Siete servidores en España contenían dominios relacionados con Pegasus en 2018

En 2018 ya había al menos siete servidores españoles relacionados con Pegasus, y en aquel momento una investigación podría haber llegado al comprador o responsable legal de los dominios que alojaban. Pero esto no sucedió. Estamos en 2022, la Audiencia Nacional acaba de comenzar a investigar, y actualmente según los expertos es muy difícil seguir la pista para encontrar pruebas de quienes estuvieron utilizando Pegasus en España años atrás.

En junio de ese año, un miembro de Amnistía Internacional había recibido un mensaje de Whatsapp con un enlace malicioso dirigido a instalar un spyware sofisticado para móviles. Amnistía inició una investigación que terminó encontrando conexiones con una infraestructura de más de 600 nombres de dominio. Según se había documentado previamente, esta red estaba conectada al proveedor de vigilancia israelí NSO Group. Los mensajes recibidos por el activista de Amnistía y otros defensores de derechos humanos llevaban enlaces a dominios de esa misma infraestructura, que eran usados por NSO o por sus clientes para enviar malware designado para recopilar información secretamente a través de los móviles de sus víctimas. 

Una infraestructura de red con indicadores de ataques

No sólo estos dominios eran sospechosos sino que además contenían indicadores de compromiso (IOC, como se les conoce en el ámbito de la seguridad informática) de infraestructura que había sido identificada previamente como parte de Pegasus, la plataforma de spyware vendida por NSO Group. Los IOCs son indicadores que identifican ataques o vulnerabilidades una vez que la brecha ya se ha producido de manera concluyente. 

Aquella lista completa de dominios fue publicada por Amnistía en Github unos meses después.

Marcelino Madrigal, experto informático, ha comparado estas IPs con una base de datos donde están registradas las localizaciones de los rangos de IPs asociados a proveedores y operadores de internet. De esta forma ha encontrado que el país en el que más indicadores de Pegasus se han encontrado es Reino Unido con 111. Le siguen Hungría (75), Suiza (70), Holanda (69) y Estados Unidos (57). 

El analista ha encontrado siete dominios que han estado físicamente activos en servidores españoles al menos en ese momento, octubre de 2018. Estos resultados se basan en la localización geográfica de la IP. “Todas están asignadas y se puede saber dónde están”, afirma Madrigal. 

En cuanto a la posibilidad de obtener más información, se trata de una cuestión técnica. “Evidentemente, si hubiera habido voluntad de investigar, es posible que se hubiera podido obtener más información”, dice Carlos de las Heras, de Amnistía Internacional. “En cualquier caso, no podemos dejar de lado que dichas IP's podrían estar usando otras vías para ocultar su verdadera localización”, agrega. 

Una pista que nadie siguió

Los datos referentes al responsable de los dominios, o a quienes los compraron o pagaron por ello podrían haberse conseguido con una orden judicial, pero no los tenemos. Ninguna institución del Gobierno español se puso en contacto con Amnistía Internacional en relación a esa publicación. ¿Hubo algún tipo de procedimiento en 2018 sobre esos dominios por parte del Ministerio del Interior? Desde este ministerio no les consta y nos remiten a preguntar al Consejo General del Poder Judicial. Y desde allí nos dicen que no tienen información sobre cada una de las investigaciones que lleven a cabo los jueces. 

La Audiencia Nacional acaba de iniciar una investigación, en los primeros días de mayo de 2022, con pocas posibilidades de encontrar al autor del espionaje en los móviles del presidente Pedro Sánchez y de la ministra de Defensa, Margarita Robles. Impulsada por una denuncia Abogacía del Estado, abre diligencias por un posible delito de descubrimiento y revelación de secretos. 

¿Quién está investigando en España lo que ha sucedido con el resto de ciudadanos espiados con Pegasus? La cifra que maneja Citizen Lab de potenciales teléfonos espiados con prefijo español (+34) alcanza a 1.483, según fuentes citadas por eldiario.es. Por la complejidad de este software, que hace que sea prácticamente indetectable, es casi imposible obtener resultados si no se hacen análisis forenses.

Investigaciones sobre Pegasus en marcha

Hemos preguntado a la Audiencia Nacional si en alguno de los seis Juzgados Centrales de Instrucción hay otros procedimientos relacionados con Pegasus, además del que se tramita por la denuncia referida a los móviles del presidente del Gobierno y de la ministra de Defensa. Desde la oficina de Prensa nos dicen que no les consta ninguna otra investigación relacionada con este spyware y que no tienen información sobre si se han investigado los datos publicados por Amnistía en 2018. 

Es cierto que España no figuraba entre los 45 países espiados cuando en septiembre de 2018 Citizen Lab presentó otro informe en el que identificaba servidores que habían sido infectados por Pegasus. Aquellos datos se basaron en la geolocalización a nivel de país de los servidores DNS, por lo que factores como las VPN y las ubicaciones de los telepuertos de Internet por satélite pueden haber introducido inexactitudes. 

No sería hasta julio de 2020 cuando sabemos que había sucedido algo inédito hasta entonces: el uso de este software de espionaje en representantes públicos de un país democrático. Y había sucedido en España. El País y The Guardian, basándose en informes de Citizen Lab, revelaron entonces que Pegasus había atacado los dispositivos de Roger Torrent, entonces president del Parlament de Catalunya; al diputado Ernest Maragall, de ERC, y a la exdiputada de la CUP Anna Gabriel.

En aquel momento hubo peticiones de una comisión de investigación al Gobierno, pero el tema murió a las pocas semanas. “En ese momento desconocíamos lo que era Pegasus”, ha dicho Joaquín Gil, periodista de El País que cubrió el tema, en un episodio del podcast del diario. Aquel fue el germen de la investigación que inició Citizen Lab sobre los móviles de los independentistas y que ha publicado los resultados dos años después. 

A día de hoy, las investigaciones que hay en marcha en España indagan en los casos de los miembros del Gobierno estatal o los relacionados con el independentismo catalán. Òmnium Cultural y la CUP han llevado sus denuncias al Juzgado de Instrucción 32 de Barcelona, donde una investigación abierta por espionaje con Pegasus con escasas diligencias no ha arrojado resultados significativos desde hace año y medio. 

Gonzalo Boye, abogado de Carles Puigdemont y otros representados víctimas de Pegasus y espiado él mismo, ha presentado una querella ante un juzgado de Madrid en la que apunta directamente a las empresas israelíes NSO Group, Q Cyber Technologies;  la luxemburguesa Osy Technologies, tres de sus responsables, y cuantas personas estén involucradas en la intromisión ilegítima de su dispositivo.

Un juez de Madrid ha archivado hace unos días una investigación abierta a raíz de la denuncia del periodista Ignacio Cembrero en agosto de 2021. Cembrero había denunciado tras conocer a través de una investigación del consorcio de medios Forbidden Stories que su móvil figuraba en una lista de espionaje como objetivo a infiltrar “por parte de alguna autoridad marroquí”, según la denuncia del Ministerio Fiscal. La causa fue sobreseída provisionalmente por la Fiscalía de Madrid un par de meses después por no haber “motivos suficientes para acusar a determinada o determinadas personas como autores, cómplices o encubridores”.