La pista francesa sobre Pegasus enviada a la Audiencia Nacional pone el foco en Marruecos

Los resultados, todavía preliminares, de la nueva prueba pericial que hace un mes encargó el juez de la Audiencia Nacional José Luis Calama, instructor de la causa, al Centro Criptológico Nacional (CCN, el corazón tecnológico del CNI) sobre los datos de la Agencia Nacional Francesa de Seguridad de los Sistemas de Información (ANSSI), revelan «multitud» de paralelismos entre las infecciones a activistas saharauis en territorio galo y los 'hackeos' sufridos, particularmente, en los móviles de los ministros Margarita Robles y Fernando Grande-Marlaska.

Así lo aseguran a este periódico diversas fuentes, según las cuales esta OEI ha confirmado que Pegasus usó la cuenta de correo linakeller2203@gmail.com, la misma que el 'malware' israelí usó para intervenir las terminales de los titulares de Defensa y de Interior, para controlar en la misma época a, al menos, cuatro personas en Francia señaladas por el régimen de Rabat por su defensa de la causa saharaui.

Se trata de la activista francesa Claude Mangin, esposa del preso político saharaui Naama Asfari; Oubir Bachir, diplomático del Frente Polisario; Philippe Bouyssou, alcalde de Ivry-sur-Seine, muy activo en causas solidarias con la excolonia española; y Hicham Mansouri, un periodista de investigación marroquí que vive exiliado en Francia.

El espionaje con el sistema de la empresa israelí NSO Group a los activistas saharauis se produjo en verano de 2021, en fechas muy cercanas a los ataques a los ministros españoles. En el caso de Robles, su móvil «presentaba indicios» de haber sido infectado por Pegasus en cuatro ocasiones, entre mayo y octubre de 2021 y los investigadores calculan que la cantidad de información exfiltrada podría ser de 9 megabytes entre el 18 y el 23 de junio, aunque no descartan una cantidad mayor.

El terminal de Grande-Marlaska, por su parte, fue infectado en dos tandas: entre el 2 y el 7 de junio de 2021, con 400 megas de información exfiltrada (días después de la grave crisis por la entrada ilegal de cerca de 10.000 inmigrantes irregulares a Ceuta), y entre el 7 y el 23 de junio, cuando el robo, siempre usando el mismo correo electrónico que espió a los saharauis, ascendió a, «al menos», 6,3 gigas de memoria.

Estos mismos responsables de la seguridad del Estado consultados precisaron que el teléfono de Sánchez no fue infectado por Pegasus a través de la citada cuenta de correo linakeller2203@gmail.com, sino a través de un sistema similar de nombre parecido: un iMessage de LinaKeller, que se hizo con el control del móvil del presidente del Ejecutivo sin necesidad de que él lo abriera siquiera.

El móvil de Sánchez fue espiado hasta en cinco ocasiones, también en las mismas fechas: el 13 de octubre de 2020 y el 19 y 31 de mayo, el 12 de junio y el 27 de diciembre de 2021.

La investigación enviada a la Audiencia Nacional por el país vecino, en cualquier caso, es mucho más amplia que el espionaje a los activistas prosaharauis señalados por Rabat, pues incluye múltiples infecciones de teléfonos de periodistas, abogados, personalidades públicas y asociaciones gubernamentales y no gubernamentales, así como miembros de gobierno francés, ministros y diputados.

En ese documento -que precisamente provocó a finales de abril que el juez Calama reabriese el caso tras haberlo archivado de forma provisional en julio de 2023 por la «absoluta» falta de cooperación de Israel en el caso de la empresa NSO- también se recogen los denominados «indicadores de compromiso (llamados IOCs)». Una serie de datos que pueden indicar que un sistema ha sido comprometido por un atacante.

Al margen del ya citado correo electrónico de Gmail, la información de Francia también ha revelado la presencia en los teléfonos infectados en aquel país por Pegasus, tanto a los activistas saharauis como a otras víctimas, de «procesos externos maliciosos» (que son la base para el robo de datos) idénticos a los hallados en los terminales de los miembros del Gobierno español.

En el móvil de Sánchez, los técnicos del CCN encontraron un elemento con el nombre de «aggregatenotd», muy similar al autorizado («aggregated») y otro denominado «Hmdwatchd». En el de Robles apareció otro proceso de robo de información, de nombre «fservernetd». «Esos tres procesos fueron usados también en Francia en el espionaje con Pegasus a políticos y activistas», apuntan los técnicos de la seguridad del Estado consultados por este periódico.