Es noticia
El CNI alertó a Moncloa del riesgo de Pegasus un año antes del espionaje a Sánchez y Robles
  1. España
informe 2019 sobre amenazas a móviles

El CNI alertó a Moncloa del riesgo de Pegasus un año antes del espionaje a Sánchez y Robles

El Centro Criptológico Nacional, dependiente de los servicios de Inteligencia, advirtió al Ejecutivo de que el programa de NSO Group estaba aprovechando vulnerabilidades en Android e iOS para espiar móviles

Foto: La ministra de Defensa, Margarita Robles, durante su comparecencia ante la comisión de Defensa del Congreso de los Diputados. (EFE/J.J. Guillén)
La ministra de Defensa, Margarita Robles, durante su comparecencia ante la comisión de Defensa del Congreso de los Diputados. (EFE/J.J. Guillén)
EC EXCLUSIVO Artículo solo para suscriptores

El CNI advirtió al Gobierno un año antes del supuesto espionaje a Pedro Sánchez y Margarita Robles de que el programa Pegasus estaba utilizando vulnerabilidades en los sistemas operativos de los teléfonos Android y Apple para sustraer información a políticos, activistas sociales y periodistas de todo el mundo. La advertencia fue trasladada por el Centro Criptológico Nacional (CCN-CERT), dependiente de los servicios de Inteligencia, a todos los departamentos de seguridad del Ejecutivo, incluida la Secretaría General de Presidencia, un puesto que en esa época ocupaba el actual ministro de Presidencia, Félix Bolaños.

El aviso figura en el 'Informe anual sobre dispositivos y comunicaciones móviles 2019', del CCN-CERT, que fue publicado en marzo de 2020, cuando aún faltaban 14 meses para que los teléfonos de Sánchez y Robles fueran supuestamente infectados con Pegasus. “El presente informe presenta algunas de las principales amenazas de seguridad y vulnerabilidades descubiertas a lo largo del año 2019 en los entornos de comunicaciones y dispositivos móviles, así como los avances y las tendencias más relevantes identificadas para este tipo de tecnologías para el año 2020”, anunció el documento en sus primeras páginas.

placeholder Pinche para leer el informe.
Pinche para leer el informe.

El informe pasó a enumerar algunas de las principales amenazas a las que se exponían las redes y los teléfonos, y en el capítulo octavo se centró en el uso de “código dañino para plataformas móviles”. El CCN-CERT recordó que tanto Google, responsable de la plataforma Android, como Apple, propietario de iOS, habían detectado agujeros de seguridad que permitían que sus teléfonos fueran espiados por Pegasus. “En octubre de 2019, Google publicó la existencia de una vulnerabilidad de escalada de privilegios local, de tipo UAF ('use-after-free'), en el Binder del kernel de Android, junto al parche asociado. La misma permite obtener los máximos privilegios en un dispositivo vulnerable y parece que había estado siendo utilizada en ataques reales como 0-day dentro de la solución Pegasus de NSO Group”, avisaron los servicios de Inteligencia.

placeholder Pinche para leer el informe.
Pinche para leer el informe.

Los Apple también estaban en riesgo. “A mediados del año 2019, en concreto en el mes de julio, dos investigadores del Proyecto Zero de Google anunciaron la existencia inicialmente de seis vulnerabilidades diferentes que permitían la realización de ataques sobre dispositivos móviles iOS sin la interacción del usuario, y que podían ser explotadas a través de la 'app' iMessage. Estas vulnerabilidades venían a confirmar sospechas previas sobre las capacidades de explotar dispositivos iOS remotamente a través de vulnerabilidades no publicadas en iMessage y utilizadas en ataques reales”, expuso el documento.

Más adelante, en el capítulo 11, el informe abordó otros peligros bajo el título genérico de 'Comunicaciones móviles'. Los servicios de Inteligencia avisaron de que solo era necesario conocer el número de teléfono de la víctima para acceder a sus datos. “La vulnerabilidad fue identificada en ataques reales que tenían como objetivo la instalación de 'spyware' en los dispositivos móviles de las víctimas, desarrollado por la compañía israelí NSO Group dentro de su solución de espionaje Pegasus”, el sistema presuntamente utilizado para acceder a los móviles del presidente del Gobierno y la ministra de Defensa.

placeholder Pinche para leer el informe.
Pinche para leer el informe.

El informe concluyó advirtiendo de que los riegos de seguridad en las comunicaciones móviles seguirían previsiblemente creciendo en 2020. La realidad confirmó las sospechas del CNI. En julio de 2021, dos meses después de la primera intrusión en el teléfono de Sánchez, el CCN-CERT publicó un boletín monográfico que abordó exclusivamente el riesgo de infiltración en teléfonos Apple a través de Pegasus. El documento incluyó un tutorial que permitía averiguar si un móvil había sido infectado en solo 90 minutos, como publicó El Confidencial este martes.

El informe de 2019 y el boletín especial de julio de 2021 fue enviados por el CNI a todos los departamentos de seguridad del Gobierno por los cauces oficiales para que adoptaran las medidas de protección que consideraran oportunas. En concreto, el mensaje llegó a los equipos de seguridad de cada uno de los ministerios y a la Secretaría General de Presidencia, responsable de vigilar y garantizar el secreto de las comunicaciones del jefe del Ejecutivo. Hasta julio de 2021, el secretario general de Presidencia era Félix Bolaños. A pesar del aviso, el Gobierno no analizó los teléfonos de sus miembros hasta finales de la semana pasada.

El CNI advirtió al Gobierno un año antes del supuesto espionaje a Pedro Sánchez y Margarita Robles de que el programa Pegasus estaba utilizando vulnerabilidades en los sistemas operativos de los teléfonos Android y Apple para sustraer información a políticos, activistas sociales y periodistas de todo el mundo. La advertencia fue trasladada por el Centro Criptológico Nacional (CCN-CERT), dependiente de los servicios de Inteligencia, a todos los departamentos de seguridad del Ejecutivo, incluida la Secretaría General de Presidencia, un puesto que en esa época ocupaba el actual ministro de Presidencia, Félix Bolaños.

Centro Nacional de Inteligencia (CNI) Pedro Sánchez Margarita Robles Félix Bolaños
El redactor recomienda