El CNI tardó 10 meses en enviar a varias CCAA el manual para detectar Pegasus en iPhone

El Centro Criptológico Nacional, que depende del CNI, ha enviado esta semana a la Comunidad de Madrid, Murcia y Galicia el manual para detectar el software Pegasus en dispositivos iPhone, según han confirmado a Vozpópuli diversas fuentes regionales. Este documento es el mismo que hace 10 meses distribuyó el Centro Nacional de Inteligencia entre todos los organismos de la Administración Central. Otras comunidades, como Baleares y Canarias, dan a entender que les ha llegado esta información, aunque sin confirmar la fecha o el nombre del documento exactos.

En julio de 2021, un mes después de que los móviles del presidente del Gobierno y la ministra de Defensa fueran infectados con Pegasus, el CCN remitió este informe a todos los organismos de la Administración, según informó El País el pasado martes. Los iPhone son los dispositivos corporativos que utilizan los altos cargos del Ejecutivo central. En sus páginas, el documento enseña a usar la herramienta MVT (Mobile Verification Toolkit) para comprobar la presencia del programa israelí. También recomienda realizar el análisis tanto en los móviles corporativos como en los personales de las autoridades y enviar después los resultados al CCN.

El Centro Criptológico Nacional fue quien detectó la intromisión en los dispositivos de Sánchez y Robles. Este organismo fue creado en 2004 y su misión principal es gestionar los ciberincidentes que afecten a cualquier organismo o empresa pública. Estas amenazas se coordinan a través del CCN-CERT, que coordina y gestiona a su vez el Grupo Técnico de Seguridad de Administraciones Públicas, del que forman parte las comunidades autónomas. En este grupo se realizan reuniones periódicas y se comparte información relevante para la ciberseguridad de los organismos regionales, según explican fuentes del Gobierno madrileño.

Desde los ejecutivos de Madrid y Galicia aseguran que el CCN les envió el informe sobre la detección de Pegasus en iPhone el pasado martes, 3 de mayo. "No tenemos conocimiento de que en el 2021 se distribuyese una alerta formal a las CCAA sobre el programa Pegasus, la guía de detección fue enviada en julio de 2021 a la Administración general del Estado. A las CCAA fue remitida el 3 de mayo de 2022. Actualmente está siendo revisada", señalan fuentes de la Xunta. Murcia también ha conocido el manual esta semana. Las administraciones gallega y murciana indican, además, que hasta el estallido de la polémica actual no habían recibido instrucción alguna sobre el programa israelí.

Otro gobierno que ha recibido la guía es el de las Baleares, pero no concreta la fecha de recibimiento. En cualquier caso, las autoridades baleares usan móviles Android, por lo que no les sirven las indicaciones del manual. El director general de Telecomunicaciones y Nuevas Tecnologías de las Islas Canarias, Víctor Melián, ha comentado que en los últimos días han recibido elementos específicos para detectar Pegasus únicamente en los teléfonos de Apple.

Otras regiones han sido menos claras. Según el diario Hoy de Extremadura, el martes llegó el procedimiento de detección del software israelí a la Junta de Fernández Vara. Al ser preguntados por esta cuestión, fuentes del Ejecutivo asturiano se limitan a destacar la relación "fluida y constante con el CCN". "Nos pasan de manera recurrente información significativa y actualizada de los riesgos que van detectando", añaden.

El Ministerio de Defensa no ha respondido a la pregunta de este diario sobre la fecha de envío del citado informe del CCN a las CCAA.

¿Cómo se protegen las comunidades?

El caso Pegasus ha empujado a varias CCAA a revisar si los teléfonos de sus altos cargos han sufrido intrusiones de Pegasus. Es el caso de Andalucía, Aragón, Cantabria, Extremadura o País Vasco. Pese a que están en contacto con el CCN, las comunidades aplican sus propias medidas y recomendaciones para proteger las comunicaciones de sus altos cargos. Varios ejecutivos autonómicos no facilitan información sobre sus normas de seguridad o la marca de teléfono que utilizan sus autoridades, pero aseguran que disponen de protocolos para la protección de datos de los móviles corporativos.

En el protocolo de uso de dispositivos móviles corporativos gallegos recomienda, por ejemplo, guardar con diligencia las claves y los nombres de usuario y tener cuidado con las conexiones en redes de wifi abiertas, el bluetooth o con los puertos públicos de recarga de batería. Según detallan, la Xunta somete a los smartphones de su presidente y consejeros a revisiones sobre las actualizaciones de sistema, las aplicaciones instaladas y de los mecanismos de acceso al terminal.

Entre las medidas más llamativas destacan el antivirus Harmony Mobile instalado en los dispositivos canarios para protegerlos supuestamente de Pegasus o el sistema antiespionaje con el que Murcia blinda al personal de alto nivel a raíz de la guerra de Ucrania. Una anécdota que ha resonado en los medios esta semana es que Miguel Ángel Revilla utiliza por elección propia un viejo Nokia 301.1, sin WhatsApp.

Pegasus, la crisis de la coalición y la imagen del CNI

Pegasus es un producto de la compañía israelí NSO Group, fundada en 2010. Sólo se vende a los gobiernos que reciban autorización de Israel. En los últimos años, el avanzado software ha estado detrás de varios escándalos de espionaje. El Gobierno español compró el programa a principios de 2016. Pero su saltó a la fama en España no llegó hasta 2020, cuando se conoció que los teléfonos de los políticos catalanes Roger Torrent y Ernest Maragall habían sido supuestamente pinchados con esta herramienta. Este primer capítulo quedó en un segundo plano.

Los casos de espionaje con Pegasus conocidos en las últimas semanas han desatado una grave crisis interna e institucional en el Gobierno. El propio CNI admite que autorizó el espionaje legal a 18 independentistas, incluido al presidente catalán, Pere Aragonès. Aunque la directora del Centro, Paz Esteban, no detalla si los pinchazos se realizaron con la herramienta israelí. Partidos independentistas como ERC o Junts han pedido directamente la cabeza de Esteban. Unidas Podemos, socio en la coalición del Gobierno, también ha sugerido su cese. A su vez, la revelación de Moncloa de que los teléfonos de Pedro Sánchez y Robles fueron espiados con Pegasus ha expuesto mediáticamente al propio CNI, acostumbrado a trabajar con discreción.