El CNI descubre que hay un método para lograr crear falsos positivos de Pegasus en iPhone

El Centro Nacional de Inteligencia (CNI) ha descubierto la existencia de un método para dejar una huella del software Pegasus en teléfonos móviles iPhone. Es una manera de hacer creer que un terminal concreto ha sido infectado cuando en realidad se trata de un falso positivo. Esta táctica constituye un problema real ya que resulta muy difícil, aunque no imposible, discernir si un dispositivo ha sido atacado o si verdaderamente se trata de una autoinfección sin espionaje real.

Tal y como ha podido saber OKDIARIO, los servicios de inteligencia han descubierto una aplicación que permite infectar cualquier terminal iPhone con un falso rastro del software israelí. Desde hace varios días, los profesionales del Centro Criptológico Nacional (CCN), adscrito al CNI, trabajan sin descanso para determinar detalles sobre el origen de este tipo de ciberataques. El riesgo del uso de esta táctica es grande ya que esta aplicación es gratuita y cualquier persona con unas habilidades tecnológicas mínimas podría instalarla en su teléfono móvil.

Cuando Pegasus entra en un teléfono móvil sólo hay dos maneras de desinstalarlo: que lo haga de manera remota el atacante o que simplemente se desinstale sólo. Esta última opción ocurre cuando durante un tiempo determinado el software israelí no tiene una actividad real dentro del dispositivo. En cualquier caso, cuando Pegasus desaparece de un teléfono móvil deja un rastro, una huella digital que permite demostrar que en algún momento el software estuvo ahí.

Precisamente, ha sido esta huella la que ha permitido al CCN detectar que los teléfonos de Pedro Sánchez, Margarita Robles y Fernando Grande-Marlaska han sido infectados. Mientras que el teléfono del presidente del Gobierno sufrió un robo de información de 2,6 gigas y 130 megas, la ministra de Defensa perdió el control de 9 megas. Sin embargo, no se conoce a cuánto asciende la cantidad de datos robados al ministro del Interior. En estos momentos, tampoco se sabe qué tipo de información se ha extraviado, si se trata de datos relevantes para el Estado o de índole personal.

Activar el micrófono y el GPS

La Ley de Secretos Oficiales impide por completo a Paz Esteban, directora del CNI, o a cualquier miembro de la organización revelar ningún detalle sobre las pesquisas del falso positivo de Pegasus que hoy revela OKDIARIO. Por este motivo, hemos contrastado la táctica con Carlos Seisdedos, responsable de Ciberinteligencia en IsecAuditors, que nos confirma que todo esto sí es posible.

El CNI alertó por escrito a Moncloa en julio de 2021 que la cantidad de tareas que Pegasus puede hacer una vez está infiltrado en el interior de la memoria de un dispositivo móvil es brutal: “Además, dispone de la capacidad de acceder a prácticamente cualquier información almacenada en el dispositivo o de realizar acciones sobre el mismo como la activación del micrófono, grabación de llamadas, acceso al posicionamiento GPS o captura de las páginas web visionadas, entre muchas otras”.

Además, el CNI pidió en ese informe a los altos cargos del Gobierno que revisaran sus teléfonos móviles y que remitiera la conclusión de esa revisión al Centro Criptológico Nacional. Pero es que las facilidades que el CNI puso a los miembros del Gobierno fueron mucho más allá, ya que los servicios de inteligencia crearon un enlace específico para que se remitiera el fichero con el resultado de análisis y se enviara de manera automática. Y, por si el alto cargo que hiciera esta comprobación de seguridad tenía cualquier disyuntiva, el CNI también habilitó una dirección de correo electrónico constituida ad hoc para la resolución de dudas.

Los servicios de inteligencia avisaron entonces de la peligrosidad de que los teléfono móviles de los miembros del Gobierno fueran infectados con este software y, sobre todo, la facilidad para que esto ocurriera sin que nadie se diera cuenta: “Permite en algunos casos infectar el dispositivo sin que su usuario realice ninguna acción previa ni sea consciente del compromiso posterior”.