Por las fechas del ataque, la intrusión se corresponde con la vulnerabilidad ForcedEntry de los teléfonos móviles, que utiliza el envío de PDF malformados a los terminales para espiarlos
El anuncio por parte del Gobierno del espionaje sufrido en los teléfonos móviles del presidente del Gobierno, Pedro Sánchez, y la ministra de Defensa, Margarita Robles, deja varias preguntas en el aire sobre la forma en la que éstos se han realizado o la seguridad de los dispositivos de los miembros del Ejecutivo. Arrojamos luz sobre lo ocurrido con el analista de inteligencia Marcelino Madrigal.
Una de las cuestiones que el Gobierno tiene claras sobre el ataque a los móviles de Sánchez y Robles es que se trata de una injerencia “externa”. “Tenemos absoluta certeza de que es un ataque externo porque en España todas las intervenciones se producen por organismos oficiales y con autorización judicial, y en este caso no hay estas circunstancias”, ha asegurado el ministro de Presidencia, Relaciones con las Cortes y Memoria Democrática, Félix Bolaños, durante la rueda de prensa ofrecida este lunes en La Moncloa.
Sobre qué país puede ser el causante de los ataques, Madrigal ha señalado a Newtral.es que “Marruecos es usuario de Pegasus”. “Hay activistas de Marruecos que han sido espiados con esta tecnología”, concreta como ejemplo.
Por otro lado, el analista experto en inteligencia puntualiza que “los Emiratos Árabes también lo tienen y existen anécdotas como la de un príncipe de Dubai que lo utilizó para su divorcio”. “En los países dónde hay menos controles legales es donde más se utilizan este tipo de softwares”, explica Madrigal.
Este tipo de programas de espionaje en teléfonos se aprovechan, según relata Madrigal, de “diferentes vulnerabilidades de los móviles”. “En un principio, Pegasus utilizaba una vulnerabilidad relativa a la aplicación de Iphone Imessage y también de WhatsApp, pero por la fecha de los ataques, esta intrusión se corresponde con la vulnerabilidad CVE-2021-30860 o ForcedEntry”, estima el analista.
El tipo de hackeo se realiza, según ha explicado a Newtral.es Madrigal, a través del “envío de PDF malformados”, como “una especie de phishing”. “La descarga de estos archivos permite ejecutar un código e instalar un spyware (software de espionaje como Pegasus), con el que es posible el envío de información de nuestro teléfono móvil”, subraya el experto.
En el caso de la denuncia de espionaje con Pegasus realizada por los dirigentes independentistas, el tipo de vulnerabilidad utilizada no fue la misma. “En su caso no fue necesario ni que pincharan en un enlace de descarga para que el software funcionara, mientras que en el caso de Sánchez y Robles sí”, explica Madrigal.
Según la información ofrecida por el Gobierno, del teléfono móvil de Pedro Sánchez se habrían espiado unos 2,6 GB de datos en la primera intrusión (cometida en mayo de 2021) y 130 MB en la segunda (en junio de 2021). Por otro lado, del teléfono de Margarita Robles se habrían extraído 9 MB.
Madrigal explica que las cantidades de información espiadas son considerables, especialmente los 2 GB del teléfono del presidente del Gobierno. “El uso habitual de un terminal móvil no suele ser el envío de información, sino la descarga”, matiza el analista, que compara la información espiada del teléfono de Sánchez con la descarga y posterior subida a una red social de una película en resolución 4K.
Pese a que las intrusiones en los teléfonos móviles del presidente del Gobierno y la ministra de Defensa se realizaron en mayo y junio de 2021, las alarmas no han saltado hasta casi un año después.
Sobre la tardanza de reacción, Madrigal apunta que “el problema es que están usando teléfonos con información sensible como si fuera un terminal personal”. “No ha existido un control de esos teléfonos, porque ante un envío tan grande de información deberían haber saltado las alarmas”, lamenta el experto.
En cuanto al modo de detectar este tipo de intrusiones, Madrigal resalta que “solo sabemos lo que ha dicho el Gobierno”. Sin embargo, el analista expone que “seguramente habrán detectado un fallo en cascada, que es uno de los identificadores de Pegasus, que intenta borrar así la huella de su instalación en los teléfonos”.
La principal recomendación que Madrigal hace para la seguridad de los teléfonos de los miembros del Gobierno es “no utilizar los terminales de manera personal”. “Estos teléfonos deben ser canales seguros y vigilados, hay que evitar el empleo de estos smartphones como si fueran personales cuando tienen información sensible”, avisa.
Además, Madrigal subraya que terminales como los de Sánchez y Robles “deberían estar securizados” -el Gobierno cuenta con teléfonos fijos encriptados especiales, pero no con móviles de este tipo- y contar con “plataformas para controlar y vigilar la actividad del teléfono”. “Hay que controlar continuamente los tráficos para ver si ha habido cambios en las últimas semanas o meses, así como llevar un control de cómo está funcionando el móvil para ver si está siendo atacado”, añade.
“El tema del cambio de las contraseñas sirve para otro tipo de software, aquí hablamos de spyware, un software específico para espiar”, avisa.