La noticia saltó el pasado lunes: 65 dirigentes independentistas catalanes y vascos han sido supuestamente espiados por una entidad que ha empleado el programa israelí Pegasus, que en principio solo lo pueden adquirir gobiernos. Entre las personas afectadas, tres expresidents de la Generalitat (Artur Mas, Carles Puigdemont y Quim Torra), y el actual jefe del Ejecutivo, Pere Aragonès. Pero ¿cómo es posible la infección de sus teléfonos móviles?

El informe del Citizen Lab de la Universidad de Toronto (Canadá) que firman John Scott-Railton, Elies Campo, Bill Marczak, Bahr Abdul Razzak, Siena Anstis, Gözde Böcü, Salvatore Solimano y Ron Deibert concluye que la estrategia no fue solo infectar los terminales móviles, sino que para hacerlo hubo un trabajo previo: "La sofisticación y la personalización de los mensajes variaron, pero reflejan un conocimiento detallado de los hábitos, intereses, actividades y gustos" de la persona que iba a ser atacada.

Así, Citizen Lab ejemplifica lo sucedido con el informático Jordi Baylina. Afincado en Barcelona, sufrió "al menos 26 intentos de infección. En última instancia, se infectó al menos ocho veces entre octubre de 2019 y julio de 2020". Una de ellas, por culpa de un "mensaje de texto camuflado de enlace de tarjeta de embarque para un vuelo de Swiss Air Lines que había comprado". Los investigadores deducen que quien operaba Pegasus "pudo haber tenido acceso al Registro de nombres de pasajeros (PNR) de Baylina u otra información". El registro consiste en un listado que las compañías aéreas deben facilitar a las policías para la "prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves".

De la misma manera, quienes manejaban Pegasus también enviaban notificaciones a los móviles con información de distintas instituciones públicas, con las alertas de los medios de comunicación (noticias de última hora) o con avisos de las empresas de paquetería. Al hacer clic y abrir la notificación, el virus ya estaba dentro del móvil.

No obstante, el informe de Citizen Lab también recoge que aunque no fuera el método mayoritario, también se empleó la infectación sin necesidad de que el usuario hiciera clic ni abriera ningún mensaje, aprovechando las distintas vulnerabilidades que tienen las aplicaciones que tenemos en nuestros móviles, como WhatsApp.

¿Qué buscan los operadores de Pegasus y Candiru, los dos programas de origen israelí que Citizen Lab denuncia que se han empleado? Desde bucear en la información que tiene el terminal móvil hasta tener oídos y ojos allá donde esté el espiado, ya que se podía llegar a manejar el teléfono desde la distancia, y activar así la cámara y el micrófono.

¿Quién es el responsable?

"En este momento, Citizen Lab no atribuye de manera concluyente estas operaciones de piratería a un gobierno en particular, sin embargo, una variedad de evidencia circunstancial apunta a un fuerte nexo con una o más entidades dentro del gobierno español", aseguran los autores de un informe sobre unos ataques que también afectaron al líder de EH Bildu, Arnaldo Otegi, y al diputado soberanista Jon Iñarritu (listado de Citizen Lab completo).

Entre las deducciones que les lleva a esa conclusión, Citizen Lab señala que "los objetivos eran de evidente interés para el gobierno español; el momento específico de la focalización coincide con eventos de interés específico para el Gobierno español; el uso de contenido de cebo en los SMS sugiere el acceso a la información personal de los objetivos, como los DNI; y, según se informó, el CNI de España ha sido un cliente del Grupo NSO y, según se informa, el Ministerio del Interior de España posee una capacidad no identificada pero similar".

Por descarte, el grupo de expertos en ciberseguridad de la Universidad de Toronto considera "poco probable que un cliente de Pegasus que no sea español emprenda una orientación tan amplia dentro de España, utilizando SMS y, a menudo, haciéndose pasar por las autoridades españolas. Tal operación clandestina de varios años, especialmente contra personas de alto perfil, tiene un alto riesgo de descubrimiento oficial y seguramente conduciría a graves repercusiones diplomáticas y legales para una entidad gubernamental no española".

El Gobierno español se ha amparado hasta la fecha en la Ley de Seguridad Nacional para evitar concretar si el CNI o cualquier otro organismo dependiente del Ejecutivo ha hecho uso de Pegasus. La primera en pronunciarse fue la ministra portavoz, Isabel Rodríguez, que aseguró que el Gobierno no tiene "nada que ocultar", si bien explicó que "asuntos que tienen que ser tratados de forma secreta" según lo establecido por una ley a la que el Ejecutivo se atiene.

Después, la ministra de Defensa, Margarita Robles, de cuyo Ministerio depende orgánicamente el Centro Nacional de Inteligencia, declaró en el Cana 24 horas que los agentes del CNI "siempre actúan con arreglo a la legalidad vigente", tras lo que añadió que "es muy fácil imputarle al CNI determinadas actuaciones porque sabe que el CNI no se puede defender".