'Caso Pegasus': 5 preguntas técnicas y 5 políticas que aún no ha respondido el Gobierno

Este episodio, revelan fuentes de las Fuerzas y Cuerpos de Seguridad del Estado así como de la inteligencia española, ha erosionado la reputación del Centro Nacional de Inteligencia (CNI) de cara al exterior, al apreciarse el descrédito en el que ha situado precisamente el Ejecutivo al Centro Criptológico Nacional (CCN), el organismo del CNI encargado de la seguridad de los dispositivos y de controlar esta clase de ataques. 

Además, sobre el mismo quedan todavía muchas dudas, tanto políticas como técnicas, que el Gobierno todavía no ha logrado responder. 

Dudas políticas

1. ¿Quién ordenó investigar a Pere Aragonès y por qué motivo concreto?

Es decir, qué indicios existen de que el hoy president de la Generalitat era una amenaza para la integridad territorial del Estado o los intereses de España. Y cuán sólidos eran estos argumentos para que el Tribunal Supremo autorizara la intrusión en sus comunicaciones.

De la falta de desmentidos posteriores a la noticia colegimos que, efectivamente, el CNI espió en 2019 y 2020 al entonces vicepresident y "máximo líder de Esquerra en libertad", como lo definía un portavoz de su entorno el otro día, en conversación con este periódico. También que no se hizo con una escucha normal, sino con el virus espía Pegasus, que permite incluso la activación remota del micrófono y la cámara, para acceder en directo a conversaciones y reuniones.

Lo que no sabemos es por qué: si de hecho era sospechoso de algo, ¿qué hace ahora presidiendo una comunidad autónoma? ¿Cómo es posible que el presidente del Gobierno pacte con su partido, que colideró un golpe constitucional y hoy estaría liderado por un presunto hombre peligroso? Es más, ¿qué se dialoga, negocia y acuerda en la mesa con semejante interlocutor?

Y si no había sospechas de este tipo, ¿fue por intereses políticos, ideológicos? Entonces, ya habría que dudar también del Poder Judicial. ¿Cómo un magistrado del Supremo podría autorizar semejante violación de los derechos fundamentales? E incluso, se podría dudar de la veracidad de lo que dice la Constitución Española de 1978, que no es militante y ampara hasta a quienes querrían derogarla. La pregunta es inquietante: ¿si eres independentista, aunque cumplas la ley, puede que el Estado te espíe?

2. ¿Lo sabía Pedro Sánchez?

Ante el riesgo de que la respuesta acabe siendo un sí -por "el bien último a proteger"- y para que, al menos, eso no derive en una responsabilidad política, Moncloa reveló a este diario, el pasado jueves, que "el Gobierno ni sabe, ni puede, ni debe, ni quiere saber a quién investiga el CNI". Y aunque eso resulta increíble, sería la traducción a palabras de lo que, efectivamente, ha ocurrido en los últimos años.

Ni el Parlamento ni el Gobierno han controlado a los servicios secretos: porque la Comisión de Gastos Reservados del Congreso no se constituyó hasta la semana pasada (decayó en enero de 2019, con la legislatura de la moción de censura). Y porque la Comisión Delegada del Gobierno para Asuntos de Inteligencia no ha celebrado reunión alguna desde la salida de Pablo Iglesias del Ejecutivo, hace ya 14 meses. También dice Moncloa que "todo lo que ha hecho el CNI se ha atenido a la ley". Ambas afirmaciones parecen contradictorias en esencia: si no saben qué ni a quién, ¿cómo están tan seguros?

La ley indica que es esta comisión la que marca "anualmente" las prioridades al CNI, en la Directiva de Seguridad Nacional, un documento que también es secreto. De modo que, con la normativa en la mano, es inverosímil que Sánchez, que despacha periódicamente con la directora del CNI (hasta ahora, Paz Esteban), no estuviera al tanto de la investigación a Aragonès... aunque sea por higiene democrática: recordemos, líder de facto de ERC, entonces número dos del Govern, y ahora president de una Comunidad Autónoma.

Así que partamos de que el presidente del Gobierno era, como mínimo, conocedor del ataque al móvil de Pere Aragonès. Entonces, o bien sabía que negociaba con un peligro público, o bien había intereses políticos detrás. Una de dos...

3. ¿Por qué el Gobierno no desclasifica los documentos?

