El CNI borró el rastro que dejó el ataque con Pegasus al teléfono de la ministra de Defensa

El Centro Nacional de Inteligencia (CNI) o más en concreto un funcionario del Centro Criptológico Nacional (CCN) borró por error algunos datos del terminal iPhone de la ministra de Defensa, Margarita Robles un año antes de que los funcionarios del CNI explorasen el terminal en busca de rastros del software Pegasus en su teléfono, el del presidente del Gobierno Pedro Sánchez, del ministro del Interior Grande-Marlaska y del ministro de Agricultura, Luis Planas. Fuentes de Inteligencia aseguran que el borrado se produjo por error y porque cuando ocurrió nadie buscaba rastros del citado software, en junio de 2021. Ante la imposibilidad del CNI de averiguar el origen de los ataques y la falta de colaboración de Israel, cuyo fabricante NSO Group es el fabricante y propietario de Pegasus, la Audiencia Nacional ha optado por el archivo la causa.

Un auto del Juzgado de Instrucción número 4 de la Audiencia Nacional que archiva la causa, destacaba este hecho, aunque matizándolo y el archivo de la causa por la falta de colaboración de las autoridades israelíes copó los titulares, pero este asunto sobre el iPhone de Robles pasó desapercibido. Sobre el análisis del teléfono de la ministra Robles, el juez explica que «se habría producido exfiltración de información del dispositivo de aproximadamente 9 Megabytes, si bien, dado que el dispositivo se restauró a fábrica en julio de 2021 se ha perdido la información referente a la base de datos DataUsage, por lo que la cantidad real de datos exfiltrados puede ser mayor. Asimismo, cabe destacar la importancia de las credenciales de iCloud ya que permiten la exploración del contenido de la cuenta durante varios meses después de la infección del dispositivo».

Es decir, que durante una revisión rutinaria del dispositivo el funcionario del CCN restauró el iPhone de la ministra en julio de 2021, dejándolo vacío, con los ajustes de fábrica y cuando en mayo de 2022 el juez de la Audiencia Nacional ordenó la investigación al CNI  se encontraron que por error un funcionario había restaurado por completo el teléfono de la ministra dejándolo con los ajustes de fábrica.

Por eso el CNI sí fue capaz de averiguar que el móvil de la ministra «presenta indicios de haber sido infectado con Pegasus en cuatro ocasiones, entre mayo y octubre de 2021. El nombre del proceso que ha sido detectado como dañino es «fservernetd», cuya primera aparición se observa el 18 de junio de 2021. Se observan evidencias de dicho proceso entre el 18 y el 23 de junio de 2021. Esto confirma que en dichas fechas el dispositivo estaba comprometido» y sigue el informe explicando que «la cantidad de información exfiltrada entre ambas fechas es la menos de 9 Megabytes (MB). Además se han encontrado inconsistencias en ficheros del sistema del iPhone entre el 5 de junio y el 10 de junio de 2021, lo cual denota un potencial síntoma de infección».

Traducido a lenguaje normal esto significaría que tras hacer un análisis del teléfono el CCN encontró que el terminal estaba «comprometido». Como los iPhones generan una base de datos con el consumo de datos de red que cada proceso conlleva los peritos pueden averiguar la cantidad de datos que ha salido del terminal, un proceso malicioso que en el caso de la ministra habría movido 9 MB por la red.

Pero en el caso de la ministra de Defensa eso significa que alguien, un funcionario del CCN porque es inconcebible que la ministra manipulase su propio teléfono «seguro», durante una revisión rutinaria debió «restaurar» el teléfono móvil. En su descargo hay que recordar que en aquellas fechas no se buscaba rastros de Pegasus en el teléfono de la ministra ni en el de ningún cargo del Gobierno.

No ocurrió lo mismo con el teléfono de Pedro Sánchez ya que encontraron actividad de Pegasus el 13 de octubre de 2020, 19 de mayo de 2021, 31 de mayo de 2021, 12 de junio de 2021 y 27 de diciembre de 2021 donde se llevaron 2,57 Gigabytes (GB) de información. En abril de 2021 Brahim Ghali, líder del Frente Polisario, opositor a Marruecos, permaneció internado en un hospital de Logroño recuperándose del Covid. Todos los ataques a los móviles del Gobierno español fueron perpetrados por el usuario [email protected], tomando el nombre artístico de una actriz alemana de 23 años.

En el caso del ministro del Interior la infección se produjo el 2 y 7 de junio de 2021, pero los procesos no dudaron solo dos días. La primera duró entre el 2 y el 5 de junio. La segunda duró al menos entre el 7 y el 23 de junio. En ambos ataques el hacker «sólo» se llevó 325 MB por red móvil y otros 78 vía WiFi, en total 400 MB. Hay que recordar que la madrugada del 24 de junio Marruecos permitió que miles de inmigrantes sudaneses asaltasen la valla de Melilla desde Marruecos, muriendo al menos 23 de estos inmigrantes en el asalto.

Marruecos relajó su guardia fronteriza en mayo de 2021, facilitando que 10.000 inmigrantes cruzaran la frontera en Ceuta y Melilla solo aquel mes hasta culminar con la tragedia de la valla de Melilla en junio. En marzo de 2023, tras el robo de datos con Pegasus, Pedro Sánchez, sin informar ni consultar al Congreso de los Diputados cambió sorpresivamente la postura del Estado sobre el Sahara poniéndose del lado del plan propuesto por Marruecos en 2007.

En todos los casos el CNI no pudo determinar el origen exacto de los ataques a pesar de conocer el nick del atacante y las fechas cuando entró en los terminales móviles.