El año pasado "The Guardian" publicaba que entre el listado de números telefónicos que habían sido pirateados mediante el sistema israelí Pegasus se encontraban el de Boris Johnson, premier británico, y el presidente del Estado francés, Emmanuel Macron. La diferencia con el Estado español es que ambos países negaron la mayor. No es propio de un Estado confesar semejante vulnerabilidad.

En esa lista del periódico britámico había trece jefes de estado y de gobierno, incluido el de Pakistán, que, al igual que Reino Unido y el Estado francés, es potencia nuclear. También ha sido víctima de Pegasus parte del Gobierno polaco cuya estabilidad está muy comprometida debido a la guerra en Ucrania.  

Marcelino Madrigal, experto en ciberseguridad, apunta que la confesión de que a Sánchez le han espiado va a abrir un problema diplomático. «La licencia de uso de Pegasus fuera debe de Israel debe ser aprobada por el Servicio de Inteligencia israelí. Cuando alguien compra Pegasus, el Gobierno israelí lo aprueba. Y además, luego se verifica que el uso sea correcto. Si se ha espiado a Sánchez, el Gobierno israelí lo tiene que saber».

En principio, solo los estados tienen acceso a este programa informático capaz de infectar el móvil y robarle información. Se sabe que un príncipe emiratí lo usó para controlar a su esposa. Citada la anécdota, si se ha pinchado el teléfono de Sánchez tiene que haber sido un servicio secreto gubernamental. O le pinchó el teléfono el propio CNI o ha sido una potencia extranjera. 

«Puede haber sido Marruecos, por ejemplo», sugiere Madrigal. Es conocido que Mohammed VI ha hecho uso del programa para espiara mandatarios argelinos. Y en el momento en que se robaron los datos a Sánchez, la valla de Melilla estaba muy tensionada.

Quitando las especulaciones, hallar evidencias que conduzcan hasta la entidad que se llevó esos datos de los móviles del presidente español y de la ministra de Defensa será complicado. Y, además, hay que querer hacerlo. Pues dependiendo quién se encuentre al otro lado del hilo, entonces sí que puede desatarse una crisis diplomática de entidad.

Afirmar que un móvil se ha infectado con Pegasus pasa por encontrar en el dispositivo lo que los expertos llaman «indicadores de compromiso»; detectar en el dispositivo ciertas pistas o señales que permitan afirmar que ahí ha actuado el programa ladrón de archivos. El problema es que los indicadores de compromiso de Pegasus no están demasiado claros.

El rastro de Pegasus también es un secreto

Que exista cierto secretismo sobre los indicadores de Pegasus es, según explica Madrigal, entendible. «Si alguien dice que ha detectado a Pegasus por esto y esto, le da la oportunidad al desarrollador de cambiarlo y, de este modo, el método no serviría para la siguente vez». 

Citizen Lab, la entidad que ha destapado el espionaje al independentismo catalán y también al vasco, de alguna manera, está atrapada por esta necesidad de discreción. Madrigal recuerda que los datos encontrados por Citizen Lab no se han hecho públicos para que sus afirmaciones puedan ser verificadas por analistas externos. 

Más allá de encontrar esos indicadores de compromiso en el aparato, quien haya utilizado Pegasus puede dejar alguna otra pista que permita perseguirlo. «Los datos del móvil infectado se suelen enviar a lo que denominamos un servidor antibalas, que son unos servidores como muy distraídos, que no miran ni quién cuelga ni qué cuelga. Habrá que ver adónde han ido los dos gigas que han salido del móvil de Sánchez. Si es un servidor que está alojado en la Unión Europea, rastrear será técnicamente complicado, pero no imposible. Va a estar interesante», afirma Madrigal.