¿Quién es el guardián del móvil del presidente?

¿Quién es el guardián del móvil del presidente? ¿Quién es responsable de que fuera infectado en mayo de 2021 por el programa Pegasus y nadie lo advirtiera hasta pasado un año? La Moncloa señala al Centro Criptológico Nacional (CCN), dependiente del CNI, cuyo decreto de creación, de 2004, señala, en su artículo 2.1, que tiene como ámbito de actuación “la seguridad de tecnologías de la información de la Administración que pr...

¿Quién es el guardián del móvil del presidente? ¿Quién es responsable de que fuera infectado en mayo de 2021 por el programa Pegasus y nadie lo advirtiera hasta pasado un año? La Moncloa señala al Centro Criptológico Nacional (CCN), dependiente del CNI, cuyo decreto de creación, de 2004, señala, en su artículo 2.1, que tiene como ámbito de actuación “la seguridad de tecnologías de la información de la Administración que procesan, almacenan o transmiten información en formato electrónico”, que “requiere protección e incluyen medios de cifra”. Sin embargo, el mismo decreto, cuando detalla las funciones del CCN, no le encomienda garantizar la protección de las comunicaciones más que indirectamente, mediante la elaboración de normas, la formación de personal y la certificación de tecnologías. Por su parte, Defensa señala como responsable al Departamento de Coordinación Técnica y Jurídica de la Secretaría General de la Presidencia del Gobierno, entre cuyos cometidos está “coordinar los sistemas de comunicaciones” de La Moncloa y gestionar el Gabinete de Comunicaciones de los Altos Cargos. Cuenta con la Unidad de Tecnología de la Información y Comunicaciones, que dirige un subdirector general.

En la práctica, tras tomar posesión, La Moncloa entrega a los ministros un móvil con la aplicación COMSec, desarrollada por la empresa española Indra y certificada por el CCN, que cifra llamadas y mensajes. Periódicamente, los ministros reciben parches y actualizaciones del programa y las unidades TIC (Tecnologías de Información y Comunicaciones) de cada ministerio elaboran y difunden el manual de usuario que indica, por ejemplo, con qué periodicidad cambiar la contraseña. No hay un protocolo que obligue a revisar periódicamente los móviles oficiales para comprobar si han sido atacados. Son los usuarios quienes voluntariamente, cuando advierten alguna anomalía, envían el dispositivo al CCN para su examen. El problema es que ningún síntoma externo avisa de la infección por Pegasus.

Esta supuesta indefinición legal debería acabarse con el Esquema de Seguridad Nacional, publicado el miércoles en el BOE: cada ministerio tendrá una política de seguridad de la información aprobada por su titular y un responsable de seguridad que deberá ser distinto al responsable del sistema. Al menos cada dos años se hará una auditoría de seguridad.