Marruecos infectó el móvil de Sánchez con Pegasus durante su visita a Ceuta en 2021

Han pasado cinco años desde que se destapó el caso Pegasus en España, pero hasta ahora no había quedado claro cómo lograron infectar un teléfono con los niveles de seguridad del presidente del Gobierno. La investigación judicial se estancó por la falta de colaboración israelí y las limitaciones técnicas para rastrear este tipo de ataques. Sin embargo, nuevos datos aportados por fuentes de inteligencia permiten reconstruir lo que ocurrió.

PUBLICIDAD

PUBLICIDAD

El 18 de mayo de 2021, Pedro Sánchez viajó a Ceuta acompañado por el ministro del Interior, Fernando Grande-Marlaska. La ciudad autónoma vivía el caos tras el asalto masivo de más de 10.000 personas el día anterior, una maniobra orquestada por Rabat como represalia por haber atendido médicamente a Brahim Ghali, líder del Polisario. Durante esa visita, el presidente y el ministro recorrieron el Centro Operativo de Seguridad en El Tarajal, a pocos metros de territorio marroquí, y después sobrevolaron la zona en helicóptero antes de dirigirse a Melilla.

Ese desplazamiento resultó ser, según análisis posteriores, una decisión que debió evitarse. Marruecos había desplegado dispositivos IMSI-Catcher, del tamaño aproximado de una maleta, capaces de hacerse pasar por antenas de telefonía falsas.

Estos aparatos capturan la señal de los móviles cercanos y extraen información técnica como los códigos IMSI e IMEI. El teléfono de Sánchez se conectó a estos dispositivos en tres ubicaciones ese día: El Tarajal, durante el sobrevuelo y en Melilla. Solo el presidente y su séquito estuvieron en esas tres localizaciones, lo que permitió a la inteligencia marroquí identificar y aislar la firma de sus dispositivos sin margen de error.

Infección silenciosa y robo de datos

La infección con Pegasus se produjo el 18 de mayo, aprovechando esas conexiones furtivas a los falsos puntos de red. Según los expertos consultados, Marruecos utilizó una técnica zero-click, la más sofisticada del arsenal de NSO Group. No hizo falta que Sánchez pulsara ningún enlace ni abriera ningún archivo sospechoso. El malware entró sin dejar rastro mientras su móvil se comunicaba con los dispositivos marroquíes.

Al día siguiente, el 19 de mayo, se registró el mayor robo de información del terminal presidencial. El CNI pudo confirmar esa fecha exacta durante su investigación. Pocas horas después, la seguridad del Estado dio la voz de alarma. El pánico en Moncloa fue tal que el 20 de diciembre se produjo un vuelo urgente de personal de NSO Group a Málaga para intentar evaluar el alcance del ataque. Fue el primero de varios contactos que el Gobierno mantuvo con la empresa israelí en las semanas siguientes.

Marruecos había adquirido estos sistemas IMSI-Catcher a la alemana Rohde & Schwarz, y también disponía de variantes militares compradas a la israelí Elbit Systems. Estos últimos pueden instalarse incluso en drones y tienen alcance suficiente para cubrir todo Ceuta o Melilla, facilitando operaciones como la ejecutada contra Sánchez.

Un modus operandi conocido

La técnica utilizada contra el presidente español no fue improvisada. La inteligencia marroquí ya había empleado el mismo método zero-click para infectar los móviles de dos periodistas críticos con el régimen, Imar Radi y Maati Monjib. La huella que Pegasus dejó en sus dispositivos resultó muy similar a la encontrada en los terminales del Gobierno español, lo que refuerza la autoría de Rabat que acabó con la destitución de la directora del CNI.

El Gobierno ocultó el espionaje durante un año completo. Cuando finalmente se hizo público, la investigación judicial apenas avanzó. Israel nunca colaboró con las autoridades españolas y la extrema dificultad técnica para rastrear Pegasus, que apenas deja rastro, convirtió en tarea imposible determinar qué información exacta se robó.

Pero entre los servicios de inteligencia españoles no existe duda: fue Marruecos quien pinchó los teléfonos de Sánchez, Marlaska y la ministra Margarita Robles.