Caso Pegasus: Defensa formateó el móvil de la ministra Robles y dificultó la investigación del CNI

Margarita Robles formateó su teléfono móvil poco después de su primera infección con Pegasus. La presencia de la infección, no obstante, persistió en el tiempo, quedando el terminal expuesto a filtraciones durante al menos cuatro meses. El reseteo del terminal ha sido uno de los obstáculos que ha encontrado el Centro Criptológico Nacional (dependiente del CNI) para determinar el alcance de la información sustraída y analizar la forma de actuar de los agresores, según se desprende del auto de la Audiencia Nacional que dicta el archivo del caso.

Dicho auto incide en que el teléfono de Margarita Robles presenta indicios de haber sido infectado por Pegasus en cuatro ocasiones, entre mayo y octubre de 2021. Cabe recordar que este sistema se introduce de forma puntual en los terminales para sustraer una determinada cantidad de información, pudiendo acceder a la totalidad de su contenido. Una vez se ha producido la exfiltración de la información, se retira el software para evitar ser detectado.

En concreto, el teléfono de Margarita Robles se “reseteó a fábrica” -o lo que es lo mismo, se le borró todo el contenido- en julio de 2021, después de la primera infección de Pegasus. Fuentes de seguridad consultadas por Vozpópuli indican que, según los procedimientos de seguridad establecidos en España, los miembros del Gobierno deben someter sus terminales a revisiones periódicas, que en determinados casos incluyen ese reseteo total.

Revisiones periódicas del teléfono

En algunas ocasiones, no obstante, se realiza previamente una copia de seguridad de la información, para que los titulares de esos teléfonos no pierdan la información contenida, tales como correos electrónicos, mensajería instantánea y otras aplicaciones previamente autorizadas por los equipos de seguridad. Esa copia de seguridad se somete a un examen rutinario, si bien no siempre es fácil detectar la presencia de un archivo infectado por Pegasus.

¿La razón? Los autores de la infección contaminan el terminal a través de un archivo con malware, pero este archivo permanece ‘durmiente’ mientras no se reintroduzca el programa Pegasus en el teléfono para sacar su información. Una vez reseteado el teléfono de los miembros del Gobierno, se le vuelca la copia de seguridad.

A pesar de la confianza que suscita recuperar un teléfono que ha sido formateado hasta los cimientos, la infección de Pegasus persistiría en el terminal; probablemente a través de un archivo incorporado en la copia de seguridad.

Reseteo tras la infección

Este reseteo, no obstante, entorpeció el trabajo de los expertos del Centro Criptológico Nacional que han investigado los teléfonos del presidente Pedro Sánchez, Margarita Robles (Defensa), Luis Planas (Agricultura) y Fernando Grande-Marlaska (Interior), las víctimas de la infección a través de Pegasus. El auto de la Audiencia Nacional indica que “dado que dispositivo se restauró a fábrica en julio de 2021, se ha perdido la información referente a la base de datos ‘netusage.sqlite’ que también tiene información de interés sobre el uso de red por proceso”.

Con todo, los autores del hackeo consiguieron infectar el teléfono de la responsable de Defensa hasta en cuatro ocasiones entre mayo y octubre de 2021, sustrayéndole 9 megabytes. Se trata de una cifra mucho menor que la hackeada al presidente del Gobierno, a quien solo en dos infecciones le intervinieron cerca de 2,7 gigas. Las mismas se produjeron los días 19 y 31 de mayo de 2021, fecha que coinciden con la crisis desatada con Marruecos por la entrada furtiva en España del líder del Frente Polisario, Brahim Ghali.

Pese a ello el CNI detectó presencia de malware en el teléfono del presidente del Gobierno mucho antes; en concreto en octubre de 2020. Las infecciones se prolongaron hasta 14 meses ya que el último ataque se produjo en diciembre de 2021. En lo que respecta al ministro del Interior se le infectó el teléfono en dos ocasiones durante el mes de junio de 2021, mientras que a Luis Planas (que fue embajador de España en Marruecos) también le intentaron hackear el teléfono en junio de 2021.

En el caso del ministro de Agricultura no lograron sustraerle información del terminal dado la escasa información enviada (inferior a 1 KB) y porque tenía aplicaciones "vacuna" que evitaron el hackeo. Pese a las diligencias practicadas en estos meses de instrucción el CNI ha sido incapaz de averiguar quien está detrás de estas infecciones que llevó ante la Justicia la Abogacía General del Estado.

Fin del caso Pegasus

La Audiencia Nacional, competente para investigar estos hechos por afectar a miembros del Gobierno, admitió a trámite la denuncia de la Abogacía en mayo de 2022. La causa, que se abrió por presunto delito de revelación de secretos, llevaba meses en punto muerto, tal y como informó este medio, ante la negativa de Israel a responder a la comisión rogatoria librada por el juez para poder interrogar al dueño de NSO Group, la empresa que comercializa con Pegasus.

El magistrado tenía una batería de preguntas preparadas en aras a esclarecer el nivel de control de la empresa israelí sobre el software que comercializan pero, pese a los reiterados reclamos, no hubo respuesta. De esta forma, el magistrado ha terminado por archivar la causa denunciando, eso sí, la "absoluta falta de cooperación" del país al que se ha dirigido.

En este tiempo han declarado los responsables que realizaron los informes del CNI, además de su exdirectora Paz Esteban (que fue destituida por estos hechos) y los ministros afectados por los ataques. Entre los citados a declarar se encontraba también Félix Bolaños, ministro de Presidencia. Todos ellos se acogieron al "privilegio" que les otorga la ley de declarar por escrito, evitando así acudir en persona y también la opción de comparecer por videoconferencia que les dio el juez.

Cerrada la vía judicial, el titular del Juzgado Central de Instrucción número 4 de la Audiencia Nacional deja el caso Pegasus en manos del Ejecutivo, a quien le emplaza a activar la vía diplomática para dirigirse a Israel y esclarecer los detalles de un espionaje que, según apuntó, afectaba a la propia seguridad del Estado. "Sin duda, la Abogacía, personada en las presentes actuaciones, impulsará el ejercicio de dicha vía a través de los mecanismos con los que a tales fines cuenta el Gobierno", concluye.