Marruecos infectó con Pegasus el móvil de Pedro Sánchez durante un viaje a Ceuta

Han pasado casi cinco años del episodio del espionaje del móvil del presidente del Gobierno, Pedro Sánchez, con el software israelí Pegasus, sin que hasta el momento se haya podido demostrar quién y cómo logró infiltrarse en un teléfono con un altísimo nivel de cifrado. La investigación judicial del caso, ocultado durante un año por Moncloa, no logró avanzar por la imposibilidad técnica de rastrear el pinchazo, aunque todas las sospechas apuntan a la autoría de Marruecos. Ahora, nuevos datos aportados a THE OBJECTIVE por fuentes de inteligencia confirman esa hipótesis: los servicios de inteligencia marroquíes aprovecharon una «ventana de oportunidad» para aislar —mediante un dispositivo denominado IMSI-Catcher— y pinchar el teléfono presidencial durante una visita de Sánchez y el ministro Fernando Grande-Marlaska a Ceuta y Melilla.

Los expertos en ciberseguridad llevan años insistiendo en la extrema dificultad que supone investigar una infección con el spyware israelí Pegasus. Principalmente, por la escasa huella que deja, lo que convierte en tarea prácticamente imposible saber qué se ha robado y quién lo ha hecho. Pero el modus operandi usado por quien espió a Sánchez, Marlaska y Margarita Robles, comparado con las huellas que dejaron otros espionajes a ciudadanos franceses, marroquíes y saharauis, va despejando las dudas. A día de hoy, entre la inteligencia española no existe duda alguna: fue Marruecos.

Uno de los hechos incontestables que el CNI pudo probar durante la investigación es la fecha exacta del primer —y mayor— robo de datos al móvil de Sánchez: ocurrió el 19 de mayo de 2021. Ese día, Ceuta seguía inmersa en la crisis provocada por el asalto masivo de más de 10.000 personas a la ciudad autónoma, un movimiento diseñado por Marruecos como protesta por haber dado cobijo médico a Brahim Ghali, líder del Frente Polisario y enemigo declarado del rey Mohamed VI.

Sobrevuelo de la frontera en Ceuta

Ese día fue el robo, pero la infección con Pegasus se produjo antes. 24 horas antes, concretamente, según fuentes consultadas por TO. El 18 de mayo de 2021, Sánchez viajó junto a Grande-Marlaska a Ceuta para comprobar sobre el terreno los efectos del asalto masivo del día anterior. Lo calificó como «una grave crisis para España y para Europa».

En ese desplazamiento, Sánchez y Marlaska mantuvieron una reunión con técnicos de Interior en el Centro Operativo de Seguridad en la frontera de El Tarajal, epicentro del asalto situado a escasos metros de territorio marroquí. Posteriormente, el presidente y el ministro, acompañados de un reducido grupo de miembros del equipo presidencial, sobrevolaron en helicóptero El Tarajal.

El vuelo incluso fue grabado y difundido por Moncloa a los medios, en unas imágenes en las que casualmente se ve a Sánchez con la mano sobre su teléfono móvil mientras habla con Marlaska. Después de aquello pusieron rumbo a Melilla. El vuelo se hizo sobre el mar, evitando acercarse a la costa marroquí por «cuestiones de seguridad».

La hoja de ruta del viaje a Ceuta y Melilla fue, analizan ahora las fuentes consultadas, una «muy mala decisión que debió evitarse». Fue la «ventana de oportunidad» que tuvo Marruecos para poder identificar sin ningún género de dudas cuáles eran los terminales que utilizaban Sánchez, Marlaska y otros asesores cercanos de ambos. «Se pusieron a tiro», explican expertos en los sistemas denominados IMSI-Catcher (literal: captador de identidad de suscriptor móvil internacional) o StingRay que había adquirido la inteligencia marroquí.

