La jefa del CNI avisó a Bolaños del riesgo de «robo de información» un mes antes del espionaje a Sánchez

En abril de 2021, la directora del Centro Nacional de Inteligencia, Paz Esteban López, dejaba claro en un escrito (con su firma) que la “proliferación de ataques dirigidos y el robo de información sensible representan una realidad incontestable”. La carta se incluía dentro de un manual técnico sobre los Sistemas de Comunicaciones Móviles Seguras, elaborado por el Centro Criptológico Nacional. El mismo organismo que ahora ha descubierto que el programa espía Pegasus robó información de los teléfonos de Pedro Sánchez y Margarita Robles en mayo y junio de 2021. Sólo un mes después de esa advertencia del CNI. El informe, al que ha tenido acceso OKDIARIO en exclusiva, fue enviado a la división responsable de seguridad informática de Moncloa, que en aquel momento dependía del actual ministro de la Presidencia, Félix Bolaños.

El Gobierno ha asumido en público con cierta sorpresa que los teléfonos móviles de al menos dos de sus máximos dirigentes, Sánchez y Robles, fueron interceptados por una herramienta informática de última tecnología diseñada en Israel para operaciones de alto espionaje. Sin embargo, cada vez son más las pruebas que demuestran que el Ejecutivo estaba al corriente del alto riesgo que suponen este tipo de programas, cuyo uso ya estaba muy extendido cuando se produjo la infección de los smartphones del presidente y la ministra de Defensa.

Las advertencias que recibió Moncloa antes, durante e inmediatamente después del episodio de Pegasus son abundantes. Una de ellas, la que ahora recoge OKDIARIO, tiene fecha del mes de abril de 2021. Un mes antes de la intrusión. Viene recogida en el documento Sistemas de Comunicaciones Móviles Seguras, que condensa en 41 páginas una Guía de Seguridad de las Tecnologías de la Información y la Comunicación. Lleva el código de identificación CCN-STIC 496.

Aviso a Bolaños

Aquel documento, como ocurre con este tipo de guías técnicas del CCN, fue enviado a las unidades ministeriales que gestionan las redes informáticas de cada departamento. En el caso de Moncloa, llegó a la Unidad de Comunicaciones de la Secretaría General de la Presidencia del Gobierno, que en aquel momento (abril de 2021) dirigía Félix Bolaños. Un departamento con competencias sobre los dispositivos al servicio del presidente del Gobierno.

De hecho, entre las funciones de estos departamentos -en cada ministerio hay uno- se encuentra, textualmente, «la realización de auditorías de los Sistemas de Información en materia de calidad y seguridad, de acuerdo con el Esquema Nacional de Seguridad». Eso explica que, como ha revelado OKDIARIO, el CCN instase a Moncloa en julio de 2021 a realizar una búsqueda activa de Pegasus en los móviles del Gobierno y que remitiesen los resultados a los servicios de información para su posterior análisis. No hay constancia de que se hiciese.

«Robo de información»

En las primeras páginas de ese informe, a modo de prólogo, se incluye una carta firmada directamente por la directora del CNI. En el escrito, Paz Esteban recuerda la necesidad imperiosa de “garantizar la protección de la capacidad económica, tecnológica y política de nuestro país”. Lo hace, aseguran, en vista a que “la proliferación de ataques dirigidos y el robo de información sensible representan una realidad incontestable”. Ataques dirigidos al robo de información sensible, una definición muy acorde a lo que ocurriría sólo un mes después en los terminales móviles de Sánchez y Robles.

“Hemos de ser conscientes de que la gestión adecuada de la ciberseguridad constituye un reto colectivo al que necesariamente hemos de enfrentar”, advertía Esteban. “Resulta imprescindible estar al día de las amenazas y vulnerabilidades asociadas al uso de las nuevas tecnologías. El conocimiento de los riesgos que se ciernen sobre el ciberespacio ha de servir para implementar con garantías las medidas, tanto procedimentales como técnicas y organizativas, que permitan un entorno seguro y confiable”.

«La experiencia del CNI»

Esa misión, recordaba Esteban, se debía realizar partiendo “del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de riesgos emergentes”. Cabe recordar que, pese a que no existe ninguna confirmación oficial, el CNI conoce en profundidad cómo opera Pegasus, ya que es uno de los clientes que contrató el servicio a la empresa israelí NSO Group, desarrolladora del software. Lo hizo previa autorización de la Agencia de Control de Exportaciones de Defensa (DECA) del Ministerio de Defensa de Israel, que es quien en última instancia otorga las licencias de uso y tiene potestad para revocarlas en caso de que se empleen de manera irregular.

La dirección del servicio de inteligencia efectuaba así un llamamiento a “implementar con garantías las medidas” de contraespionaje y a garantizar “la confidencialidad de los datos”. Y para ayudar al Gobierno a hacerlo, el documento incluía abundante información técnica sobre cómo protegerse de esos robos de información y hackeos. Y, dice, lo hace “con un claro objetivo: mejorar el grado de ciberseguridad de las organizaciones (…)  para que el personal de la Administración lleve a cabo la difícil tarea de proporcionar seguridad a los sistemas de las TIC bajo su responsabilidad”. Esos sistemas bajo su responsabilidad no son otros que los del propio Gobierno.

Más avisos

Pero este no es, ni mucho menos, el único aviso que emitió el CNI en las fechas que rodearon al espionaje a Sánchez y Robles, y que vienen a demostrar que el servicio de inteligencia y el Gobierno estaban al tanto de los graves riesgos a los que se enfrentaban en materia de ciberseguridad.

OKDIARIO revelaba este viernes un informe técnico del CCN, con copia enviada a Moncloa, en el que el servicio secreto explicaba cómo detectar Pegasus en los teléfonos del Gobierno. Instaba, además, a realizar los análisis pertinentes y enviar la información resultante al servicio de inteligencia, para poder determinar así si hubo una infección. Sea como fuere, Moncloa no dio la voz de alarma hasta este pasado lunes en una rueda de prensa convocada de urgencia.