Los expertos corrigen a Sánchez: el CNI no es el único responsable del ataque con Pegasus

«Un fallo en la seguridad de las comunicaciones del Gobierno». Fue el argumento que empleó este miércoles el presidente del Gobierno, Pedro Sánchez, para justificar la destitución de la ya exdirectora del Centro de Inteligencia Nacional (CNI), Paz Esteban. El jefe del Ejecutivo aclaró así que fue un error de los servicios secretos el que permitió al programa israelí Pegasus infectar los móviles del presidente, la ministra de Defensa, Margarita Robles y el ministro del Interior, Fernando Grande-Marlaska —e intentarlo en el caso del titular de Agricultura, Luis Planas— y robar cuantiosa información de los terminales entre mayo y junio de 2021. Una cuestión que, por otro lado, ya investiga la Audiencia Nacional.

Depuradas ya las responsabilidades políticas por parte del Gobierno, sin embargo, no está del todo claro que el CNI fuese el único responsable en el espionaje a miembros del Ejecutivo hace un año. Distintas fuentes expertas en materia de seguridad del Estado, así como las normativas consultadas por THE OBJECTIVE, deslizan que la seguridad de los dispositivos del presidente y los ministros no solo era cuestión del Centro Criptológico Nacional (CNN), adscrito al CNI, sino también de la Secretaría General de Presidencia, y en concreto del Departamento de Seguridad de Moncloa.

Dirigido por la comisaría María Marcos desde 2018, es el órgano encargado de la protección del personal, edificios e instalaciones del Complejo de la Moncloa, así como las funciones y actuaciones necesarias para la seguridad integral del presidente del Gobierno y otras personas que determine la persona titular de la Dirección del Gabinete de la Presidencia del Gobierno, a cargo de Félix Bolaños durante el periodo en el que los terminales fueron espiados por el software israelí.

Presidencia y CNI

En este sentido, el real Decreto 634/2021, en el que se reestructura la Presidencia del Gobierno, también dice en su artículo 5 que el Departamento de Coordinación Técnica y Jurídica se encarga, entre otras cuestiones, de la «gestión y la coordinación de los sistemas de comunicaciones en el ámbito de la Presidencia del Gobierno y del Ministerio de la Presidencia, Relaciones con las Cortes y Memoria Democrática. Y presta el servicio de Gabinete de Comunicaciones de los Altos Cargos de la Administración General del Estado».

De igual forma, el artículo 2 del Real Decreto 421/2004, por el que se regula el Centro Criptológico Nacional, establece que le corresponde las competencias de la ciberseguridad de las comunicaciones del Ejecutivo. En concreto, dice que, entre sus funciones, está «la seguridad de los sistemas de las tecnologías de la información de la Administración que procesan, almacenan o transmiten información en formato electrónico, que normativamente requieren protección, y que incluyen medios de cifra», así como «la seguridad de los sistemas de las tecnologías de la información que procesan, almacenan o transmiten información clasificada».

Dimisión de Paz Esteban

Pese a esta doble competencia en la seguridad y gestión de los dispositivos telefónicos, el Ejecutivo puso el foco sobre la responsable del CNI cuando el informe del Centro Criptológico Nacional (CCN) dio a conocer que tanto Pedro Sánchez como la ministra de Defensa habían sufrido infecciones de Pegasus en sus dispositivos móviles. Y aceleró su destitución, planeada días atrás, según publicó THE OBJECTIVE, después que los análisis del CCN desvelasen que Marlaska y Planas también habían sido espiados. Lo que evidenciaba una importante una brecha de seguridad de los servicios secretos. Todos los miembros del Ejecutivo entregaron sus terminales al CNN poco después de que The New Yorker desvelase que 60 independentistas catalanes habían sido espiados a través del software israelí entre 2017 y 2020.

Así las cosas, el Gobierno, o la mayor parte de él, siempre tuvo clara la responsabilidad del CNI en el caso Pegasus. La única voz discordante fue la de propia titular de Defensa, Margarita Robles, de quien depende la agencia de inteligencia española. En una encarnizada defensa del centro ante el Congreso, Robles hizo alusión a que «las normas» indicaban que la gestión de la seguridad de los teléfonos móviles no dependía de su departamento. Una afirmación con la que la ministra dejaba caer que la responsabilidad también recaía en la Secretaría General de Presidencia del Gobierno, entonces bajo el mando de Félix Bolaños, y, en concreto, del Departamento de Seguridad de Moncloa.