...aunque, en realidad, forzando un poco el relato, se puede decir que hay una tercera opción:

Que fuera verdad que el presidente no supiera nada del espionaje a Aragonès, que a la vez Moncloa esté en lo cierto con que el CNI ha hecho todo legalmente, y que esta extraña combinación se explique por lo revelado por Esteban ante los diputados de la comisión de secretos, el jueves. Eso abriría un hueco a esa tercera posibilidad: que al president se le hubieran violado sus derechos fundamentales para acceder a sus contactos con los CDR, el llamado Tsunami Democràtic o los enviados del Kremlin.

Entonces, la pregunta que encabeza este epígrafe no tiene respuesta. Si el Ejecutivo ya sabe -y es eso-, no tendría nada que ocultar, ni Aragonès correría ningún riesgo. El Gobierno de España y el Govern de Cataluña, las dos partes de la mesa de diálogo, negociación y acuerdo, podrían pasar una pequeña crisis de confianza, pero más que superable.

Además, Moncloa se comprometió a "desclasificar cualquier documento que nos pidan", dado que "el Gobierno no tienen nada que ocultar". Entonces, ¿a qué espera Moncloa para cumplir su promesa de "transparencia absoluta"?

4. ¿Quién espió a quién, más allá de los 18 que reconoce el CNI?

Hemos empezado las preguntas políticas por las referidas a Pere Aragonès, las del mayor escándalo dada su representatividad. Pero antes de que el CNI lo incluyera en la lista de 18 políticos, líderes y activistas del separatismo que reconoce haber investigado, Citizen Lab habló de un mínimo de 63. El instituto de la Universidad de Toronto tampoco atribuyó autoría, fue The New Yorker quien la sugirió, dado que, supuestamente, Pegasus sólo se vende a organismos oficiales de Estados.

El hecho de que Paz Esteban reconociera 18 expedientes no niega que los otros 45 casos también sean responsabilidad del CNI. Nadie dijo que ella lo hubiera negado en sus casi cuatro horas de comparecencia. Entonces, ¿quién? ¿Qué entidad, agencia, empresa o país infectó con Pegasus al resto de indepes? ¿Fue el mismo responsable del ataque "ilícito y externo" al móvil del presidente, al de la ministra de Defensa y al del Interior?

Porque eso abre otra vía de sospechas... el lunes 2 de mayo, en la rueda de prensa convocada de urgencia en la Moncloa, el ministro de la Presidencia explicó que con "externo" no se refería "necesariamente a extranjero". El problema es que eso alimentó las conjeturas de Podemos y de ERC a propósito de "las cloacas del Estado, con agentes descontrolados".

¿Pudo eso pasar? Nadie lo niega, tampoco. De hecho, el "control interno" impulsado en el CNI por orden de Pedro Sánchez -y publicitado para calmar al independentismo- podría abonar esa tesis. Pero después, Moncloa aprovechó el hecho de que "probablemente, nunca vayamos a saber qué, ni quién, ni para qué" atacó estos teléfonos para desviar las sospechas a Marruecos.

En todo caso, ¿por qué habría que pensar que el mismo intruso que espió a Sánchez, Robles y Marlaska es el que estaba interesado en violar los teléfonos de 45 independentistas catalanes y vascos? A cada intento de arrojar luz, el caso ofreció nuevas sombras.

5. ¿Por qué el Gobierno reconoce abiertamente una vulnerabilidad a unas semanas de la cumbre de la OTAN en Madrid?

Fue el estallido del caso Pegasus en su vertiente indepe el que impulsó la derivada gubernamental. Así lo ha podido confirmar este diario en fuentes del Consejo de Ministros.

Después de negar al Congreso siquiera que hubiera denuncias -lo que era falso, porque hace dos años ya se judicializó el caso de Roger Torrent-, y por iniciativa de Margarita Robles, los servicios de ciberseguridad de Defensa revisaron su teléfono, y hallaron trazas del virus espía en la madrugada del viernes 29 al sábado 30 de abril. Ese día, Moncloa ordenó inspeccionar el de Pedro Sánchez, y se confirmó el positivo. El domingo, el Centro Criptológico Nacional (CCN) del CNI emitió sendos informes y el lunes se presentaron como anexos a la denuncia ante la Audiencia Nacional.

Pero, ¿por qué judicializar una brecha de seguridad de tal gravedad? ¿Por qué reconocer que pasó hace 11 meses y no lo hemos sabido hasta ahora? ¿A qué vino publicitarlo ante la prensa, con datos del cuándo y del cuánto... sabiendo que nunca se sabrá quién y por qué? Es decir, ¿por qué comportarse del modo absolutamente opuesto al del resto de democracias ciberatacadas en los últimos años? Todos sabemos que le pasó lo mismo a Emmanuel Macron y a Boris Johnson... pero sus Gobiernos nunca lo judicializaron, nunca lo admitieron, nunca dieron fechas y la cantidad de gigas robados. Precisamente, para no darle pistas a los malos.

