El CNI recurre a Amnistía Internacional para detectar Pegasus en los móviles del Gobierno

El Centro Criptológico Nacional (CCN-Cert), órgano del CNI encargado de la ciberseguridad, ha recurrido a una herramienta desarrollada por Amnistía Internacional conocida con el nombre de MVT para detectar la presencia del software de espionaje Pegasus en teléfonos de miembros del Gobierno.

El auto del magistrado que investiga la causa detalla que los servicios de inteligencia habrían aplicado esta tecnología, al menos, en el terminal del ministro Luis Planas, de Agricultura, Pesca y Alimentación. El juez trata de determinar el alcance y las circunstancias de la infección de los teléfonos del presidente Pedro Sánchez, los titulares de Defensa e Interior, Margarita Robles y Fernando Grande-Marlaska, y el ya citado Luis Planas.

Por ello ha solicitado al CNI que conserve el volcado del contenido de todos estos teléfonos infectados hace ahora un año. En el auto en el que acordó esta diligencia, recogió extractos de los informes elaborados por el CCN relativos al trabajo de estos dispositivos. Los servicios secretos realizaron análisis manuales, copias de seguridad y extrajeron los registros del diagnóstico. En el caso de Planas especificaron que se usó la "herramienta MVT1".

Un sistema de dominio público

Expertos de ciberseguridad y espionaje explican a Vozpópuli que se suele emplear este sistema para detectar las infecciones con Pegasus en sus versiones más actualizadas. Además, está al alcance de cualquiera porque se publicó en una plataforma que usan los desarrolladores de código abierto. La encargada de diseñar e impulsar este sistema fue Amnistía Internacional. La ONG lo desarrolló ante la sospecha de que se estaba investigando con este software a defensores de los Derechos Humanos.

Se desarrolló MVT porque se detectó que había defensores de Derechos Humanos que estaban siendo investigados con esta herramienta

Así lo explica en conversación con este medio Arturo Catá, responsable del área de Sistemas Informáticos en Amnistía Internacional. Según indica, se detectó que se estaban espiando las conversaciones telefónicas de algunos activistas y se decidió desarrollar esta herramienta ante la sospecha de que pudiera tratarse de Pegasus. El sistema MVT se centró en rastrear los indicios que dejaba el software israelí en aras a identificar el hackeo.

El resultado fue positivo y la ONG decidió facilitarlo en código abierto para que otros usuarios hicieran uso del mismo. No obstante, desde Amnistía Internacional desconocían que el Centro Nacional de Inteligencia empleaba esta herramienta en sus trabajos para estudiar infecciones con Pegasus. Algunas fuentes consultadas por Vozpópuli explican que el CNI alega el uso de MVT1 como pretexto ya que se pretendería ocultar que en realidad disponen de Pegasus y que, por tanto, no necesitan ningún software para identificarlo.

Fuentes de ciberseguridad destacan las dificultades para detectar la infección de un terminal con el software Pegasus si no se le somete a un chequeo forense. Se trata de un trabajo laborioso y que requiere la colaboración del propietario del teléfono, que debe ceder físicamente el aparato para que se aplique el análisis.

Las siglas MVT corresponden al nombre completo de Mobile Verification Toolkit ['kit de herramientas de verificación del teléfono móvil', en inglés]. El auto del magistrado detalla que el CCN recurrió al MVT1 para analizar el teléfono de Luis Planas. En ningún caso se puede emplear MVT sin conocimiento del dueño. Es una herramienta de código abierto, pero requiere unos conocimientos mínimos de ciberseguridad para emplearlo como análisis forense en un terminal.

El investigador Carlos Seisdedos, responsable de ciberinteligencia de Internet Security Auditors, advierte de que el uso de MVT no es un recurso definitivo para asegurar la infección del software de espionaje en un teléfono: "Lo que hace MVT es buscar unos parámetros o elementos que la acción de Pegasus deja en un terminal. Se podía haber puesto esos elementos de forma fraudulenta en un teléfono para simular que estuviera infectado por Pegasus, y dará positivo sin realmente serlo".

La utilidad de la herramienta de Amnistía Internacional, incide Seisdedos, es su aplicación como "elemento indiciario" que "puede ayudar a discriminar" sobre una posible infección de un terminal: "Para saberlo con total certeza hace falta un análisis forense".

El contenido de los móviles

Mientras tanto, el magistrado José Luis Calama ha dado impulso a las diligencias que se abrieron en la Audiencia Nacional en mayo a raíz de una denuncia de la Abogacía General del Estado. Recientemente ha ordenado al CNI que conserve el volcado de los teléfonos de todos los miembros del Gobierno espiados con el fin de encontrar pistas que le lleven a la fuente de origen del hackeo.

Además, también está pendiente de tomar declaración a Félix Bolaños, a quien citó en calidad de testigo para el pasado 5 de junio. La convocatoria decayó porque el ministro de Presidencia se acogió a la posibilidad que le brinda de la ley de declarar por escrito, evitando así su desplazamiento a la Audiencia Nacional. Como alternativa, el juez le ofreció participar por videoconferencia para una mayor colaboración con las diligencias, pero Bolaños no contestó a la propuesta.

De esta forma, el magistrado ha dado un plazo a Fiscalía y Abogacía General del Estado para que remitan sus preguntas. Él las analizará y en los próximos días elaborará un formulario que remitirá al ministro de Presidencia. Pero las diligencias no se quedan aquí. Calama Teixeira también ha emitido una comisión rogatoria a Israel para obtener más información de NSO Group, la empresa que comercializa Pegasus.

Intereses generales

Del mismo modo ha tomado declaración en calidad de testigos al funcionario que elaboró los informes y también a Paz Esteban. La exdirectora del CNI compareció el pasado 3 de junio en sede judicial para explicar la actuación del órgano con los móviles infectados. Hasta el momento se conoce que al que más información se ha extraído ha sido al presidente del Gobierno. El volumen fue de 2,6 gigas en la primera intervención, que tuvo lugar el 19 de mayo del año pasado. Luego hubo una segunda el 31 de mayo de ese año pero de apenas 130 megas.

Aunque el Ejecutivo nunca confirmó el contenido concreto del material extraído ni tampoco el autor de los hechos, algunas voces apuntan a Marruecos. Cabe recordar que la primera de las infecciones se produjo 48 horas después de la avalancha de inmigrantes en Ceuta que propició Rabat tras conocerse la presencia en España del líder del Frente Polisario, Brahim Ghali.

Con todo, en las últimas semanas el juez también ha dado luz verde a que dos acusaciones populares litiguen en la causa. Primero admitió la personación de la Asociación de Juristas Europeos Pro Lege y después de Apedanica. A ambos les pide 10.000 euros de fianza. Pese a la oposición de los servicios jurídicos del Gobierno, el magistrado da luz verde a su aterrizaje en la causa apuntando a que el espionaje no solo afecta a los perjudicados sino también a los intereses generales.

De la infección al móvil de la ministra Robles sostiene que "es un hecho" que se podría estar ante revelación de secretos de informaciones relativas a la Defensa Nacional, "cuya naturaleza pública es indiscutible". No obstante, el titular del Juzgado Central de Instrucción número 4 ya ha advertido que excluirá de la causa cualquier información recogida en estos terminales móviles que afecten a la vida íntima de los ministros o a la seguridad del Estado.