles.
¿Qué indicios apuntan a Marruecos?
De hecho, el uso de esta táctica también apuntalaría la autoría de Marruecos, según el rotativo. La inteligencia de Rabat utilizó este mismo modus operandi para infectar los móviles de dos periodistas marroquíes, Imar Radi y Maati Monjib. La huella que dejó en sus dispositivos Pegasus fue muy similar a la que quedó en los terminales del Gobierno español. Por lo tanto, la conclusión a la que ha llegado el CNI es que el patrón técnico de la infección detectada en los teléfonos del Gobierno español sería similar al observado en casos previos de espionaje a estos periodistas marroquíes críticos con el régimen
Cuando se detectó el espionaje, el Estado activó la alarma y, meses después, responsables de NSO Group (la empresa israelí creadora de Pegasus) viajaron de urgencia a España, mientras el Gobierno entraba en pánico por no saber qué se había robado exactamente, por, como todo apuntaba, las fuentes de inteligencia de Marruecos. El CNI, por su parte, se ha negado a hacer comentarios al rotativo, alegando que todo lo que rodea el episodio está protegido por secreto oficial.