La comisión de secretos oficiales se reúne por primera vez esta legislatura el próximo jueves en el Congreso de los Diputados. Comparecerá a petición propia la directora general del CNI, Paz Esteban que deberá de responder a las principales dudas que rodean el caso del espionaje con el programa Pegasus al entorno independentista catalán y a miembros del Gobierno, incluido su presidente, Pedro Sánchez. En paralelo, la Audiencia Nacional ya ha dado los primeros pasos para averiguar quién está detrás de este ciberataque, aunque algunos expertos creen que será difícil descubrir a su autor.
Son muchas las dudas en torno a este espionaje, aunque no hay mucha confianza en que la máxima responsable del CNI aporte las explicaciones necesarias, más aún cuando arrecian las peticiones para que sea cesada por el Gobierno.
Entre las dudas evidentes sobre las implicaciones del uso del programa espía Pegasus, la responsable del CNI deberá de aclarar cómo y cuándo se produjo el espionaje a los líderes independentistas y a los miembros del Gobierno, qué datos han quedado expuestos tras el ciberataque, quién podría estar detrás del espionaje al presidente del Gobierno y la ministra de Defensa y qué seguridad y control tienen los dispositivos de las altas autoridades del Estado.
Por el momento ya sabemos que el Centro Criptológico Nacional, el mismo órgano que detectó que los teléfonos móviles del presidente del Gobierno, Pedro Sánchez, y de la ministra de Defensa, habían sido espiados mediante Pegasus, va a analizar los terminales de diputados y senadores para averiguar si han sido o no infectados.
Los análisis se acometerán, eso sí, una vez que finalice la comprobación de los teléfonos institucionales de todos los miembros del Ejecutivo tras revelar ayer el propio Gobierno que los de Sánchez y Robles sufrieron ataques en mayo y junio de 2021 que permitieron la extracción ilegal de información almacenada en ambos terminales.
La mayoría de los grupos parlamentarios que votaron la investidura del presidente del Gobierno, Pedro Sánchez, se han mostrado a favor de que el Congreso audite los móviles de los diputados.
El ministro de la Presidencia, Félix Bolaños, anticipó que el Gobierno adoptará medidas para garantizar la seguridad de las comunicaciones en todos los organismos oficiales, incluidas comunidades autónomas y ayuntamientos.
Expertos en ciberseguridad como Antonio Hita, de Canaliza Security, creen que "es muy difícil saber qué tipo programa maligno se ha utilizado para infectar los móviles del presidente y de la ministra de Defensa porque no hay pruebas de tipo técnico con las que se pueda distinguir que haya sido Pegasus u otro sistema espía del mismo tipo".
Rafael Palacios, jefe de estudios de Ingeniería de Telecomunicaciones y Seguridad de la Universidad de Comillas-ICAE, también apunta a la posibilidad de que detrás de estos espionajes haya un programa diferente a Pegasus, "un gobierno potente tiene la capacidad de desarrollar su propio programa espía, aunque suelen usarlo con mucho cuidado para no ser descubiertos".
Por eso, en el caso de una potencia extranjera como Marruecos o Rusia, el espionaje al móvil del presidente del gobierno se habría usado "un programa propio beneficiándose de vulnerabilidades solo descubiertas y conocidas por ellos".
Antonio Hita apoya esta idea al afirmar que "es muy difícil saber qué tipo de sistema malware se ha utilizado para infectar los móviles del presidente y de la ministra de Defensa porque no hay pruebas de tipo técnico con las que se pueda distinguir que haya sido Pegasus u otro sistema espía del mismo tipo".
En este sentido, ha aclarado Hita que éste no es el único del mercado, sino que hay otros muchos. "No hay una firma que te diga que por los indicadores de compromiso --el rastro-- que ha dejado la intrusión haya sido un sistema u otro", ha precisado, afirmando en este sentido que, aunque "hay indicadores de compromiso" estos son "comunes y no exclusivos de Pegasus".
Según Rafael Palacios, programas como Pegasus se aprovechan de las vulnerabilidades de los sistemas operativos que soportan los dispositivos móviles, por ello, asegura, "lo primero es tener actualizado nuestro teléfono", aunque recuerda que "siempre existen vulnerabilidades que si no están publicadas solo son conocidas por los atacantes. Eso sí, una vez descubiertas, esta puerta se cierra a la intromisión", concluye.
Para este experto, los análisis de tráfico de datos o la carga de trabajo puntual de teléfono guardan una de las pistas más certeras para detectar con contagio con un programa espía ya que "una vez que consiguen entrar explotando las vulnerabilidades, los atacantes tienen acceso a toda la información el dispositivo. La única manera de extraer los datos es usando la propia conexión del móvil". Por eso, "el método de infección y la información comprometida depende mucho del tipo de móvil y de la versión del sistema operativo que esté instalado.
Como ejemplo, Palacios explica el caso de espionaje al dispositivo del dueño de Amazon. Jeff Bezos, vio comprometido su teléfono con un programa espía que se autodestruyó al ejecutar su misión. Los expertos de la empresa que analizaron el ciberataque hallaron un pico en el tráfico de datos hacia el exterior durante un tiempo determinado.
La complicación en el rastreo e identificación de estos procesos de espionaje de los dispositivos móviles es lo que lleva a Antonio Hita a descartar que se pueda averiguar quién ha ordenado la infección de los móviles del Gobierno y no cree que la Audiencia Nacional sea capaz de descubrirlo ni aun recurriendo a expertos técnicos que ayuden a descifrarlo.
En este sentido, ha añadido que, aunque NSO Group --la creadora de Pegasus-- declara que solo vende el sistema a gobiernos, lo cierto es que en el mercado hay muchos más actores que producen programas malignos y, por lo tanto, cree que puede que no solo lo tengan los gobiernos.
En el caso de los móviles del presidente y de la ministra de Defensa, explica que no tienen por qué haber estado infectados todo el tiempo desde que sufrieron el ataque. Asegura en este sentido que suele ser una estrategia más sutil, de tal manera que se puede infectar el móvil, extraer la información que quieran y luego salir y borrar. Precisamente este borrado es uno de los rastros.
Al ser preguntado si es creíble que los móviles hayan sido infectados hace casi un año y no se haya sabido hasta ahora, Antonio Hita ha explicado que es normal que haya un tiempo entre la infección y las sospechas de que la hay, que normalmente son por un comportamiento extraño del móvil, como descargarse más rápido o reiniciarse.
Además, desconoce qué tipo de análisis se está llevando a cabo de los terminales y señala que un análisis forense puede llevar meses si se hace de manera manual.
No obstante, aclara que en la actualidad hay sistemas de software de origen israelí, como el que maneja la empresa para la que trabaja, que permiten la detección de la infección del terminal en minutos. Se trata, señala, de un sistema innovador, puntero, que solo lleva un par de años en el mercado.
Así, explica que este software utiliza herramientas de inteligencia artificial que permiten determinar que un móvil no se comporta como los demás y automatizan el proceso para buscar las anomalías por lo que la detección de la infección es más rápida. No obstante, desconoce si el CNI utiliza este tipo de software o si el análisis se realiza de manera manual.