Cinco años han pasado desde que se destapó el caso Pegasus en nuestro país, pero hasta ahora no había quedado claro cómo Marruecos logró infectar un teléfono con los niveles de seguridad del presiente del Gobierno, Pedro Sánchez. La investigación judicial se estancó por la falta de colaboración israelí y las limitaciones técnicas para rastrear este tipo de ataques. Sin embargo, nuevos datos aportados por fuentes de inteligencia permiten reconstruir lo que ocurrió.
El 18 de mayo de 2021, Pedro Sánchez viajó a Ceuta acompañado por el ministro del Interior, Fernando Grande-Marlaska. La ciudad autónoma vivía horas de caos después del asalto masivo de más de 10.000 personas al día anterior, una maniobra orquestada por Rabat como represalia por haber atendido médicamente a Brahim Ghali, líder del Polisario. Durante dicha visita, el presiente y el ministro recorrieron el Centro Operativo de Seguridad en El Tarajal, a pocos metros de territorio marroquí, y después sobrevolaron la zona en helicóptero antes de dirigirse a Melilla.
Este desplazamiento, según investigaciones posteriores, se tuvo que evitar. El motivo es que Marruecos había desplegado dispositivos IMSI-Catcher, del tamaño aproximado de una maleta, capaces de hacerse pasar por antenas de telefonía falsas. Estos aparatos capturan la señal de los móviles cercanos y extraen información técnica como los códigos IMSI e IMEI. El teléfono de Sánchez se conectó a estos dispositivos en tres ubicaciones ese día: El Tarajal, durante el sobrevuelo, y en Melilla. Solo el presidente español y su séquito estuvieron en esas tres localizaciones, lo que permitió a la inteligencia del país vecino identificar y aislar la firma de sus dispositivos sin margen de error.
Infección y robo de datos
La infección con Pegasus se produjo el 18 de mayo, aprovechando esas conexiones furtivas a los falsos puntos de red. De acuerdo con los expertos consultados, Marruecos utilizó una técnica zero-click, la más sofisticada del arsenal de NSO Group. No fue necesario que Pedro Sánchez pulsara ningún enlace ni que abriese ningún dispositivo sospechoso. El malware entró sin dejar rastro mientras su móvil se comunicaba con los dispositivos marroquíes.
Un día más tarde fue cuando se registró el mayor robo de información del terminal del presidente. El Centro Nacional de Investigación (CNI) pudo confirmar que el 19 de mayo fue la fecha exacta. Pocas horas después, la Seguridad del Estado dio la voz de alarma y el pánico en Moncloa fue tal que el 20 de diciembre se produjo un vuelo urgente de personal de NSO Group a Málaga para intentar evaluar el alcance del ataque. Fue el primero de varios ataques que el Gobierno mantuvo con la empresa israelí durante las siguientes semanas.
Marruecos había adquirido estos sistemas IMSI-Catcher a la alemana Rohde & Schwarz y también disponía de variantes militares compradas a la israelí Elbit Systems. Estos últimos pueden instalarse incluso en drones y tienen alcance suficiente para cubrir todo el territorio de Ceuta y Melilla, facilitando operaciones como la que se llevó contra el presidente español.
Una técnica conocida
La forma de actuar no fue para nada improvisada. La inteligencia de Marruecos ya había empleado el mismo método zero-click para infectar móviles de periodistas críticos con el régimen. La huella que Pegasus dejó en los dispositivos de estos periodistas resultó ser muy simular a la encontrada en los terminales del Gobierno español, lo que refuerza la autoría de Rabat, que acabó con la destitución de la directora del CNI.
El Gobierno ocultó este espionaje durante un año completo y cuando se hizo público la investigación judicial apenas avanzó. Israel nunca colaboró con las autoridades españolas y la extrema dificultad técnica para rastrear Pegasus, que apenas deja rastro, hizo que fuese imposible determinar qué información exacta se robó.
