El CNI da directrices para evitar otro ‘caso Pegasus’ en los teléfonos del Gobierno

El Centro Nacional de Inteligencia (CNI) ha remitido recientemente a los principales organismos e instituciones del Estado un documento con directrices de seguridad de obligado cumplimiento para blindar los teléfonos móviles de los altos cargos de la Administración y del Gobierno por los que circula “información clasificada nacional” y, en general, “información sensible”. El documento, de difusión limitada y al que ha tenido acceso EL PAÍS, señala que el objetivo es conseguir que las terminales sean “resistentes a las distintas amenazas que pueden afectar a la seguridad de la información proce...

El Centro Nacional de Inteligencia (CNI) ha remitido recientemente a los principales organismos e instituciones del Estado un documento con directrices de seguridad de obligado cumplimiento para blindar los teléfonos móviles de los altos cargos de la Administración y del Gobierno por los que circula “información clasificada nacional” y, en general, “información sensible”. El documento, de difusión limitada y al que ha tenido acceso EL PAÍS, señala que el objetivo es conseguir que las terminales sean “resistentes a las distintas amenazas que pueden afectar a la seguridad de la información procesada o al propio sistema, como pueden ser los ataques de software espía”, del que pone como ejemplo Pegasus, el programa de origen israelí utilizado para infectar los móviles de Pedro Sánchez y tres de sus ministros, los titulares de Interior, Fernando Grande-Marlaska; Defensa, Margarita Robles, y Agricultura, Luis Planas.

La iniciativa del servicio secreto se produce, precisamente, 10 meses después de que el Ejecutivo hiciera público que, en mayo de 2021, se había producido una intrusión en los teléfonos de estos cuatro miembros del Gobierno. El suceso es investigado desde entonces por el juez de la Audiencia Nacional José Luis Calama por un posible delito de descubrimiento y revelación de secretos. El documento del CNI con las directrices, fechado este mes y de 13 páginas de extensión, ha sido elaborado por el Centro Criptológico Nacional (CNN), un organismo dependiente del servicio secreto y entre cuyas funciones está “la seguridad de tecnologías de la información de la Administración que procesan, almacenan o transmiten información en formato electrónico” que “requiere protección e incluyen medios de cifra”. El CCN elabora las normas de ciberseguridad, forma al personal y certifica la fiabilidad de la tecnología que se usa en el Gobierno.

En esta línea, el documento pone el foco en los terminales telefónicos, que califica como “el componente más crítico al ser el más expuesto a las amenazas derivadas de, por un lado, la pérdida, sustracción o manipulación del dispositivo y, por otro lado, a la exposición procedente de la conexión directa a redes inseguras”, entre las que cita las redes wifi de “aeropuertos, cafeterías, hoteles, etcétera”. El documento recuerda a los altos cargos y miembros del Gobierno que están obligados a usar exclusivamente “dispositivos móviles aprobados y correctamente configurados” ―es decir, visados previamente por los expertos del CCN― conforma a los estándares recogidos en una instrucción elaborada por el propio servicio secreto y denominada CCN-STIC-496, que fue publicada en abril de 2021, poco antes de que, precisamente, se produjeran las infecciones en los móviles de los miembros del Gobierno.

El servicio secreto recalca que los altos cargos de la Administración deben utilizar para sus comunicaciones oficiales únicamente los terminales denominados COBO (siglas en inglés de Corporated Owned Business Only), puestos a disposición del usuario por la propia administración para el desempeño de sus funciones. “El usuario no podrá usar el dispositivo móvil corporativo para fines personales”, recalca el documento. Estas terminales tienen “restringidas” sus comunicaciones y solo pueden contactar con otros teléfonos de la administración que formen parte de la red segura. También tienen bloqueada la posibilidad de realizar actualizaciones automáticas del sistema operativo o la descarga de aplicaciones comerciales “por el elevado riesgo que ambas conexiones conllevan”.

El documento del Centro Criptológico Nacional analiza las posibilidades y riesgos del “empleo de la tecnología 5G para uso gubernamental”, sobre el que alerta que, aunque “ofrece nuevas posibilidades en lo que respecta a la seguridad y protección de las comunicaciones”, en estos momentos la evaluación y certificación de estas supuestas ventajas “es muy compleja, no está madura y no se espera que lo esté a corto plazo”, por lo que apuesta por mantener por ahora “las medidas clásicas”. Por ello, hace hincapié en varias ocasiones que el uso de terminales “evaluados y certificados de forma fehaciente y veraz” sigue siendo clave para asegurar la confidencialidad de las comunicaciones, aunque admite que no suficiente. Y destaca la necesidad de adoptar otras medidas, como el uso de “un sistema operativo distinto a los comerciales” con el objetivo de que “todas las comunicaciones lleguen de forma tunelizada hasta la organización [término con el que se refiere al Gobierno y otras instituciones del Estado] para acceder a los diferentes servicios, impidiendo de esta forma cualquier acceso directo a internet desde el terminal y viceversa”.

De hecho, los expertos recalcan que las conexiones a internet que se realicen desde estos teléfonos se hagan “a través de una zona de interconexión segura controlada por la organización” para que sea “mucho más sencillo monitorizar” posible fugas de información sensible o detectar un funcionamiento anómalo de la terminal que sea síntoma de esto último. En esta línea, la nueva directiva de seguridad señala que todos los teléfonos de las altas instituciones del país deben usar exclusivamente un firewall (un cortafuegos, sistema de seguridad que restringe el tráfico de Internet entrante, saliente o dentro de una red privada) de la “organización” y no otros que se comercialicen. El objetivo es evitar una brecha de seguridad que permita la entrada de programa potencialmente peligrosos como Pegasus.

La directriz recuerda en que “las aplicaciones para comunicaciones móviles seguras” que cifran la información ―en referencia a aplicaciones de mensajería instantánea como Telegram o Signal― en teléfonos que no hayan sido visados “no proporcionan por sí mismas ninguna protección ante programas de software espía”, además de no proteger el terminal “frente a otro tipo de ataques”, como puede ser “la modificación maliciosa de otras aplicaciones” ya instaladas en el aparato. Por ello, prohíbe su uso para la transmisión de información sensible.