El jutge de l'Audiència Nacional José Luis Calama ha acordat la reobertura de la causa en què investigava la infecció duta a terme amb el programa informàtic Pegasus dels dispositius mòbils del president del Govern, Pedro Sánchez, i dels ministres Margarita Robles (Defensa ), Fernando Grande-Marlaska (Interior) i Luis Planas (Agricultura), després de demanar nova informació de les autoritats franceses.
A la interlocutòria de reobertura, el magistrat acorda la reobertura després d'haver rebut una Ordre Europea de Recerca (OEI) emesa per les autoritats judicials de França que incorpora una investigació duta a terme al país veí el 2021 per múltiples infeccions de telèfons de periodistes, advocats, personalitats públiques i associacions governamentals i no governamentals, així com membres de govern francès, ministres i diputats, amb aquest mateix programari.
A la documentació aportada per França, les autoritats d'aquest país expliquen que s'han dirigit a la mercantil Grup NSO, societat de capital risc el domicili social del qual es troba a Israel, i que ha desenvolupat i comercialitzat el programari Pegasus, en principi de venda exclusiva organitzacions estatals per tal de vigilar persones sospitoses de terrorisme o altres delictes greus.
De la mateixa manera, les autoritats franceses exposen que les seves investigacions pretenen esbrinar qui es troba darrere d'aquestes infestacions massives i que la seva investigació els ha portat a sol·licitar auxili judicial als Estats Units i Israel.
I apunten que l'empresa NSO per mitjà d'una missiva el novembre del 2021 va negar ser responsable de la infecció dels telèfons i va afirmar que qualsevol informació addicional s'havia de sol·licitar a través de les eines de cooperació judicial.
De fet, Calama explica que a la documentació rebuda s'explica que els representants del Grup NSO van ser convocats a compareixences però no es van presentar a aquestes, i que des del 2021 se l'investiga per possibles activitats delictives.
Els indicadors de compromís
Al document enviat per França es recullen a més els 'indicadors de compromís' (IOCs), que són "una sèrie de dades que poden indicar que un sistema ha estat compromès per un atacant".
"Aquests indicadors poden incloure adreces IP, noms de domini, arxius maliciosos, patrons de trànsit de xarxa i comportament anòmal d'usuaris, entre d'altres", explica Calama, que afegeix que els IOC s'utilitzen en la detecció i la resposta a incidents de seguretat informàtica .
A més, entre la documentació adjunta a l'OEI, el jutge explica que també es faciliten "els fitxers del sistema, les dates de les activitats dirigides o observades, els noms de domini i els titulars dels noms de domini que van aparèixer en el context del peritatge de les línies infestades pel programari Pegasus".
En aquest sentit, considera que la comparació dels elements tècnics recollits en la investigació francesa amb els obtinguts pel Centre Criptològic Nacional en les anàlisis pericials dels dispositius infectats del president del Govern i dels tres ministres pot permetre avançar en les investigacions dutes a terme un i altre país amb vista a determinar l'autoria d'aquestes infestacions.
I recorda que el sobreseïment provisional permet reobrir una causa quan apareixen dades noves.
"Aquestes circumstàncies constitueixen noves dades adquirides amb posterioritat al sobreseïment de les actuacions que fan necessària la reobertura de les actuacions amb vista a practicar les diligències de recerca" pertinents, diu.
En aquest sentit, el magistrat explica que les investigacions a França van determinar que cada servei que utilitzava el programari Pegasus creava una infraestructura que es podia utilitzar per atrapar diversos números.
"Per tant, és possible establir comparacions entre les pistes trobades als diferents telèfons infestats per identificar una única font d'infestació", conclou.
Un informe pericial
Com a diligència principal, el jutge de l'Audiència Nacional acorda la pràctica d'un informe pericial que elaborarà el Centre Criptològic Nacional a fi de comparar els elements tècnics recollits en les investigacions francesa i espanyola i que porti a determinar l'autoria dels atacs informàtics.
Calama explica que quan obtingui el resultat d'aquest nou examen pericial es podrà fer un intercanvi més ampli d'informació amb les autoritats francesos i així conèixer el contingut de la informació que la mercantil NSO els va facilitar sobre el procés del control intern del programari Pegasus i un detall més complet sobre les recerques tècniques dutes a terme per l'Agència Nacional Francesa de Seguretat dels Sistemes d'Informació (ANSSI).
"Tot això permetrà una actuació conjunta i coordinada de les autoritats judicials franceses i espanyoles amb vista a determinar l'autoria de la infestació duta a terme a través del programa espia Pegasus tant a França com a Espanya", conclou el jutge.
L'arxiu de juliol de 2023
Cal recordar que Calama va acordar el juliol del 2023 l'arxiu provisional d'aquesta causa per l'"absoluta" falta de cooperació jurídica d'Israel, que no va contestar a la comissió rogatòria enviada per l'Audiència Nacional Després de subratllar que aquest espionatge "va posar en perill la pròpia seguretat de l'Estat", el jutge lamentava que "transcorregut més d'un any des de l'emissió de la comissió rogatòria esmentada no s'ha rebut cap resposta, malgrat haver estat objecte d'ampliació per una vegada, i reiterat el compliment en un altre parell d'ocasions ".
"Aquest silenci evidencia clarament una absoluta falta de cooperació jurídica per part del Govern d'Israel. Això permet presumir que la comissió rogatòria en qüestió, quatre vegades remesa, no serà emplenada mai", criticava el magistrat.
En aquest mateix acte d'arxiu, el jutge explicava que, d'acord amb els indicis recollits al llarg de la investigació -que es va iniciar l'abril del 2022- la infecció del mòbil del president del Govern es va produir en cinc ocasions, entre l'octubre del 2020 i desembre del 2021.
El primer dels processos que s'han detectat com a nocius es va produir entre el 19 i el 21 de maig del 2021 i la quantitat d'informació "exfiltrada" entre les dues dates va ser de, almenys, 2,57 GB.
S'hauria produït en el context de l'entrada massiva d'uns 10.000 immigrants a Ceuta entre el 17 i 18 de maig que precisament va portar Sánchez a visitar aquest segon dia la ciutat autònoma, així com Melilla amb Grande-Marlaska.
La segona es va detectar el 31 de maig i la informació “exfiltrada” va ser de 130 MB. Aquesta hauria tingut lloc quan el president del Govern es trobava amb el primer ministre de Polònia, Mateusz Morawiecki, a Alcalá de Henares amb motiu de la XIII Cimera Hispanopolonesa.
Aquell dia, el Marroc va publicar un comunicat en què va indicar que la crisi diplomàtica estava motivada per la postura del Govern respecte al Sàhara, per l'acolliment del líder del Front Polisario, Brahim Ghali.
Pel que fa al mòbil de la ministra de Defensa, Margarita Robles, l'instructor assenyalava que presentava indicis d'haver estat infectat per Pegasus en quatre ocasions, entre el maig i l'octubre del 2021, mentre que el del ministre de l'Interior, Fernando Grande-Marlaska, ho va ser dues vegades, el 2 i el 7 de juny del mateix any.
Per part seva, el mòbil del ministre d'Agricultura, Luis Planas, hauria estat objecte d'una infecció el 25 de juny de 2021, si bé la quantitat d'informació "exfiltrada" (inferior a 1 kb) suggereix un intent d'infecció no exitós per l'existència d'una de les aplicacions “vacuna”.