«La tarea del CNI es advertir»

Y es en este punto donde coinciden las fuentes consultadas por este periódico, aunque estableciendo diferencias operativas. «Aquí hay dos cosas distintas. La protección frente a cualquier ciberamenaza depende del CNI. Es competencia suya si ocurre en cualquier administración pública, ya sea en la Casa Real o en el ayuntamiento de la localidad más pequeña. Esto significa que detecta las amenazas y da las instrucciones a las entidades en cuestión para que tome las prevenciones necesarias», explica una fuente de total solvencia. 

Pero esto, en ningún caso, sostiene este experto, significa que el «CNI revise móviles» o cualquier otro dispositivo electrónico. «En la práctica, si se detecta un problema de seguridad del presidente, es el Ministerio de la Presidencia, y en concreto, el departamento de seguridad de Moncloa quien debe poner en marcha el dispositivo que considere». Este órgano, integrado por policías y guardias civiles, es el encargado de la seguridad a todos los niveles: presidente, vicepresidentes, director de gabinete, etc», asegura. 

Esta unidad, no obstante, no depende del Ministerio del Interior, sino que se coordina con este último para solicitar los recursos que crea necesarios para poner en marcha cualquier dispositivo de seguridad. «Al CNI no se le puede echar la culpa de si se revisa un móvil o no, porque su tarea es advertirlo, no ejecutar las revisiones o verificar que se están cumpliendo con esas medidas de prevención». «Otra cosa es que el CNI no hubiese sido capaz de advertir del riesgo y poner medios a su alcance», reflexiona. 

‘Lobo solitario’

Como prueba del papel que juega esta oficina en la seguridad del presidente, las mismas fuentes recuerdan un ejemplo: la detención en 2018 de Manuel Murillo, el lobo solitario que contaba con un gran arsenal de armas y planeaba matar a Pedro Sánchez por haber exhumadoa Franco del Valle de los Caídos. La operación que culminó con su envió a prisión —posteriormente fue condenado en los tribunales— fue llevada a cabo por los Mossos d’Esquadra, pero fue coordinada en todo momento por la comisaría de Moncloa. De hecho, la noticia no trascendió hasta tres semanas después por decisión de este departamento, que inicialmente optó por tratar la cuestión con discreción.

En la misma línea, otro experto en materia de inteligencia advierte que los funcionarios del centro de inteligencia dictan normas para garantizar sistemas de seguridad, pero no pueden obligar a ningún organismo a adoptarlas. «Los servicios de inteligencia han trabajado con total transparencia, avisando a quien tenían que avisar de los riesgos». «La seguridad del presidente depende de Moncloa, y es su responsabilidad establecer qué soluciones lleva a cabo», asevera.

Este punto fue confirmado también por el propio Gobierno en una respuesta parlamentaria a Vox, en septiembre de 2020. El partido de extrema derecha preguntó al Ejecutivo en qué consistía el trabajo de «rastrear las redes» en el dispositivo de seguridad de Pedro Sánchez, de quien dependían los agentes que lo llevaban a cabo y si el CNI también participaba en el mismo. «La seguridad integral (física o comunicaciones, entre otras) del presidente del Gobierno depende del Departamento de Seguridad de Presidencia del Gobierno, tanto en el Complejo de la Moncloa como en cualquiera de sus desplazamientos. En el dispositivo de seguridad no participan miembros del CNI», reza la respuesta.

La seguridad en los ministerios

De quién depende la seguridad del terminal de un miembro del Ejecutivo que no sea el presidente o un vicepresidente del Gobierno, como en el caso del ministro del Interior o de la titular de Defensa, cuyos terminales también fueron espiados por Pegasus, es una cuestión sobre la que las fuentes consultadas plantean dos escenarios. 

Por un lado, los expertos aseguran que los dispositivos de los ministros también son responsabilidad de la Secretaría General de Presidencia. De hecho, fuentes del Ministerio de Trabajo, que en las últimas semanas ha llevado a cabo un análisis de los terminales de los funcionarios ante el riesgo de haber sido infectados por Pegasus, explicaron a THE OBJECTIVE que en el caso de altos funcionarios y de la ministra, ese trabajo correspondía directamente al Palacio de la Moncloa. Frente al caso del resto de empleados públicos, cuyos móviles han sido revisados por informáticos del Ministerio. 

Y por otro que, en cualquier caso, todos los departamentos del Gobierno, en mayor o menor medida, cuentan con unidades y responsables de seguridad, quienes se encargan de «hacer barridos periódicos en teléfonos, móviles y ordenadores» y advertir de cualquier anomalía que pueda producirse.