Pegasus: el intruso que 'hackea' la política española

El software Pegasus toma el nombre del caballo alado de la mitología griega que nació del interior de Medusa cuando esta fue decapitada por Perseo.

El corcel, tras varias peripecias mitológicas, consiguió entrar en el Olimpo, cabalgar libre, sin obstáculos que lo frenaran, y pasar sus días junto al dios Zeus, que lo convirtió en una constelación para que fuera eterno.

Después de destaparse que varios líderes mundiales habían sido espiados con Pegasus, en julio de 2020 se desvelan en Catalunya los primeros casos que han desembocado, ya en 2022, en el llamado 'Catalangate'. Y dos semanas después, el intruso ha alcanzado al Gobierno de Pedro Sánchez y ha puesto patas arriba toda la política española.

¿Qué es Pegasus?

(☛ volver al índice)

Pegasus es un programa espía desarrollado por la firma israelí NSO Group que penetra en los móviles de sus víctimas sin que se den cuenta para captar todo lo que circula por el dispositivo. Vinculada al aparato militar del Estado judío, la controvertida compañía tecnológica fue fundada en 2010. Sus iniciales responden a sus creadores: Niv Carmi, Shalev Hulio y Omri Lavie, exagentes del Mossad (los servicios de inteligencia exteriores) y de las Fuerzas de Defensa de Israel.

¿Quién puede comprarlo?

(☛ volver al índice)

NSO ha reiterado que solo vende su producto estrella a "gobiernos autorizados" para "combatir el terrorismo y el crimen", pues Pegasus puede reventar los sistemas de encriptación. Aunque se desconoce si eso es del todo cierto, sí lo es que su venta requiere de la aprobación del ministerio de Defensa israelí, como sucede con la exportación de toda tecnología militar.

Hasta ahora, se ha documentado el uso de Pegasus en casi 30 países. En muchos de ellos, se conoce que ha servido para espiar y/o reprimir a la disidencia política, a periodistas y a activistas por los derechos humanos. Es el caso de México, Marruecos, Arabia Saudí, Emiratos Árabes, India, Hungría, Israel o España, entre otros.

¿Cómo funciona Pegasus?

(☛ volver al índice)

Pegasus tiene dos vías para 'infectar' los móviles de sus víctimas. La primera es explotar las vulnerabilidades desconocidas de programas y sistemas. Así, en 2019 se aprovechó de una brecha en WhatsApp para entrar en los dispositivos de Roger Torrent y Anna Gabriel. Esta técnica, que se conoce como ataque de día cero, deja de ser viable cuando los fabricantes corrigen esos errores.

Otra vía de entrada es a través de archivos maliciosos. Los atacantes se hacen pasar por personas o instituciones de confianza de las víctimas (como Hacienda) y les mandan documentos que contienen Pegasus. Es habitual que vayan acompañados con mensajes de alerta que facilitan ese engaño. La descarga de esos archivos abre la puerta del sistema a la 'infección'.

Su detección puede ser difícil, pues Pegasus puede autodestruirse por control remoto o, incluso, de forma autónoma si el programa no recibe órdenes en 60 días.

¿Qué datos obtiene?

(☛ volver al índice)

Una vez incrustado en las entrañas del móvil de la víctima, Pegasus es capaz de leer mensajes, activar cámaras y micrófonos, robar contraseñas y datos de las aplicaciones, conocer el historial de búsqueda, extraer contactos e, incluso, rastrear la geolocalización.

A quién se ha espiado?

(☛ volver al índice)

La tecnología de ciberespionaje israelí se coló en los teléfonos móviles de 14 jefes de Estado, de al menos tres miembros del Gobierno central -Sánchez, Robles y Fernando Grande-Marlaska- y de 65 líderes independentistas catalanes, incluido el del 'president' Pere Aragonès.

El móvil de Sánchez fue intervenido en dos ocasiones en mayo de 2021 -obtuvieron más de 2,6 gigas de información- y el de la responsable de Defensa una vez, en junio del mismo año, arrebatándole 9 megabites. Al ministro del Interior se le extrajeron unos 10 megabites también en junio de 2021.

Citizen Lab documentó que Aragonès fue espiado cuando era vicepresidente, en otoño de 2019, durante las protestas por la sentencia del 'procés', y en enero de 2020, durante las negociaciones para la investidura de Sánchez. Según este organismo también fueron vigilados sus tres antecesores en la Presidència de la Generalitat. En el caso de Puigdemont y Aragonès, la directora del CNI acreditó autorización judicial para intervenir.

