El CNI se siente cabeza de turco

Todo estaba listo para que el viernes Felipe VI presidiera, en la sede del Centro Nacional de Inteligencia (CNI), a las afueras de Madrid, el 20º aniversario de su creación. El 6 de mayo de 2002, Juan Carlos I firmó la ley que mudaba de piel al viejo Centro Superior de Información de la Defensa (Cesid), nacido de la fusión de los servicios secretos del franquismo, para dar a luz un organismo renovado y homologable a los más avanzados del mundo. El escándalo de unas escuchas indiscriminadas que alcanzaron al propio Rey había minado su credibilidad y desencadenado la dimisión de un vicepresidente (Narcís Serra), un ministro de Defensa (Julián García Vargas) y del incombustible director del servicio secreto, el general Emilio Alonso Manglano.

La semana pasada, cuando estalló el escándalo Pegasus —la interceptación de los móviles de más de 60 dirigentes independentistas, incluidos los cuatro últimos presidentes de la Generalitat catalana— se suspendieron abruptamente todos los fastos. El CNI no estaba para celebraciones y su directora, Paz Esteban, ya no hablaría ante sus más de 3.000 agentes, sino ante los diputados de la comisión de secretos oficiales del Congreso, un auditorio mucho menos favorable.

Los espías españoles, según fuentes próximas al CNI, están convencidos de que su jefa ―que en enero de 2020 se convirtió en la primera mujer y funcionaria del servicio secreto nombrada directora del mismo— será la cabeza de turco del escándalo. Pero no porque crean que esta madrileña de 64 años ha hecho algo ilegal.

Fuentes gubernamentales aseguran que la directora del CNI acudirá mañana al Congreso con las autorizaciones judiciales de sus intervenciones telefónicas, todas individualizadas, debidamente motivadas y firmadas por el magistrado del Tribunal Supremo encargado de controlar las actividades del centro. No son todos los nombres que están en la lista difundida por Citizen Lab (el grupo de expertos en ciberseguridad de la Universidad de Toronto que ha acreditado la intrusión en los móviles de más de 60 personas vinculadas al procés), pero sí parte de ellos. Lo más complicado para Paz Esteban será explicar por qué se ha espiado a cargos públicos o letrados. Alegará, según las fuentes consultadas, que no se han investigado sus actividades institucionales o profesionales (es decir, no se han vulnerado los derechos políticos de unos ni el derecho a la defensa de otros), sino sus relaciones con grupos violentos o agentes extranjeros.

Sin embargo, la cabeza política de la directora del CNI, con rango de secretaria de Estado, no peligra por haber realizado escuchas (aunque su cese pueda satisfacer o no la exigencia de responsabilidades políticas de ERC), sino por no haberlas evitado. Es decir, no por el caso denunciado por Citizen Lab, sino por el de la intrusión con Pegasus en los móviles del presidente del Gobierno, Pedro Sánchez, y de la ministra de Defensa, Margarita Robles.

El reconocimiento de que el móvil de Sánchez fue atacado en mayo y junio de 2021 con el programa israelí, y el de Robles en esta última fecha —y que los piratas informáticos les robaron más de 2,6 gigas de datos—, supone una brecha de seguridad de proporciones colosales. Sobre todo, porque pasó casi un año sin que nadie se percatara de lo ocurrido.

La ley del CNI le atribuye, entre otras misiones, la de “garantizar la seguridad de las tecnologías de la información” en la Administración del Estado y “velar por el cumplimiento de la normativa de protección de la información clasificada”. Esta función la desarrolla el Centro Criptológico Nacional (CCN), dependiente del CNI, cuya directora es la propia Paz Esteban. En teoría, pues, sería la responsable de garantizar la seguridad de las comunicaciones del jefe del Gobierno y sus ministros.

En la práctica, sin embargo, no existe ningún protocolo de cumplimiento obligatorio para asegurar la confidencialidad de las comunicaciones de los miembros del Ejecutivo, según las fuentes consultadas. La normativa vigente solo se refiere al manejo de la información clasificada secreta. Los altos cargos reciben al tomar posesión un móvil, suministrado por la Secretaría General de la Presidencia del Gobierno, que incorpora las últimas tecnologías en materia de encriptado y protección frente a ciberataques con un software desarrollado por una empresa española. Periódicamente, se incorporan parches, aplicaciones y actualizaciones de cortafuegos a los terminales.

Sin embargo, las alertas de seguridad que periódicamente remite el CCN a los organismos de la Administración tienen el valor de recomendaciones, no son instrucciones de obligado cumplimiento. En julio de 2021, el centro difundió un documento que advertía de los riesgos del programa espía Pegasus y explicaba, paso a paso, el procedimiento para comprobar si un móvil había sido infectado. Realizar o no el análisis quedaba en manos del usuario y el CCN se limitaba a pedir que se le remitiera el resultado.

No está previsto que los ministros entreguen periódicamente sus móviles al CNI para que este compruebe si han sido atacados por algún virus. Quienes lo entregan lo hacen voluntariamente cuando tienen alguna sospecha de haber sido infectados. El análisis exhaustivo que se está realizando durante estos días por orden del presidente del Gobierno tiene carácter excepcional. “¿Se imagina cómo habría reaccionado Pablo Iglesias si cada mes se presentaran dos espías en su despacho de vicepresidente pidiéndole el móvil?”, señala un antiguo agente del centro.

Más allá del cese de la directora, lo que preocupa en el servicio secreto es la pérdida de confianza y prestigio entre sus homólogos extranjeros. Eso también es un agujero de seguridad.

04:59