LinaKeller2023: ¿Quién está detrás del perfil falso que robó datos del móvil de Pedro Sánchez?

  • La Audiencia Nacional desiste de localizar al asaltante informático ante la falta total de colaboración de la Justicia de Israel, donde radica la empresa NSO, creadora de Pegasus

  • Los expertos del CNI tampoco fueron capaces de identificar al intruso, que utilizó una url del servicio web de Amazon para dirigir los datos

  • Los piratas informáticos entraron en el móvil del presidente y tres ministros tras una cuenta con un nombre similar al de una actriz alemana de reparto

La Audiencia Nacional ha desistido. Después de 14 meses de investigación, de cuatro informes por parte del Centro Nacional de Inteligencia, de los análisis de expertos del Centro Criptológico Nacional, de tomar declaración a la jefa de la inteligencia española, y de pedir ayuda sin éxito por cuatro veces a la Justicia de Israel, que ni siquiera ha contestado, el juez José Luis Calama ha cerrado la investigación del caso Pegasus tras llegar a una vía muerta. Según su decisión, no hay forma de saber, al menos sin cooperación internacional, quién está detrás de la cuenta LinaKeller2023, que sirvió para implantar el software espía Pegasus y robar información confidencial del teléfono del presidente del Gobierno Pedro Sánchez y de dos de sus ministros: Margarita Robles, Fernando Grande-Marlaska, además de intentar atacar también el móvil del ministro de Agricultura, Luis Planas.

Basta una simple búsqueda en Google para localizar al usuario más famoso de la red con ese nombre: Lina Keller, una actriz alemana conocida por su participación en varias series de televisión y películas como Morris From América, rodada en 2016. Sin embargo, nada de este caso tiene que ver con ella. Los informes del Centro Criptológico Nacional reflejan que los teléfonos del presidente y el resto de los miembros del ejecutivo afectados fueron pinchados en primavera de 2021 por medio de una cuenta que lleva este nombre, y en concreto una dirección de correo de Google: linakeller2203@gmail.com. Los repositorios de seguridad online reflejan que esta dirección es una de las empleadas de forma tradicional por la empresa NSO para colocar su exploit en correos electrónicos de la aplicación Icloud. Es decir: para explotar agujeros de seguridad y robar datos tras abrir una brecha.

Además, los expertos del CNI confirmaron la entrada en el móvil del presidente con otro elemento concreto: la localización en su terminal de un proceso llamado “aggregatenotd”. De una forma esquemática, los sistemas operativos trabajan con una serie de procesos que tienen una nomenclatura específica, que nunca se repite. Eso ayuda a los expertos en seguridad a identificar los que son normales corriendo dentro del sistema, o los que provienen de programas externos, bien que funcionan de forma voluntaria ya que el usuario los ha instalado, o que son lanzados, como en este caso, por elementos maliciosos. Si algún nombre no pertenece al sistema, puede ser sospechoso. 

En el caso de Pegasus, el malware hace correr un proceso para robar los datos que no corresponde al sistema operativo, pero que para camuflarse emplea un nombre muy similar a otro autorizado (aggregated), de una forma similar a las falsificaciones de ropa que varían alguna letra de una marca para intentar burlar la normativa. Según los agregadores de seguridad informática, hay casi un centenar de estos procesos documentados, elementos que lanza el software espía al corazón del teléfono para funcionar. El primero de ellos se encontró en el terminal de Pedro Sánchez por los expertos del CNI y estuvo operativo según los técnicos hasta el 22 de mayo de 2021. Desde la primera instrucción el 13 de octubre de 2020, el móvil del presidente sufrió un robo de “al menos” 2.57 gigas de datos. ¿Por qué los datos no son más concisos? Porque los analistas solo contabilizan la información robada por este proceso en concreto, pero no descartan que hubiera más funcionando sin que hayan sido identificados. De hecho, los expertos localizaron en fechas posteriores un segundo proceso conocido de Pegasus en el móvil de Sánchez, llamado “Hmdwatchd” y por el que pasaron 130 megas también con destino desconocido. 

Un limpiado en el móvil de Robles

En el móvil de Margarita Robes, los expertos detectaron otro de estos procesos maliciosos, llamado “fservernetd”, que sirvió para abrir otro agujero que robó datos por medio de la cuenta de correo linakeller2203@gmail.com. Sin embargo, parte de la información que pudiera contener el móvil de Margarita Robles sobre los datos de su atacante se han perdido, ya que el Centro Criptológico Nacional restauró el terminal a su estado de fábrica en julio de 2021, y con ello se perdió la base de datos “netusage.sqlite”, una recopilación que el sistema hace por defecto, y que contiene datos como el consumo de red que hacen cada uno de los procesos que corren en un terminal de Apple.

Los expertos del Centro Criptológico Nacional detectaron además que el software Pegasus había modificado otra de las bases de datos por defecto del sistema operativo del terminal de la ministra de Defensa, llamada DataUsage, por lo que a su juicio los valores allí reflejados no son reales: “La cantidad real de datos exfiltrados puede ser mayor”. Es decir, que los expertos sospechan en sus informes que el robo de información fue en realidad, más grande de lo que técnicamente pueden tasar.  En el caso del ministro del Interior, los expertos localizaron otros tres procedimientos atribuidos a Pegasus en su terminal y determinaron que los datos habían sido robados tanto por Wifi como por la red de telefonía. Para ello, los atacantes utilizaron de nuevo el correo de Gmail con el nombre de Lina Keller. De su terminal robaron en total “al menos” 6,5 gigas, un volumen de información similar al de una película comprimida en alta definición. 

Una dirección de un servicio de Amazon

Así, los técnicos del Centro Criptológico Nacional determinaron que para ellos, era imposible saber quién estaba detrás de la cuenta LinaKeller2023, del correo electrónico Linakeller2203@gmail.com o de la persona que hizo servir una API de Amazón para redirigir los datos hasta un lugar sin determinar. Cabe recordar que tanto Amazon como Gmail tienen su sede a efectos legales en Estados Unidos, pero este país no ha sido preguntado.

El caso quedó entonces en manos de la Justicia español, que tras la querella presentada por la Abogacía del Estado en nombre del Gobierno, pidió ayuda a Israel para que fuera la propia NSO, empresa creadora de Pegasus, la que aportase datos sobre quién está detrás de esas cuentas por un presunto delito de revelación de secretos. La primera comisión rogatoria llegó en abril de 2022 y se amplió en junio de ese mismo año. La Audiencia Nacional volvió a solicitar ayuda por medio de un recordatorio en septiembre del año pasado. Desde entonces, Israel ni siquiera ha contestado a los requerimientos ni ha dado acuse de haber recibido la petición por parte de la Justicia española. Para ellos, esta solicitud parece que ni siquiera existe. Después de tres comunicaciones oficiales, nada. El último recordatorio antes de desistir se hizo en abril de este mismo año. “Lo que está recibiendo España es básicamente el mismo servicio que paga cuando es ella la que utiliza el software Pegasus”, explica un experto en seguridad a NIUS que conoce bien este tipo de softwares espía y su comercialización en Europa. Ante la falta de datos, el juez encargado del caso ha decidido archivar. No habrá más preguntas a Israel, ni a EEUU ni a Google o Amazon. Por el momento, nadie sabrá quién se esconde detrás de la cuenta de Lina Keller. La falsa Lina Keller, que no es actriz de cine en Alemania, si no ciber-espía internacional a sueldo de quien pueda pagarla.