Cómo es posible que el Gobierno haya tardado un año en saber que lo espiaban: así funciona la ciberseguridad del Estado

Un año. El Gobierno ha tardado un año en enterarse de que al menos dos de sus máximos miembros, el presidente y la ministra de Defensa, han sido espiados con el software Pegasus. Lo ha reconocido esta misma mañana, en una rueda de prensa convocada a primera hora, el responsable de la cartera de Presidencia, Félix Bolaños. Según detalló, los móviles de Pedro Sánchez y Margarita Robles fueron pirateados en mayo y junio de 2021; pero los informes oficiales del Centro Criptológico Nacional (CCN) que lo revelan sin "ninguna duda" no llegaron a su mesa… hasta ayer.

¿Qué informes y qué dicen? Los documentos del CCN concluyen que los dos dirigentes han sido víctimas de espionaje y básicamente dejan tres ideas claras: primero, que en 2021 los móviles de ambos dirigentes registraron incursiones de carácter “ilícito” y origen “externo”. Este último matiz no es una cuestión menor, ya que apuntaría a un origen ajeno al Centro Nacional de Inteligencia (CNI), la agencia española que dispone de Pegasus y en la que se centraron las miradas cuando saltó el escándalo del espionaje a más de 60 políticos y miembros de la sociedad catalana.

Más allá de apuntar a un origen ajeno al propio Estado, la información del CCN deja claves interesantes. Por ejemplo, que los autores del ataque se colaron en mayo y junio en el móvil de Sánchez. Primero extrajeron 2,6 gigas; más tarde, 130 megabites. En el caso de Robles el ataque fue en junio y los piratas obtuvieron bastante menos información: nueve megas. Se desconoce qué datos han podido sustraer los piratas. Lo que sí ha confirmado Bolaños es que desde junio de 2021 no se ha vuelto a registrar ningún nuevo ataque en, al menos, “esos dos terminales”.

“No hay pruebas de que se haya producido una nueva incursión”, recalcó.

¿Por qué se han dado cuenta ahora? El software de espionaje Pegasus lleva días en el candelero político. El motivo: un informe de CitizenLab que asegura que más de 60 políticos y abogados, entre otros ciudadanos catalanes, han sido espiados con el spyware. Dado que su desarrollador, NSO Group, asegura que Pegasus solo está al alcance de países, el propio informe apunta al CNI como principal sospechoso. Según detalla El País, tras la publicación de esa lista el CCN realizar un análisis de sus móviles. Necesitaron disponer de ellos durante un período de 24 a 36 horas.

La "verificación" de las incursiones en los equipos de Sánchez y Robles se alcanzó en los últimos días y el Gobierno tuvo "conocimiento pleno", con los informes, ayer. Ahora el CNI estaría analizando los terminales de otros miembros del Ejecutivo. El objetivo: aclarar si hubo más ataques.

Teléfonos del Departamento de Seguridad Nacional. Las incursiones con el spyware de Pegasus se habrían centrado en los teléfonos institucionales, no en los privados. Precisamente con el fin de garantizar la seguridad de los dispositivos, el Departamento de Seguridad Nacional (DSN) entrega a los cargos del Gobierno un móvil encriptado. Los dispositivos se someten a controles rutinarios y periódicos que, en este caso, no habrían identificado los ataques de mayo y junio de 2021.

¿Cómo se organiza la ciberseguridad del gobierno? El informe presentado hoy por Bolaños parte del Centro Criptológico Nacional (CCN), que tiene entre sus tareas afrontar “amenazas que afectan a sistemas del sector público y […] cualquier sistema TIC que procese información clasificada” y velar por que se cumpla la normativa que protege ese material. Una de sus funciones consiste, de hecho, en evitar el acceso de “individuos, grupos y Estados no autorizados” a datos clasificados. La entidad depende a su vez del Centro Nacional de Inteligencia (CNI) y para las ciber amenazas actúa con el CCN-CERT, “la capacidad de respuesta a incidentes de Seguridad de la Información”.

En el organigrama público destaca también el Departamento de Seguridad Nacional (DSN), ligado al Gabinete de Presidencia y que se define como “el órgano de asesoramiento” al presidente en materia de seguridad. Bajo su paraguas está la Unidad de Sistemas e Infraestructuras, que se divide a su vez en dos áreas: de informática (TIC) y comunicaciones. Hace un año el Gobierno anunció también la implantación de un Centro de Operación de Ciberseguridad de la Administración General del Estado (COCS) para, precisamente, reforzar la vigilancia, protección y detección de ciberataques.

La gran pregunta: ¿Quién está detrás de los ataques? Se desconoce, al menos de momento. Bolaños solo ha recalcado que las incursiones han sido “externas”; es decir, “ajenos a organismos del Estado”. Con esa descripción dejaría fuera al Centro Nacional de Inteligencia, a quien el informe de CitizenLab señala como principal sospechoso en el caso del espionaje de más de 60 ciudadanos catalanes. Otro de los mensajes en los que ha incidido Bolaños esta mañana es que las incursiones han sido totalmente “ilícitas”, con lo que no estarían respaldadas por la autorización de un juez.

Los responsables de NSO Group aseguran que solo los países pueden comprar su spyware. La compañía argumenta que su objetivo es prevenir atentados, desarticular redes pedófilas y luchar contra crímenes como el tráfico de drogas, entre otros fines. A pesar de ese enfoque, su opacidad explica que a lo largo de los últimos años el uso de su spyware haya resultado polémico.

¿Y ahora qué? Por lo pronto, la Abogacía del Estado ha presentado una denuncia en la Audiencia Nacional y deberá activarse una investigación. Las incursiones en los móviles de Sánchez y Robles dejan a la vista también fallas en la seguridad de las comunicaciones del Gobierno. El propio Bolaños reconoce que “una de las conclusiones es que reforcemos los sistemas de seguridad”.

La revelación de los casos de espionaje llega menos de dos meses después de que el Gobierno anunciase su intención de aprobar un Plan Nacional de Ciberseguridad, “el más ambicioso de los elaborados hasta la fecha” y con más de un centenar de “actuaciones esenciales para garantizar la ciberseguridad nacional”. Una de esas medidas sería la creación del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus organismos públicos.

El anuncio se lanzó poco después del inicio de la guerra de Ucrania, cuando empresas y organismos públicos de todo el país se blindaban ante el temor de ataques piratas. Aquel episodio —explicó Sánchez— demostraba “la necesidad de garantizar la ciberseguridad, el funcionamiento de los servicios esenciales y la integridad de las infraestructuras críticas”.

Imagen de portada | PSOE de Andalucía (Flickr)

Ver todos los comentarios en https://www.xataka.com

VER 123 Comentarios

Portada de Xataka