Un StingRay marroquí

Estos dispositivos, del tamaño aproximado de una maleta, permiten capturar la señal de un teléfono móvil e incluso se hacen pasar por falsas antenas de telefonía a las que se conecta el dispositivo, aportando una serie de información técnica. Es como mostrar el número del DNI —códigos ISMI e IMEI de un terminal— a un supuesto agente de Policía que resulta ser falso. El móvil de Sánchez mostró su DNI el mismo día en tres ubicaciones diferentes: en El Tarajal, en el sobrevuelo a Ceuta y en Melilla. Solo el presidente y su séquito, explican las fuentes consultadas, estuvieron en esas tres geolocalizaciones ese mismo día, permitiendo «tres ventanas de muestreo» para identificar a Sánchez (que en ese momento llevaba dos teléfonos encima) y sus acompañantes y aislar la firma de sus dispositivos.

Todas las fuentes consultadas para elaborar esta información coinciden en destacar el papel clave que esos dispositivos, denominados IMSI-Catcher, pudieron tener en el pinchazo a Sánchez. Marruecos, aseguran, dispone de varios de estos dispositivos en su modelo portátil. Fueron adquiridos por la Dirección General de Seguridad Nacional (DGSN) a la empresa alemana Rohde & Schwarz. También dispone de otros dispositivos similares de uso militar, adquiridos más recientemente a la israelí Elbit Systems (propietarios, por cierto, de la empresa de munición israelí IMI a la que Sánchez canceló contratos millonarios para la Guardia Civil). El alcance técnico de esa variante militar, que puede instalarse incluso sobre un dron, podría cubrir la totalidad de Ceuta y Melilla, simplificando una operación como la de Sánchez.

Un ataque zero-click

Según explican, es imposible saber qué teléfono fue infectado en primer lugar. Pero una vez vulnerado uno —y su agenda de contactos—, la infección saltó rápidamente a los teléfonos de los objetivos de alto nivel buscados por Marruecos. Los detalles técnicos sobre la infección detectada apuntaron a que esta se produjo por dos técnicas: «Mediante one-click [que requiere que la víctima pulse un enlace] o zero-click. La variante zero-click es más sofisticada y difícil de detectar, pero se ve enormemente facilitada por el empleo previo de un IMSI-catcher, ya que este dispositivo permite identificar el objetivo exacto, interceptar su tráfico e incluso degradar selectivamente la red para inyectar el exploit [un código o instrucción maligna] en un entorno controlado», apunta uno de los expertos consultados.

Traducido: en el trasiego de conexiones furtivas del móvil de Sánchez y sus acompañantes a esos dispositivos marroquíes, que hacían de falsas torres de telefonía, Pegasus logró acceder a las tripas sin ser detectado. Según apuntan fuentes conocedoras de detalles no revelados «ni ante la justicia», la inteligencia marroquí habría usado con Sánchez una técnica zero-click. Es decir, no hizo falta que pinchase ningún enlace, abriese una foto o cogiese una llamada desconocida, como se ha especulado hasta ahora.

De hecho, el uso de esa táctica también apuntalaría la autoría de Marruecos. La inteligencia de Rabat utilizó ese mismo modus operandi para infectar los móviles de dos periodistas marroquíes, Imar Radi y Maati Monjib. La huella que dejó en sus dispositivos Pegasus fue muy similar a la que quedó en los terminales del Gobierno español.

Un vuelo israelí a Málaga

Sánchez, según sospechan quienes han investigado el episodio, no tuvo que hacer nada para infectarse con Pegasus, algo que, como apuntan estas fuentes, ocurrió ese 18 de mayo de 2021. Al día siguiente, el 19 de mayo, se produjo el robo de información de su terminal. Y pocas horas más tarde, tal y como ha publicado TO este pasado miércoles, la seguridad del Estado dio la voz de alarma.

El día 20 de diciembre se produjo el primer encuentro con personal israelí de NSO Group, fabricante de Pegasus, que voló de urgencia a Málaga. Fue el primero de los vuelos y contactos que vendrían en semanas posteriores, cuando el Gobierno entró en pánico al no saber a qué atenerse con el material robado por, como todo apunta, Marruecos.

Sobre el papel que el CNI pudo jugar en todo el proceso, consultado el servicio por este diario, señalan que «no respondemos a ninguna cuestión relativa a actividades, organización, estructura, medios, personal y bases de datos, clasificados como secreto por la ley 5.1 de la ley 11/2002».