Un programa que solo pueden comprar Gobiernos espió móviles de ERC, Junts y la CUP

Los móviles de miembros de ERC, Junts y la CUP fueron espiados entre 2019 y 2020 con Pegasus, un programa que, según su creador, la compañía israelí NSO, solo pueden comprar instituciones gubernamentales como ejércitos, servicios de inteligencia y fuerzas de seguridad del Estado para investigar el crimen organizado y el terrorismo. Así lo confirman a EL PAÍS tres de estas víctimas que fueron avisadas de la intrusión por Citizen Lab, un grupo de expertos en ciberseguridad de la Universidad de Toronto que investiga desde hace más de un año el rastreo de teléfonos de decenas de independentistas y que es pionero en detectar el uso de este software malicioso para rastrear dispositivos de periodistas, activistas y políticos. Pegasus está considerado como uno de los programas espía más potentes y sofisticados del mundo.

El sistema se utilizó también para rastrear los terminales de dirigentes de las organizaciones ciudadanas que han convocado desde hace una década las principales manifestaciones pro independencia en Cataluña, Assemblea Nacional Catalana (ANC) y Òmnium Cultural, además de monitorizar los teléfonos de letrados vinculados a la defensa de los condenados por el procés, según las citadas fuentes.

El móvil de Andreu Van den Eynde, abogado en el juicio del exvicepresidente de la Generalitat y presidente de ERC, Oriol Junqueras, fue hackeado en mayo de 2020 con Pegasus. Van den Eynde también defendió en esta causa al exconseller de Exteriores de la Generalitat Raül Romeva y coordinó la estrategia legal de los dirigentes de ERC Carme Forcadell, expresidenta del Parlament; y los exconsellers Carles Mundó (Justicia) y Dolors Bassa (Trabajo).

Pegasus también infectó en julio de 2020 el móvil de Oriol Sagrera, jurista especializado en Derecho Penal que colaboró estrechamente con Van den Eynde en la defensa de los acusados de ERC en el procés. Sagrera, que hoy es secretario general y número dos de la Conselleria de Empresa y Trabajo, ocupaba el puesto de jefe de gabinete de Presidencia del Parlament catalán cuando el sistema israelí se adentró en su terminal. Citizen Lab informó a Van den Eynde y Sagrera del hackeo de sus dispositivos tras un análisis técnico, según fuentes próximas a la agresión.

Los nuevos casos se suman a los nombres desvelados por una investigación de EL PAÍS y The Guardian en 2020 del entonces presidente del Parlament y segunda autoridad catalana, Roger Torrent; del exconseller de Exteriores Ernest Maragall, ambos de ERC; de la exdiputada de la CUP huida a Suiza en 2018, Anna Gabriel, y del militante del PDCAT y de la ANC Jordi Domingo. Sus terminales sufrieron ataques con el programa israelí en 2019.

Indetectable por un antivirus comercial, Pegasus es un dispositivo que permite al atacante leer mensajes encriptados, acceder a la memoria interna del móvil y pinchar conversaciones cifradas. También, robar contraseñas, descargar contenido de la nube, activar a distancia el micrófono y hacer fotos y vídeos con la cámara del terminal. Todo, sin levantar las sospechas de la víctima.

De este modo, un usuario infectado se convierte en una especie de antena móvil, ya que la aplicación posibilita a los atacantes escuchar el sonido ambiente de su teléfono. Esta vía abrió la puerta al organismo público que intervino el móvil del letrado de Junqueras y de un segundo jurista a captar las conversaciones con sus clientes. Van den Eynde y Sagrera se desplazaron a la prisión de Lledoners (Barcelona) en 2020 en numerosas ocasiones para visitar a Junqueras y Romeva, que fueron condenados por sedición y malversación en 2019 por el Tribunal Supremo a 13 y 12 años de cárcel, respectivamente. El Gobierno indultó parcialmente a ambos y al resto de condenados el pasado junio.

Espionaje previo al juicio del procés

Sagrera recibió entre enero y febrero de 2019, justo antes de que comenzara en el Supremo el juicio del procés, varios mensajes SMS que redirigían el navegador de su teléfono a un portal que —según Citizen Lab— infectaba con Pegasus su terminal. Fuentes próximas al ataque han confirmado a este periódico la recepción de estos mensajes. Las misivas maliciosas simulaban noticias y tenían los titulares “El TC admite tramitar el recurso del Parlament contra la aplicación del 155″ o “JxCAT vuelve a la carga contra ERC ante una nueva investidura”.

El organismo público que infiltró Pegasus en los terminales de Van den Eynde y Sagrera es una incógnita. NSO Group, fabricante del sistema, asegura que solo vende su programa a instituciones gubernamentales. Y que investiga si sus clientes usan su malware para una finalidad distinta a la que fue concebido, como espiar a opositores y activistas. La firma alude a su política de privacidad para guardar silencio. “Debido a la confidencialidad, no podemos confirmar qué autoridades usan nuestra tecnología”, respondió por correo la empresa a este periódico en 2020.

