Todo comenzó un lunes festivo en Madrid. La Moncloa, por sorpresa, anunció una rueda de prensa, que apenas duró unos minutos. El presidente Sánchez y su ministra de Defensa habían sufrido un ataque en sus móviles por parte de unos hackers desconocidos. Desde entonces, la información sobre el ataque ha sido prácticamente la misma, salvo que ahora se conoce que el resto de ministros -excepto Marlaska- se han librado del programa Pegasus. No obstante, de entre todas las cuestiones abiertas, hay una que resalta sobre el resto: quién sustrajo dos gigas del móvil del presidente. Aunque la teoría más extendida apunta a Marruecos, la compañía de ciberseguridad Grupo-IB, socio de Interpol, afirma a La Información que conocer al autor -o los autores- que se hicieron con este contenido sensible es "inviable" debido a la tardanza de España en averiguarlo.

Ayer, el Consejo de Ministros fulminó a la primera víctima del caso Pegasus. Así, el presidente Sánchez no dudó en cesar a la directora del CNI, Paz Esteban, con el objetivo de poner fin a la presión de sus socios independentistas y a la disputa creada entre su mano derecha, Félix Bolaños, y su ministra de Defensa, Margarita Robles; esta última defensora del papel de Esteban. La nueva jefa de los servicios de Inteligencia será la número dos de la ministra Robles, con lo que Sánchez parece haber querido suavizar la desautorización pública hacia su ministra. Sin embargo, los principales socios siguen apuntando a Robles, que ha quedado tocada después de la crisis desatada por el software israelí.

La empresa global de Inteligencia y detección de amenazas Grupo-IB, que se encuentra afincada en Singapur, detalla a este periódico lo que los servicios secretos españoles ya deberían haber descubierto tras acceder a los dispositivos. "Al analizar un teléfono infectado con Pegasus, se puede obtener fácilmente un correo electrónico asociado a una cuenta de ID de Apple utilizada para entregar el iMessage armado. Con una investigación forense digital, también es posible establecer la infraestructura, concretamente los servidores de Comando y Control, utilizados por los atacantes para comunicarse y hacer funcionar el programa espía".

El socio de Interpol critica la lentitud y ve inviable saber quién espió a Sánchez. Europa Press

No obstante, la compañía de ciberseguridad resta importancia a estos hallazgos ya que "la dirección de correo electrónico no constituye una base sólida para atribuir una autoría porque los actores de amenazas sofisticadas tienen un alto nivel de seguridad operativa y nunca utilizan una dirección de correo electrónico que pueda conducir a su identificación. Además, los servidores de Comando y Control no pueden utilizarse para establecer la ubicación de los actores de la amenaza que están detrás porque los atacantes son capaces de establecer una infraestructura maliciosa que cubra completamente sus huellas".

Sin embargo, esta infraestructura maliciosa -de llegar a tiempo- sí podría "desmantelarse". Pero para ello es necesario actuar de forma rápida. "Como muestran los últimos trabajos de investigación sobre las operaciones de Pegasus, los esfuerzos de desmantelamiento tienen un efecto a corto plazo ya que los atacantes lanzan nuevos dominios poco después de otra ronda de retiros". Pero los equipos de ciberseguridad del CNI ni siquiera jugaron esa batalla para desenmascarar a los atacantes. Por otro lado, "el software espía y la infraestructura asociada se ofrecen en alquiler. Lo que hace inviable hoy tratar de encontrar a los hackers por la tardanza del Gobierno".

Las investigaciones de Interpol y Grupo-IB en Marruecos

El Group-IB apoyó a la Interpol en la operación Lyrebird, que dio lugar a la identificación y detención de un presunto autor de múltiples ataques, entre ellos contra empresas de telecomunicaciones francesas, los principales bancos del país y empresas multinacionales, tras una investigación de dos años. El presunto autor, que resultó ser un ciudadano de Marruecos, fue detenido en mayo por la policía marroquí basándose en los datos sobre sus ciberdelitos que le proporcionó Group-IB. Según el equipo de Inteligencia de Amenazas de Group-IB, el sospechoso, apodado Dr. HeX, estuvo activo desde 2009 y es responsable de una serie de ciberdelitos, como phishing, defacing, desarrollo de malware, fraude y carding, que se saldaron con miles de víctimas desprevenidas.

Pegasus es una de las cepas de spyware móvil más sofisticadas capaz de penetrar en los usuarios de dispositivos iOS y Android. Muchas de las infecciones recientes de este programa israelí, conocidas públicamente, afectaban principalmente a dispositivos de Apple. Pegasus ha tenido muchas versiones a lo largo de la historia desde 2016. Sus muestras recientes diseñadas para iOS se aprecian a través de la app incorporada de iMessage, que explota sus vulnerabilidades, lo que le permite eludir el sandbox de iMessage -un mecanismo de seguridad utilizado para filtrar el tráfico- y propagarse al sistema más allá.