Francia recurrió a un programa policial de Israel y a Amnistía Internacional en su investigación por Pegasus

Francia utilizó hasta quince programas para investigar el jaqueo con Pegasus a miembros de su Gobierno en 2021. La Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) así lo ha trasladado a la Audiencia Nacional después de que en febrero del año pasado el magistrado que investiga el espionaje al móvil del presidente del Gobierno solicitara a las autoridades galas información sobre los métodos empleados para así esclarecer la autoría del ataque que sufrieron también tres ministros de Sánchez.

En su respuesta, la agencia pública francesa explica que el programa que comercializa la tecnológica israelí NSO Group es especialmente sigiloso y que recurrieron a una quincena de archivos para detectar la infección de la que también fueron víctimas periodistas, abogados y asociaciones gubernamentales y no gubernamentales de defensa de los derechos humanos. Según ha podido saber LA RAZÓN los expertos en ciberseguridad recurrieron al software israelí Cellebrite (también empleado en España por la Policía y la Guardia Civil) y la herramienta GrayKey, que permite recuperaciones completas de archivos.

Además, en su investigación emplearon la herramienta Mobile Verification Toolkit (MTV) desarrollada por Amnistía Internacional que detecta si un teléfono móvil tiene trazas de Pegasus. Según precisan, el programa (que procesa información y la convierte a un formato legible) fue de gran validez en sus pesquisas. Tanto, que gracias al mismo Francia desarrolló su propia herramienta. A partir de estos avances, se apoyaron en un total de quince "artefactos" a través de los cuáles pudieron confirmar las infecciones. Entre otros destacan DataUsage.sqlite (que incluso determina el total de información jaqueada por Pegasus), los archivos de caché WebKit (que identifica los dominios maliciosos a través de los cuáles se efectúa el espionaje) o el registro de Apple mobileactivationd.log (que, al facilitar las fechas de actualización del teléfono, aporta datos sobre el método empleado por los "hackers").

Ayuda de Amnistía Internacional

En cualquier caso, Francia precisa que no ha estado en ningún momento en contacto con NSO Group ni con ningún cliente o distribuidor suyo. No obstante, en su primera notificación a la Audiencia Nacional confirmó que la empresa israelí les facilitó "cierta información" sobre sus operaciones y el proceso de control de este programa que, en principio, solo se puede vender a organizaciones estatales para vigilar delitos de terrorismo u otros especialmente graves. Precisamente, el auxilio de Francia propició la reapertura de estas diligencias, que arrancaron en mayo de 2022 después de que la Abogacía General del Estado así lo solicitara tras constatar un espionaje al móvil del presidente con Pegasus en 2021.

El instructor abrió causa por delito de revelación de secretos y encargó un estudio al Centro Nacional de Inteligencia (CNI), que determinó que se produjeron cinco infecciones en el móvil de Sánchez entre octubre de 2020 y mayo de 2021. En total le extrajeron 2,7 gigas de información, aunque el grueso de estos datos se produjo con las infecciones de mayo de 2021. Las mismas tuvieron lugar en plena crisis con Marruecos por la entrada secreta del líder del Frente Polisario, Brahim Ghali, en España. De hecho, la publicación en prensa de que estaba siendo atendido en un hospital de Logroño hizo que Rabat respondiera utilizando a los migrantes para presionar al Ejecutivo.

Ahora, en su contestación, Francia apunta por primera vez a Marruecos como el posible autor de los ataques. Sin embargo, la investigación penal en España nunca pudo confirmar la autoría de los mismos. De hecho, la falta de colaboración de las autoridades israelíes llevó a la Audiencia Nacional a archivar estas diligencias en julio de 2023. Hasta en más de tres ocasiones instó el magistrado instructor a obtener una respuesta de Tel Aviv para poder interrogar a los responsables de NSO Group, pero en ninguna de ellas obtuvo respuesta. El asunto quedó en punto muerto hasta que Francia emitió una Orden Europea de Investigación (OEI) para obtener información de las autoridades españolas, tras conocer que el Gobierno había sido víctima también de jaqueos con Pegasus.

Eurojust

En respuesta, Calama reabrió las diligencias en abril del año pasado y encargó al CNI un nuevo estudio para comparar todos los indicadores aportados por las autoridades galas con los obtenidos por el Centro Criptológico Nacional (CCN). Como informó este medio, el CNI entregó sus conclusiones a la Audiencia Nacional hace un año. Las mismas sirvieron al juez para emitir una OEI a Francia para que remitiera a España información sobre la metodología empleada en su investigación sobre este asunto. El magistrado libró el auxilio en febrero pero no hubo respuesta. Fuentes de la investigación confirman a este medio que ante el silencio del país vecino en julio se volvió a reiterar una nueva solicitud a París, pero tampoco contestó.

Ante ello, España recurrió a la Unión Europea. En concreto, solicitó ayuda a Eurojust; la Agencia de la UE para la Cooperación Judicial en Materia Penal. El objetivo de los investigadores es que Francia atendiera a la petición formulada a principios de año y facilitara toda la información que le suministró Israel sobre el ataque. Con todo, cabe precisar que NSO Group negó en todo momento estar detrás de los jaqueos al Gobierno francés y sus ministros. Finalmente, Francia ha cumplido con el requerimiento, aunque la respuesta se ha ceñido a facilitar información sobres los métodos empleados para determinar el ciberataque.