La Audiencia Nacional reabre el caso Pegasus de espionaje a los teléfonos de Sánchez y los ministros Robles, Marlaska y Planas

Las autoridades francesas exponen que sus investigaciones pretenden averiguar quién se encuentra detrás de estas infestaciones masivas

José Luis Calama, el juez de la Audiencia Nacional, ha acordado la reapertura de la causa Pegasus. Se investigaba la infección, llevada a cabo con un programa informático, de los dispositivos móviles de Pedro Sánchez, y de los ministros Margarita Robles (Defensa), Fernando Grande-Marlaska (Interior) y Luis Planas (Agricultura), tras recabar nueva información de las autoridades francesas.

El magistrado acuerda la reapertura tras haber recibido una Orden Europea de Investigación (OEI) emitida por las autoridades judiciales de Francia que incorpora una investigación llevada a cabo en el país vecino en 2021 por múltiples infecciones de teléfonos de periodistas, abogados, personalidades públicas y asociaciones gubernamentales y no gubernamentales, así como miembros de gobierno francés, ministros y diputados, con ese mismo software.

En la documentación aportada por Francia, las autoridades de ese país explican que se han dirigido a la mercantil Grupo NSO, sociedad de capital riesgo cuyo domicilio social se encuentra en Israel, y que ha desarrollado y comercializado el software Pegasus, en principio de venta exclusiva a organizaciones estatales con el fin de vigilar a personas sospechosas de terrorismo u otros delitos graves.

Del mismo modo, las autoridades francesas exponen que sus investigaciones pretenden averiguar quién se encuentra detrás de estas infestaciones masivas y que su investigación les ha llevado a solicitar auxilio judicial a Estados Unidos e Israel.

Los indicadores de compromiso

En el documento enviado por Francia se recogen además los indicadores de compromiso (IOCs), que son “una serie de datos que pueden indicar que un sistema ha sido comprometido por un atacante”.

Además, entre la documentación adjunta a la OEI, el juez explica que también se facilitan “los ficheros del sistema, las fechas de las actividades dirigidas u observadas, los nombres de dominio y los titulares de los nombres de dominio que aparecieron en el contexto del peritaje de las líneas infestadas por el software Pegasus”.

En este sentido, considera que la comparación de los elementos técnicos recogidos en la investigación francesa con los obtenidos por el Centro Criptológico Nacional en los análisis periciales de los dispositivos infectados del presidente del Gobierno y de los tres ministros puede permitir avanzar en las investigaciones llevadas en uno y otro país en orden a determinar la autoría de estas infestaciones.

Y recuerda que el sobreseimiento provisional permite reabrir una causa cuando aparecen nuevos datos. “Estas circunstancias constituyen nuevos datos adquiridos con posterioridad al sobreseimiento de las actuaciones que hacen precisa la reapertura de las actuaciones en orden a practicar las diligencias de investigación” pertinentes, dice.

En este sentido, el magistrado explica que las investigaciones en Francia determinaron que cada servicio que utilizaba el software Pegasus creaba una infraestructura que podía utilizarse para atrapar varios números. “Por tanto, es posible establecer comparaciones entre las pistas encontradas en los distintos teléfonos infestados para identificar una única fuente de infestación”, concluye.

Un informe pericial

Como principal diligencia, el juez de la Audiencia Nacional acuerda la práctica de un informe pericial que elaborará el Centro Criptológico Nacional con objeto de comparar los elementos técnicos recogidos en las investigaciones francesa y española y que lleve a determinar la autoría de los ataques informáticos.

“Todo ello permitirá una actuación conjunta y coordinada de las autoridades judiciales francesas y españolas en orden a determinar la autoría de la infestación llevada a cabo a través del programa espía Pegasus tanto en Francia como en España”, concluye el juez.

El archivo de Julio de 2023

Cabe recordar que Calama acordó en julio de 2023 el archivo provisional de esta causa por la “absoluta” falta de cooperación jurídica de Israel, que no contestó a la comisión rogatoria enviada por la Audiencia Nacional

En ese mismo auto de archivo, el juez explicaba que, de acuerdo con los indicios recabados a lo largo de la investigación, que se inició en abril de 2022, la infección del móvil del presidente del Gobierno se produjo en cinco ocasiones, entre octubre de 2020 y diciembre de 2021.

El primero de los procesos que se han detectado como dañinos se produjo entre el 19 y el 21 de mayo de 2021 y la cantidad de información “exfiltrada” entre ambas fechas fue de, al menos, 2,57 GB. El mismo se habría producido en el contexto de la entrada masiva de unos 10.000 inmigrantes en Ceuta entre el 17 y 18 de mayo que precisamente llevó a Sánchez a visitar este segundo día la ciudad autónoma, así como Melilla con Grande-Marlaska.

La segunda se detectó el 31 de mayo y la información “exfiltrada” fue de 130 MB. Ésta habría tenido lugar cuando el presidente del Gobierno se encontraba con el primer ministro de Polonia, Mateusz Morawiecki, en Alcalá de Henares con motivo de la XIII Cumbre Hispano-Polaca. Ese día, Marruecos publicó un comunicado en el que indicó que la crisis diplomática estaba motivada por la postura del Gobierno respecto al Sahara, por la acogida del líder del Frente Polisario, Brahim Ghali.

En cuanto al móvil de la ministra de Defensa, Margarita Robles, el instructor señalaba que presentaba indicios de haber sido infectado por Pegasus en cuatro ocasiones, entre mayo y octubre de 2021, mientras que el del ministro del Interior, Fernando Grande-Marlaska, lo fue en dos ocasiones, el 2 y el 7 de junio del mismo año.

Por su parte, el móvil del ministro de Agricultura, Luis Planas, habría sido objeto de una infección el 25 de junio de 2021, si bien la cantidad de información “exfiltrada” (inferior a 1 kb) sugiere un intento de infección no exitoso por la existencia de una de las aplicaciones “vacuna”.