Por primera vez peritos de un cuerpo policial han corroborado que los teléfonos móviles de dirigentes independentistas fueron atacados con el programa espía Pegasus. Así lo han certificado los Mossos d’Esquadra ante los juzgados que investigan la infiltración a tres dirigentes de ERC, la eurodiputada Diana Riba; el diputado en el Parlament Josep Maria Jové; y el actual alto cargo del Govern y exdiputado Sergi Sabrià.
En los informes, a los que ha tenido acceso elDiario.es, los peritos informáticos de la policía catalana concluyen que los terminales móviles “han sido infectados por un programa malicioso que deja los mismos rastros que el conocido como Pegasus”. Debido a la magnitud del ataque, los informáticos de los Mossos no pueden descartar que el programa espía “haya estado activo en días posteriores” a las infecciones, producidas en 2019 y 2020.
Las conclusiones suponen un espaldarazo a las tesis de los independentistas espiados, que, salvo contadas excepciones, se han encontrado con unos juzgados reacios a investigar el espionaje y su conexión con el Centro Nacional de Inteligencia (CNI). También implican, en parte, un desmentido al Gobierno, quien aseguró que Jové y Riba no fueron espiados, lo que sirvió al Ejecutivo para negarse a desclasificar los documentos que le había reclamado la jueza del caso.
Jové, Riba y Sabrià han sido los primeros independentistas en proporcionar sus terminales a la policía científica. El resto de denunciantes ha acudido a peritos privados, se ha resistido a entregar el terminal al juzgado por desconfianza o bien se deshizo de los móviles tras las infecciones.
El análisis forense de los Mossos no solo ha ratificado las infecciones desveladas por el laboratorio canadiense Citizen Lab. Al disponer de los terminales físicamente, la policía catalana ha desvelado nuevos detalles.
En el caso de Jové, Citizen Lab no fue capaz de concretar las fechas de las infecciones. Sí lo hacen los Mossos, que sitúan en un mínimo de cuatro fechas los ataques a los dos terminales del dirigente de ERC, uno de los interlocutores de los republicanos con el PSOE. Sucedieron en marzo y octubre de 2019 y en julio y noviembre de 2020, mientras Jové negociaba con los socialistas el apoyo de ERC a proyectos clave del Gobierno de Pedro Sánchez.
La policía científica también ha confirmado que el móvil de Riba fue infectado, al menos, el 28 de octubre de 2019. En esa fecha, uno de sus asistentes parlamentarios testificó ante la jueza que mantenía una conversación con Riba por teléfono, pero que se cortó. Acto seguido, su teléfono reprodujo la conversación que había mantenido con su jefa, lo que hizo saltar las alarmas al asistente y para la defensa de Riba supone un indicio claro de la infección.
El método empleado por la policía catalana para detectar los ‘hackeos’ es el análisis de los denominados “indicadores de compromiso”. Se trata de patrones informáticos que quedan registrados en los terminales y que se pueden vincular con el ataque con un ‘software’ malicioso como el de Pegasus, comercializado por el grupo israelí NSO Group únicamente para uso de los Estados.
Hasta tres “procesos maliciosos”
La policía catalana ha detectado hasta tres “procesos maliciosos” con los que se logró infectar los teléfonos móviles y que para la policía catalana suponen “indicadores de compromiso claros y documentados del ‘software’ malicioso Pegasus”.
El informe del laboratorio de informática forense de la división de policía científica de los Mossos señala además que en algunos casos el ataque logró “grabar la actividad” y descargar datos de los teléfonos y subirlos a Internet, si bien no pueden determinar dónde quedaron alojados los archivos sustraídos.
Una de las formas de infección detectadas por los Mossos es el envío de SMS con “enlaces maliciosos” a los espiados. Si la víctima pinchaba en el enlace, era dirigido a un servidor que se encarga de distribuir el programa malicioso “sin que el usuario se diera cuenta”. Con todo, la policía catalana señala que los ataques también se produjeron sin necesidad de que el usuario accediera a un ‘link’ malicioso.
Si bien corrobora que hubo varias infiltraciones, la policía catalana advierte en sus conclusiones de los dictámenes que no ha localizado en los terminales “ninguna información que permita establecer el destino que usó el programa malicioso Pegasus”. En otras palabras, que el análisis forense no puede por ahora determinar si, como sostienen Jové y Riba, el Centro Nacional de Inteligencia (CNI) es el responsable de los ataques.
La jueza que investiga la infiltración en los móviles de Jové y Riba pidió el pasado verano al Gobierno desclasificar documentos para averiguar si, como mantienen los denunciantes, el CNI está detrás de los ataques. El Ejecutivo rechazó acceder a la solicitud de la magistrada y negó que hubiera espiado a los dos dirigentes republicanos.
El Gobierno no puede emplear el mismo argumento con la petición que el juez que investiga el espionaje al president de la Generalitat, Pere Aragonès, hizo al Ejecutivo para desclasificar documentos, toda vez que el propio CNI admitió en el Congreso que el actual jefe del Govern fue uno de los 18 independentistas espiados. El Gobierno recibió la petición del juez hace mas de un mes, pero todavía no ha respondido al magistrado, que mantiene para el próximo 26 de enero la declaración como imputada de la exjefa de los espías españoles, Paz Esteban.
Jové y su teléfono incautado por el 1-O
La infiltración en los móviles de Riba y Jové presenta peculiaridades propias de los cargos que ocupan. En el caso de Riba, porque el ataque supone una invasión a una autoridad protegida por la inviolabilidad y la inmunidad como es una eurodiputada, a quien no se puede investigar de ninguna forma sin el permiso de la Eurocámara.
Jové se encuentra pendiente de juicio (señalado para el próximo mes de abril) por su papel como organizador del referéndum del 1-O de 2017. Su defensa ha solicitado al Tribunal Superior de Justicia de Catalunya (TSJC) que el teléfono que Jové tenía hace siete años también sea objeto de análisis pericial por parte de los Mossos, al sospechar que también podría haber sido víctima de un ataque con Pegasus o un 'software' espía.
Sin embargo, el TSJC ha rechazado que una copia del terminal de Jové, decomisado por la Guardia Civil desde el 20 de septiembre de 2017, sea objeto de análisis forense al considerar que se trata de una “pieza de convicción” para el juicio por los preparativos del 1-O.