El CNI ordena acabar con el mal uso de los móviles del Gobierno para evitar otros 'Pegasus'

Y las órdenes son estrictas: todo los altos funcionarios y miembros del Gobierno deben usar exclusivamente a partir de ahora «dispositivos móviles aprobados y correctamente configurados» conforme a los estándares de seguridad que se fijaron en la directiva CCN-STIC-496, que se publicó en abril de 2021, solo semanas antes de que se registraran los ataques contra los móviles del presidente y los ministros del Interior y Defensa, pero que todavía sigue siendo bastante ignorada por algunos responsables públicos

Y es que, según fuentes de la seguridad del Estado -y aun después del escándalo del espionaje con 'Pegasus'- sigue siendo una práctica bastante habitual el intercambio de información sensible entre algunos altos cargos de la Administración central a través de sus teléfonos privados.

El informe del Centro Criptológico Nacional (CCN, el corazón tecnológico de los servicios secretos) en esencia exige acabar con el uso de móviles no oficiales e, incluso con la utilización de terminales oficiales pero «no verificadas», para las comunicaciones en las que se comparta información secreta. El documento «CCN-TEC 011 Comunicaciones Móviles Seguras en 5G», de trece páginas y al que ha tenido acceso este periódico, cita expresamente en su introducción que su intención es evitar sobre todo nuevos casos como el de 'Pegasus'. Se trata de la primera vez desde que se conociera el espionaje al Gobierno que el CNI en un documento de difusión externa a 'La Casa' hace mención al 'malware' de origen israelí.

Ese dossier dirigido expresamente a los usuarios «de la tecnología 5G para uso gubernamental» parte de una premisa: las «aplicaciones para comunicaciones móviles seguras sobre terminales no aprobados [aquellas no revisadas y visadas personalmente por los expertos del CCN], no proporcionan por sí mismas ninguna protección ante programas de software espía, puesto que la exfiltración directa de datos a internet desde el terminal sigue siendo posible».

El CNI avisa de que solamente deberían usarse esas terminales «evaluadas y certificadas de forma fehaciente y veraz», a las que, además, se caparan sus comunicaciones con otros móviles que no pertenezca a esa suerte de red gubernamental de teléfonos que pretende blindar los servicios secretos. A partir de ahora, todas las comunicaciones estarán «restringidas» y solo serán «posibles» aquellas que se transmiten a través de un «túnel» exclusivo de la «organización» (en este caso el Gobierno y las instituciones del Estado).

El temor de los servicios secretos –según aparece reflejado en todo el documento- es que el software espía entre a través de cualquier brecha de internet. Por eso, la nueva directiva fija esas comunicaciones «tunelizadas» para evitar que un nuevo 'Pegasus' o similar se cuele a través de internet a la red del Ejecutivo. También por eso, todas las terminales del Gobierno y de las altas instituciones del país deberían usar exclusivamente el «firewall» (cortafuegos) de la «organización» y no otras marcas comerciales.

Una y otra vez, el CNI insiste a los altos cargos de la Administración y del Ejecutivo de Pedro Sánchez que la clave de la seguridad pasa sobre todo y casi en exclusiva por usar las terminales visadas por el CCN (la denominada «medida clásica» de seguridad). Y que aun así, no hay sistema de comunicación 100% seguro.

En ese documento, los servicios secretos además avisan de que el uso de 5G no es la panacea y que aunque esa tecnología «ofrece nuevas posibilidades en lo que respecta a la seguridad y protección de las comunicaciones», a día de hoy «la evaluación de seguridad y certificación de estos mecanismos de seguridad, es muy compleja, no está madura y no se espera que lo esté a corto plazo».

«En un futuro, a medida que se consigan avances en la certificación de seguridad de la tecnología 5G, sí que es esperable que soluciones actualmente aprobadas para proteger información clasificada nacional de grado difusión limitad sobre redes 3G/4G, se puedan emplear para proteger información de mayor grado de clasificación sobre determinadas redes 5G», afirma el CNI que, no obstante, insiste en «no es previsible ni a corto ni a medio plazo contar con pleno control sobre las redes 5G de operadores públicos», por lo que las órdenes son –insisten hasta la saciedad los servicios secretos- usar solo los terminales autorizados por el Centro Criptológico Nacional.