'Caso Pegasus': el CNI detectó cinco infecciones al móvil de Pedro Sánchez en poco más de un año

La causa que se sigue en la Audiencia Nacional por espionaje con Pegasus al móvil de Pedro Sánchez, y tres de sus ministros, ha desvelado que se produjeron un total de cinco infecciones al teléfono del presidente del Gobierno. La primera de ellas se detectó en octubre de 2020 y la última catorce meses después, en diciembre de 2021. En total le extrajeron cerca de 2,7 gigas de información.

Así se desvela en el auto del magistrado José Luis Calama Teixeira, en el cual acuerda el archivo de este caso Pegasus. El juez que ha instruido la causa por presunta revelación de secretos se ha visto obligado a dar carpetazo a las diligencias ante la "absoluta falta de colaboración" de Israel, país donde está asentada NSO Group, la empresa que comercializa este software.

El auto desvela que la causa estaba abocada al cierre ya que ni el CNI ha sido capaz de averiguar al autor de los hackeos ni Israel ha dado respuesta a la comisión rogatoria librada en mayo de 2022 y recordada en reiteradas ocasiones. No obstante, la información aportada por el Centro Nacional de Inteligencia permite conocer las veces que infectaron el móvil a Sánchez y la línea temporal en la que ocurrieron los hechos.

Cinco infecciones con Pegasus

La primera vez que se detecta la infección fue el 13 de octubre de 2020 y la siguiente en mayo de 2021. En ese mes se produjeron dos hackeos los días 19 y 31. El juez explica que fue esos días cuando le sustrajeron la mayor parte de los gigas a Sánchez. En concreto, se detectó un programa dañino cuya primera aparición se produjo el día 19 de mayo de ese año. Lo más probable, dicen los investigadores, es que estuviera presente en el dispositivo tres días y se desinstalara el 22.

De nuevo el 31 se volvió a detectar otro programa diferente que respondería a un hackeo con Pegasus. Entre ambas infecciones lograron recabar cerca de 2,7 gigas de información del móvil de Pedro Sánchez. Cabe recordar que estos hechos se produjeron en plena crisis de España con Marruecos por la entrada secreta en territorio español del líder del Frente Polisario, Brahim Ghali. La filtración en prensa de que estaba siendo atendido en un hospital de La Rioja hizo que Rabat respondiera con una crisis migratoria en Ceuta sin precedentes.

Las siguientes fechas en las que se detectó presencia de Pegasus en el móvil de Sánchez fueron el 12 de junio (días después de la salida de España de Ghali) y el 27 de diciembre de ese año, aunque no consta que en esas fechas se le extrajera información.

Robles restauró el teléfono tras el ataque

En lo que respecta a Margarita Robles, su móvil se infectó hasta en 4 ocasiones entre mayo y diciembre de 2021 y se le extrajeron 9 gigas. En su caso la primera vez que observaron la aparición de un elemento "dañino" fue el 18 de junio. Al igual que ocurrió con Sánchez, permaneció en el teléfono a lo largo de tres días. El CNI advirtió que en una de las infecciones se utilizó la cuenta de correo [email protected].

El auto especifica que el dispositivo de la ministra de Defensa "se restauró a fábrica en julio de 2021", es decir, apenas semanas después de los ataques. Por ello "se ha perdido información referente a la base de datos “netusage.sqlite” que también tiene información de interés sobre el uso de red por proceso" indica. Del mismo modo han constatado que Pegasus eliminó registros de la base de datos DaraUsage, por lo que no se descarta que la cantidad de datos exfiltrados al móvil de la ministra fuera mayor.

Misma dirección de correo se utilizó para el espionaje al móvil de Grande Marlaska. Al ministro del Interior también le hackearon el teléfono en ese momento, en concreto los días 2 y 7 de junio de 2021. La primera de esas fechas coincide con la salida de Ghali de España, cuya presencia en España desconocía Rabat hasta que se filtró en prensa. Entre ambas fechas lograron acceder, al menos, a 6,3 gigas.

"Imposible determinar la autoría"

Finalmente el último ministro víctima de espionaje con Pegasus fue Luis Planas. El responsable de Agricultura fue objeto de un intento de infección por Pegasus el 25 de junio de 2021. La escasa información enviada del que fuera embajador de España en Marruecos (menos de 1 kb) sugiere una infección frustrada ya que su teléfono contaba con una de las aplicaciones "vacuna".

Por su parte, el CNI no ha podido acreditar quien estaría detrás de este espionaje masivo a Moncloa. A los informes iniciales que se aportaron con la denuncia de la Abogacía General del Estado se han adherido otros en los que se determina que no ha sido posible encontrar al autor.

Así, el 20 de febrero la Audiencia Nacional recabó cuatro informes del CNI de análisis de los móviles de los tres ministros concluyendo que "resulta imposible determinar la autoría de las infecciones acreditadas sobre los dispositivos móviles" espiados". En mayo, el magistrado se volvió a dirigir a 'La Casa' aportando las direcciones concretas detectadas en los ataques para que remitiera información precisa sobre las mismas.

La respuesta, remitida en abril, indicaba que no se había podido determinar quién responde a las cuentas '[email protected]' y 'linakeller2023' ni tampoco las personas que registraron los dominios de las mismas.