El enigma del atacante

El Ministerio del Interior, la Policía Nacional y la Guardia Civil negaron a EL PAÍS en 2020 ser clientes de NSO. Menos contundente se mostró el CNI, que indicó que siempre actúa “con pleno sometimiento al ordenamiento jurídico y con absoluto respeto a la legalidad vigente”. El servicio secreto español puede interceptar comunicaciones para cumplir “funciones asignadas” y está sometido a la Ley de Control Judicial Previo de 2002. Una norma que se aprobó para zanjar el escándalo de escuchas ilegales que forzó la dimisión del teniente general Emilio Alonso Manglano en 1995 como director general del Cesid (precedente del CNI).

Para intervenir un teléfono, la directora del CNI, Paz Esteban, debe solicitar un permiso a un magistrado del Supremo asignado al servicio secreto. El juez dispone de 72 horas para contestar. Y, si acepta, debe renovar la autorización cada tres meses.

El organismo de inteligencia español no aclaró a este periódico en 2020 si usa el ciberespía israelí para monitorizar comunicaciones de dirigentes independentistas. Sin embargo, el CNI disponía en 2020 de Pegasus y tiene desde 2015 en su radar al secesionismo catalán desde la creación de la denominada Unidad de Defensa de los Principios Constitucionales. Desde entonces, el servicio secreto ha jugado un papel en el procés. En 2017, informó al Gobierno de Mariano Rajoy de las leyes de desconexión del independentismo y participó en Alemania en la detención en 2018 del expresidente catalán Carles Puigdemont.

Las tretas de Pegasus para colarse en los móviles son diversas. Los teléfonos de Torrent y Maragall, por ejemplo, fueron atacados gracias a una vulnerabilidad de la aplicación de mensajería instantánea WhatsApp, ya resuelta. El programa espía trató de pinchar sus terminales entre abril y mayo de 2019 con una llamada perdida de vídeo que no requería respuesta a través de la popular aplicación. Más de 1.400 teléfonos en el mundo fueron atacados con esta técnica.

Citizen Lab concluyó entonces que Torrent y Maragall formaban parte de un grupo de un centenar de “miembros de la sociedad civil” ―periodistas, activistas y opositores políticos― atacados con Pegasus de forma arbitraria. Un juez de Barcelona abrió en 2020 una investigación para aclarar el espionaje a Torrent y Maragall tras una querella interpuesta por estos últimos contra el exdirector del CNI Félix Sanz Roldán y NSO Group.

Fundada en 2010, NSO es una de las 27 firmas de ciberseguridad punteras de Israel, un país que concentra el 40% del total mundial de las inversiones privadas internacionales de esta opaca industria. El negocio permitió a Israel ingresar en 2021 un total de 7.750 millones de euros de fondos extranjeros, según la Dirección Nacional de Cibertecnologías. La exportación de Pegasus, que requiere una autorización del Ministerio de Defensa de Israel, ha sido diana de controversias. El malware rastreaba en 2018 teléfonos en 45 países. Ruanda, Bahréin, Kazajistán, Marruecos, México, Emiratos Árabes Unidos o Arabia Saudí nutrían la lista de clientes del cíberespía, según Citizen Lab.

NSO también se ha visto envuelta en refriegas legales contra tecnológicas. WhatsApp denunció en octubre de 2019 a la firma israelí ante los tribunales de San Francisco (EE UU) por usar una vulnerabilidad de su aplicación de mensajería para infectar más de 1.400 móviles.

Desde el hombre más rico del mundo, Jeff Bezos, dueño de Amazon y de The Washington Post, hasta el entorno de Jamal Khashoggi, periodista asesinado en 2018 en el consulado de Arabia Saudí en Estambul, Pegasus ha infectado desde 2016 más de un centenar de móviles de activistas, informadores y disidentes políticos.

El virus se ha usado con saña para rastrear a informadores. Una treintena de periodistas y productores de la cadena catarí Al Jazeera fueron monitorizados presuntamente por orden de Arabia Saudí y Emiratos Árabes Unidos. Otros 22 trabajadores del diario salvadoreño El Faro fueron espiados con Pegasus desde la llegada al poder del presidente Nayib Bukele. Y, pese a la insistencia del consejero delegado de NSO, Shalev Hulio, de que su aplicación no operaba en Israel, el diario económico Calcalist reveló el pasado enero que la policía de este país utilizó Pegasus para pinchar sin orden judicial los terminales de dos alcaldes, el exconsejero de un ministro y líderes de las protestas ciudadanas de 2020 contra el entonces primer ministro Benjamín Netanyahu.

El Ejecutivo del expresidente mexicano Enrique Peña Nieto (2012-2018) fue otro de los ilustres clientes del controvertido centinela. Pagó en 2014 un total de 27 millones de euros por un paquete de 500 intentos de infección con Pegasus. Y los Gobiernos de Hungría, Marruecos, la India, Arabia Saudí, Ruanda y Azerbaiyán, usaron presuntamente el malware israelí desde 2016 para infectar los terminales de opositores y 180 periodistas, según una lista de 50.000 objetivos potenciales que reveló el año pasado un consorcio de periodistas coordinado por Forbidden Stories y Amnistía Internacional. La filtración incluía como posible víctima al presidente francés, Emmanuel Macron. El Departamento del Tesoro de Estados Unidos incluyó el año pasado a NSO en la lista de empresas vetadas en contratos públicos. El motivo: exportar el ciberespía a regímenes autoritarios.

investigacion@elpais.es