Los eurodiputados de ERC y Junts también constan en la lista de espiados. Las fechas son diversas, pero la vigilancia comenzó después de las elecciones europeas de mayo de 2019.

Las caras visibles de Òmnium Cultural y de la ANC tras el encarcelamiento de sus máximos dirigentes también fueron víctimas de la intrusión. Elisenda Paluzie recibió un mensaje sobre una noticia falsa de la entidad y una alerta de Twitter de un medio digital sobre las elecciones internas en 2020.
Marcel Mauri fue atacado en fechas que coinciden con la entrada de la Guardia Civil en la sede de Òmnium (febrero de 2018), con visitas a Cuixart en la cárcel y diez días después de la sentencia del juicio del ‘procés’.

Entre los casos más comprometidos destaca la vigilancia a los abogados de aquel juicio, como Andreu Van den Eynde, o al letrado de Puigdemont en el extranjero, Gonzalo Boye, algo que puede vulnerar el derecho a la defensa de sus clientes.

En las filas de ERC, Junts y CUP hay varios casos, empezando por Marta Rovira, que fue espiada cuando ya residía en Suiza, o de Jordi Sànchez, que entre 2017 y 2020, recibió al menos 25 SMS haciéndose pasar por noticias, mensajes de autoridades fiscales o de la seguridad social.

La investigación 'Proyecto Pegasus' -en la que participaron decenas de periodistas con el apoyo de Amnistía Internacional-, se conoció que en la lista de posibles afectados por Pegasus habría cerca de 50.000 números de teléfono, donde se encontraban los de catorce jefes de Estado, entre ellos, el presidente de Francia, Emmanuel Macron; el primer ministro británico, Boris Johnson; y el rey de Marruecos, Mohamed VI.

El software espía también se usó para atacar los teléfonos de activistas y periodistas. Amnistía Internacional reveló que la familia del saudí Jamal Khashoggi fue vigilada antes y después de su asesinato, en octubre de 2018 a manos de agentes de Arabia Saudí. Este país también utilizó Pegasus para atacar al magnate Jeff Bezos, propietario de Amazon y del Washington Post, que era el diario para el que trabajaba Khashoggi.

La lista de espiados con el software Pegasus es mucho más larga y cruza fronteras. En el siguiente buscador se pueden consultar los casos acreditados por Amnistía Internacional, por Citizen Lab y por el propio Gobierno.

¿Quién puede haber detrás?

(☛ volver al índice)

La Moncloa apuntó a injerencias "ilícitas y externas", ajenas a organismos estatales y ejecutadas sin autorización judicial, esto es, desde el extranjero. Y ahí, por las fechas en las que se espió al Gobierno, entra como posibilidad que fuera Marruecos. Esto exculparía al CNI, a la Policía Nacional y a la Guardia Civil, a quien el independentismo señala como autores. Paz Esteban fue destituida como directora del CNI días después de acreditar el espionaje a 18 independentistas con autorización judicial, pero no al resto de nombres que aparecen en el recuento de Citizen Lab.

La 'cloaca' policial también puede estar detrás de la vigilancia, ya que este diario reveló que un intermediario de Pegasus facilitó un sistema de espionaje a la cúpula policial de Mariano Rajoy. Después de que el Gobierno desvelara que el presidente y la ministra de Defensa también fueron vigilados, pero en periodos distintos, crece la posibilidad de que haya más de un autor y con intereses distintos.

¿Es legal este tipo de espionaje?

(☛ volver al índice)

Para poder espiar en España, es imprescindible una autorización judicial. Así lo fija la ley de enjuiciamiento criminal, que deja claro que solo un juez puede acordar la intervención de comunicaciones telefónicas si hay indicios de obtener por este medio pruebas que sirvan a una causa judicial. En caso de urgencia y con investigaciones de delitos relacionados con bandas armadas o terroristas, puede ser el Ministerio del Interior o el director de la Seguridad del Estado quien dé la orden, pero debe comunicarlo inmediatamente al juez y este tiene que validarlo en un máximo de 72 horas. El CNI también debe solicitar autorización, pero lo pide a un magistrado específico del Tribunal Supremo designado para este fin y sin entrar en detalles de la información que pretende recopilar. De todos modos, las pruebas que pueda recabar no pueden ser utilizadas en un procedimiento judicial porque el CNI nunca actúa como policía judicial.