El CNI alertó hace cinco años de la amenaza de Pegasus, uno de los ciberataques “más sofisticados de la historia”

El Centro Nacional de Inteligencia es el centro de la atención desde hace varias semanas, algo poco habitual y que tratan de evitar todos los servicios de inteligencia del mundo. Primero fueron las denuncias sobre espionaje a decenas de políticos y dirigentes de asociaciones independentistas de Cataluña, y después los robos de información de los teléfonos móviles de Pedro Sánchez y de Margarita Robles.

En un caso, al CNI le persigue la acusación de haber rebasado los límites legales para espiar a líderes independentistas; en el otro, no haber evitado que una potencia extranjera se colara ni más ni menos que en el teléfono móvil del mismo presidente del Gobierno.

Ambas polémicas tienen el mismo protagonista: Pegasus, el programa espía desarrollado y comercializado por la empresa israelí NSO Group.

En estos días se han recuperado distintos documentos del Centro Criptológico Nacional (CCN) sobre este tipo de ciberataques contra dispositivos móviles: un informe de buenas prácticas con dispositivos móviles, de mayo de 2021 (cuando se produjeron las intrusiones en los móviles de Sánchez y Robles); y otro documento de julio de 2021, en el que el organismo de ciberseguridad de la administración alertaba a los altos cargos del peligro de que sus móviles fueran infectados con Pegasus.

Pero Confidencial Digital ha podido comprobar ahora que el software espía de origen israelí ya estaba en el punto de mira del Centro Criptológico Nacional, y por tanto del CNI, desde varios años antes. En abril de 2017, hace cinco años, el Centro Criptológico Nacional publicó un “Informe de Amenazas CCN-CERT IA-06/17” sobre “Dispositivos y Comunicaciones Móviles. Informe Resumen 2016”.

Ese documento hacía balance de la evolución de las amenazas cibernéticas en 2016 y en años anteriores, e incluía una previsión de las tendencias en este ámbito para 2017. Pues bien: ya en dicho informe de 2017 se mencionaba al sistema Pegasus. Y se hacía como una alerta por el peligro que conllevaba este software espía.

Un SMS con Pegasus

El Centro Criptológico Nacional dedicó un punto del informe a analizar “otros riesgos asociados a plataformas móviles”, además de las amenazas del malware. Destacó el uso de mensajes con enlaces web que albergan código dañino: el llamado ‘phising’, o ‘SMiShing’, por el uso de SMS o de aplicaciones de mensajería.

En ese apartado, el primer caso concreto de ‘SMiShing’ que mencionó fue una infección con el programa objeto de polémica en España en las últimas semanas:

-- “El ataque apodado como Pegasus que tuvo lugar en agosto de 2016 contra Ahmed Mansoor, un defensor de los derechos humanos de reconocido prestigio a nivel internacional y residente en los Emiratos Árabes Unidos, utilizó técnicas basadas en el envío de un mensaje SMS dañino para intentar infectar el iPhone de la víctima y tomar control completo del mismo mediante un software de espionaje (spyware) sofisticado, empleando tres nuevas vulnerabilidades para iOS desconocidas públicamente con anterioridad (0-days), y cuyo valor en el mercado de vulnerabilidades (tal como se detallará posteriormente) es muy elevado”.

El informe enlazaba a dos artículos en los que una empresa alemana de ciberseguridad, SektionEins, analizó con numerosos detalles técnicos las vulnerabilidades del sistema operativo iOS que habían facilitado la infección con el programa Pegasus. Y lo hacía a partir de ese caso de un activista emiratí que había sido espiado con dicho software.

Un ataque muy sofisticado

Sobre este episodio de ataque cibernético, el Centro Criptológico Nacional destacó que Pegasus era “probablemente uno de los ataques más sofisticados de la historia”. Explicó que este programa “dispone de la capacidad de comprometer un dispositivo móvil iOS, con la última versión disponible en el momento de su utilización, con una sola pulsación en un enlace web por parte del usuario víctima”.

Detalló además que “las tres vulnerabilidades explotadas por Pegasus fueron resueltas por Apple en iOS 9.3.5 y, finalmente, de nuevo, en iOS 10.0.1”. Y lo puso en el contexto de que “en el caso de iOS, Pegasus puede ser englobado dentro de una categoría de malware asociado al ciberespionaje móvil patrocinado por gobiernos”.

Este último punto es relevante, ya que en estas semanas que tanto se ha hablado sobre Pegasus, ha habido versiones contradictorias sobre si la empresa NSO Group sólo vende su software a organismos gubernamentales (cuerpos policiales, servicios de inteligencia…), o si por el contrario una gran empresa también puede usar esta herramienta de ciberespionaje, si tiene el presupuesto suficiente para adquirirla a NSO.

El CNI había comprado Pegasus en 2016

Esta alerta del Centro Criptológico Nacional se difundió en un informe de 2017, que hacía balance de 2017. El año no es baladí: según ha publicado la Agencia Colpisa, “el Centro Nacional de Inteligencia adquirió en el 2016 la licencia de uso de Pegasus por más de 5 millones de euros”, y “la inteligencia española comenzó a usar el sistema en otoño de 2016, convirtiéndose España en el primero país europeo en activarlo”.

Es decir, que el CNI, a través del Centro Criptológico Nacional, alertaba en público de Pegasus como protagonista de uno de los ciberataques más sofisticados de la historia, “asociado al ciberespionaje móvil patrocinado por gobiernos”; y al mismo tiempo, de forma reservada, había contratado ese mismo software y estaba empezando a utilizarlo en ciertas misiones de espionaje.

En 2018, el mismo organismo difundió el “Informe Anual 2017. Dispositivos y comunicaciones móviles”. Ahí mencionaba otro episodio relacionado con Pegasus:

-- “En abril de 2017, Google también bloqueó otro spyware dirigido, conocido como Chrysaor27, con un número reducido de infecciones, menos de 36, en países muy concretos y asociado a NSO Group. Además, parecía estar vinculado al spyware Pegasus dirigido contra dispositivos móviles iOS en agosto de 2016, ya descrito en el informe del pasado año”.