La explicación sólo puede ser política: ensombrecer un escándalo con otro. Porque la que dio el Gobierno, "somos transparentes, no tenemos nada que ocultar", en sí misma, no aporta nada. Sólo un más que posible descrédito por la "negligencia" ante los países de nuestro entorno -más o menos amigos, como, por ejemplo, Marruecos-, frente a los socios de la Unión Europea, y sobre todo en la relación con los aliados de la OTAN, cuando quedan apenas semanas para la cumbre de Madrid.

Dudas técnicas

1. ¿Por qué el CNI reconoce 18 espiados, pero el informe Citizen Lab los cifra en 63?

18 es la cifra de personalidades cuyo control fue autorizado por el Tribunal Supremo al CNI una vez autorizó las escuchas para investigar vínculos con los disturbios violentos del Tsunami Democràtic y con el Kremlin. El dato fue revelado por la jefa de los espías, Paz Esteban. Sin embargo, según el informe del centro Citizen Lab de la Universidad de Toronto, habría hasta 63 personas de la esfera independentista espiados a través de este software.

Las fuentes consultadas por EL ESPAÑOL expertas en materia de ciberseguridad observan este dato con suspicacia, al no conocerse la fuente de información de la que provienen el resto de nombres que añade el listado de la institución canadiense. Tampoco se sabe cuál es su fuente de información y por qué atribuyen con relativa seguridad el espionaje a instituciones del estado español. 

2. ¿Por qué el Gobierno ha dado veracidad al informe de Citizan Lab, que no es técnico?

Es otra de las grandes dudas del caso Pegasus. Con la publicación de ese dossier, el Gobierno comenzó eludiendo las respuestas sobre el mismo, sin negar que su contenido fuese verdad o mentira, para terminar reconociendo en parte su veracidad, dotándole así de valor y llenando de razones al sector independentista. 

3. ¿Por qué no se analizó antes el teléfono del presidente del Gobierno, tras las reiteradas alertas del CNI desde hace tres años?

Sobre el papel, al menos nueve informes del Centro Nacional de Inteligencia (CNI) alertaron a Moncloa y al presidente del Gobierno del peligro del software espía Pegasus. La mayor parte de los mismos iban firmados por los expertos del Centro Criptológico Nacional (CCN), el organismo de la inteligencia española dedicado a prevenir, detectar y responder a los incidentes de seguridad en los sistemas informáticos del Estado.

Es decir, que el Gobierno conocía de buena fuente -su organismo experto- el riesgo que suponía este virus comercializado por la empresa israelí NSO Group. Había recibido múltiples recomendaciones de los especialistas en ciberseguridad con el fin de extremar el cuidado ante estos ataques. Pese a ello, según el relato oficial confirmado por varios ministros, no fue hasta esta semana cuando se procedió a supervisar los dispositivos de los miembros del Ejecutivo.

Ese es el relato oficial. Lo que apuntan en cambio las fuentes consultadas expertas en inteligencia y en ciberseguridad por EL ESPAÑOL es que el Ejecutivo ya conociera de antemano que el móvil del presidente había sido infectado. Así, se reservó el dato, utilizándolo en esta ocasión, tras revelarse el espionaje al independentismo, con el fin de cambiar el foco del escándalo. 

4. ¿Es técnicamente posible detectar la infección de un teléfono por Pegasus en 48 horas, como se hizo con los de Pedro Sánchez y Margarita Robles?

El Pegasus es un virus específico, de gran potencia. No es posible detectarlo en ese período de tiempo, tal y como aseguran las fuentes consultadas. Por tanto, los datos sobre el ataque del software espía ya estarían en manos del Gobierno, quien encargaría este fin de semana un informe al respecto del mismo incluyendo esas averiguaciones posteriores. 

5. ¿Es cierto que nunca podrá determinarse quién infectó los móviles del Gobierno?

Técnicamente podría determinarse quién lo hizo, pero para ello habría que acceder a los servidores originales de quienes lo tengan. Es decir, los del Estado u organización que hubiera realizado el espionaje. Pero eso técnicamente imposible de saber, según los expertos. A no ser que alguien consiguiera la documentación que pudiera probar quién espió tanto a los independentistas como a los miembros del Gobierno. 

Pegasus cuenta también con una particularidad: como otros programas que permite enmascarar sus movimientos. Esas técnicas del programa permiten que puedas estar atacando o monitorizando un teléfono desde un servidor desde el que no operas físicamente. Con lo cual, lo cierto es que es realmente difícil conocer quién inyectó el software espía.