La revelación por parte del Gobierno de que los móviles de Pedro Sánchez y de Margarita Robles fueron hackeados por el software de espionaje Pegasus en mayo y junio de 2021 ha puesto en el disparadero al Centro Nacional de Inteligencia (CNI). ¿Cómo es posible que pasase todo un año desde que se produjo el ataque hasta que este ha sido descubierto? Ha sido una de las preguntas más repetidas en la rueda de prensa posterior al Consejo de Ministros de este martes. “Estas cosas pasan. Reforzamos nuestras capacidades cada día. Se han seguido los protocolos, con los medios que se han tenido en cada momento”, respondía la ministra portavoz, Isabel Rodríguez.
Rodríguez reiteraba en más ocasiones esta idea. “Durante este año se siguen los protocolos, se actualizan, y seguramente es esa actualización de medios, de recursos y de protocolos lo que permite que hoy tengamos acreditados los hechos que hemos puesto a disposición de la justicia”, contestaba al ser repreguntada.
La respuesta vuelve a dejar la pelota en el tejado de la inteligencia española y, más concretamente, en la del Centro Criptológico Nacional. Este organismo, adscrito al CNI y dependiente por tanto del Ministerio de Defensa, es el encargado de la ciberseguridad de las administraciones públicas españolas y de las “empresas de interés estratégico para el país”. Sus siglas son CCN-CERT, con un apellido que proviene de las siglas en inglés de equipo de respuesta a emergencias informáticas, puesto que en sus atribuciones también está la de responder a cualquier alerta de ataque o infección en las instituciones.
El CCN se fundó en 2006 y es una de las dos principales patas de los organismos de ciberseguridad españoles. La otra es el Instituto de Ciberseguridad Nacional (Incibe), que da soporte a las empresas privadas y depende del Ministerio de Asuntos Económicos. A ellos se unen las unidades cibernéticas de los cuerpos policiales y otros organismos como el CNPIC, dependiente de Interior y máximo responsable de la ciberseguridad de las infraestructuras críticas.
El Centro Criptológico es el organismo que ha analizado los móviles del presidente y de la ministra de Defensa, descubriendo que fueron infectados por Pegasus hace un año. Por extensión, también es el que no ha sido capaz de detectarlo hasta ahora por una falta de actualización de “medios, de recursos y de protocolos”, según explicaba este martes la ministra portavoz.
El CNI ha rechazado comentar ninguna cuestión relativa al espionaje. También acerca del papel o las capacidades del Centro Criptológico, que comparte la opacidad en la que se mueve el centro del que cuelga. Los profesionales que protegen de ciberamenazas las instituciones públicas son casi tan inaccesibles como los espías del primero. ¿Les pilló por sorpresa y desactualizados el ataque de Pegasus? Varias fuentes de la industria de la ciberseguridad contactadas por este medio y documentos publicados por el propio Centro Criptológico lo ponen en duda.
Prioridad: ciberespionaje
El CCN-CERT produce un buen número de informes al año con recomendaciones de ciberseguridad para las administraciones, así como análisis de amenazas que son tomados muy en cuenta por el resto del sector. El ciberespionaje es una de las máximas prioridades del trabajo del organismo.
“Puede afirmarse que, en la actualidad, más de cien países tienen la capacidad de desarrollar ataques de ciberespionaje y su especialización sigue creciendo, de la misma manera que lo hace la amenaza que representan. Esta amenaza, utilizada principalmente por servicios de Inteligencia, está dirigida tanto al sector público como al privado”, avisaba en 2019 Javier Candau, jefe del departamento de Ciberseguridad del CCN.
Cuando Sánchez y Robles fueron hackeados por Pegasus, este software de espionaje ya era un conocido archienemigo de activistas y periodistas perseguidos por estados autoritarios. Sus ataques se registran desde 2017. En julio de 2020, el Citizen Lab reveló que este software de espionaje se había usado en España de una forma no documentada hasta entonces: se halló en los teléfonos de representantes públicos de un país democrático. Pegasus había atacado al president del Parlament de Catalunya, Roger Torrent, a diputados de ERC y de la CUP, a miembros del Govern y a activistas independentistas.
Esas revelaciones fueron el germen del informe del Citizen Lab de hace dos semanas. En estos dos años de investigación, sus analistas han hallado rastros de los ataques de Pegasus contra 66 personas del entorno independentista catalán y vasco. Sospechan que pueden ser muchos más. La lista de potenciales objetivos que manejan es de 1.483 teléfonos con prefijo español (+34), citan fuentes conocedoras de la investigación.
Solo un mes después de que el presidente y la ministra de Defensa fueran atacados, se destapó que al menos los teléfonos de 12 jefes de Gobierno, entre ellos el francés, Emmanuel Macron, figuraban como objetivos de Pegasus. El mismo software infectó a responsables militares y políticos de 34 estados.
Justo tras conocerse estos ataques, el CCN envió un informe a las administraciones públicas alertando del riesgo de Pegasus, según ha revelado El País. Se titulaba Detección de software Pegasus en dispositivos iPhone, que son los que utilizan los altos cargos del Gobierno. “Entre sus víctimas podrían encontrarse altos cargos de muchos gobiernos, políticos, periodistas o figuras muy relevantes en otros ámbitos”, alertaba el CCN.
“El CCN está actualizado”
“El CCN está actualizado; donde no llega a tener las máximas capacidades, tiran de empresas de ciberseguridad, al menos nacionales, para complementar sus capacidades”, explica el responsable de ciberseguridad de una empresa multinacional que pide no ser identificado. elDiario.es ha contactado con varios especialistas y todos comparten esta opinión sobre los profesionales del Centro Criptológico y las capacidades del organismo.
“Tomando a EEUU como referencia top en ciberseguridad, nosotros estaríamos 3-4 puestos por debajo”, expresa este experto. No es solo una opinión personal, puesto que esa es también la posición que la Unión Internacional de Telecomunicaciones (dependiente de Naciones Unidas) otorga a España en su último Índice de Ciberseguridad Global, uno de los informes de referencia en el sector. España se coloca cuarta, por detrás de EEUU, Reino Unido y Arabia Saudí y con la misma puntuación que Singapur y Corea del Sur. Entre sus fortalezas destaca el desarrollo de capacidades y las medidas técnicas. El único aspecto a mejorar es el organizativo.
“Las capacidades del CCN son buenas. Yo conozco personalmente a algunos de los profesionales que trabajan allí y son de lo mejorcito que hay, no solo a nivel nacional sino internacional. Lo único que puede limitarles un poco son los recursos con los que cuentan”, expone otro alto cargo de una compañía de ciberseguridad con presencia en decenas de países.
Este experto recuerda que el sector de la ciberseguridad se caracteriza por su actualización constante y el conocimiento que se comparte entre las diferentes empresas e instituciones. “Aquí nadie puede hacer su trabajo por su cuenta. Ni para proteger a administraciones, ni a infraestructuras críticas, a empresas o a usuarios. Nadie puede hacerlo solo. Es tal la cantidad de amenazas, la cantidad de incidentes que se registran al día, que desde hace décadas la industria aprendió que la información tiene que ponerse en común”.
Este experto también duda de que sea una falta de actualización del CCN lo que ha provocado el retraso en la detección del ataque contra Sánchez y Robles. En cambio, expone otra posible causa: “Las infecciones con Pegasus se detectan haciendo un análisis forense al móvil. Si no hay indicios de que haya sido comprometido, los forenses no se hacen, ya que lo más probable es que ese móvil ya no se pueda volver a utilizar. Y lo más aconsejable también”.