El expresidente de la Generalitat, Carles Puigdemont. / ÁLEX SÁNCHEZ

El CNI adquirió el programa de espionaje cuando Puigdemont llegó a la Generalitat

'La Casa' compró a toda prisa en 2016 la licencia después de que Wikileaks filtrara meses antes sus sistemas de vigilancia

Melchor Sáiz-Pardo
MELCHOR SÁIZ-PARDO Madrid

El Gobierno no confirma que el Centro Nacional de Inteligencia (CNI) esté detrás del espionaje masivo con el 'malware' Pegasus al independentismo catalán y vasco. Pero tampoco lo desmiente. La versión oficial (e inamovible) es que los servicios secretos «actúan siempre con pleno sometimiento al ordenamiento jurídico». Pero lo cierto –y así lo han revelado en las últimas horas diversas fuentes de las seguridad del Estado a este periódico– es que la inteligencia española cerró a principios de 2016 la compra del 'software' del programa espía con la compañía israelí NSO Group coincidiendo con la llegada de Carles Puigdemont a la Presidencia de la Generalitat tras el veto de la CUP a Artur Mas.

Aunque la gran mayoría de los pinchazos detectados a los políticos soberanistas se produjeron después de la sentencia del Supremo que condenó a los líderes del 'procés' en octubre de 2019 y en plenas negociaciones para la investidura de Pedro Sánchez, el CNI comenzó a usar este sistema «con moderación», por su alto coste y a la espera de ver sus resultados, ya en otoño de 2016. Es decir, justo un año antes de que el referéndum del 1-O marcará el punto álgido de la intentona secesionista. España fue el primer Estado europeo en contratar los servicios de NSO.

Las claves de Pegasus y el ‘procés’

2016

A principios de 2016 el CNI adquiere la licencia de Pegasus por más de cinco millones de euros. El 12 de enero de ese año Carles Puigdemont se convierte en presidente de la

Generalitat tras el veto de la CUP

a Artur Mas.

2017

Jordi Sànchez, expresidente de la ANC, es el único independentista espiado con Pegasus antes del 1-O. Constan intervenciones de su

teléfono desde mayo de 2017.

2020

2019

En octubre de 2019 se hace pública

la sentencia del Supremo sobre el ‘procés’. Es a partir de ese momento

y durante 2020 cuando se registran la mayoría de las intervenciones de los ‘smartphones’ de los independentistas.

Á.SÁNCHEZ

Las claves de Pegasus y el ‘procés’

2016

A principios de 2016 el CNI adquiere la licencia de Pegasus por más de cinco millones de euros. El 12 de enero de ese año Carles Puigdemont se convierte en presidente de la Generalitat tras el veto de la CUP a Artur Mas.

2017

Jordi Sànchez, expresidente de la ANC, es el único independentista espiado con Pegasus antes del 1-O. Constan intervenciones de su

teléfono desde mayo de 2017.

2019

2020

En octubre de 2019 se hace pública

la sentencia del Supremo sobre el ‘procés’. Es a partir de ese momento

y durante 2020 cuando se registran la mayoría de las intervenciones de los ‘smartphones’ de los independentistas.

Á.SÁNCHEZ

Siempre de acuerdo con estas mismas fuentes, que en ningún momento confirman que el CNI empleara el programa espía para pinchar los 'smartphones' de los políticos independentistas ni antes ni después del plebiscito, el objetivo de la compra de la «licencia» de Pegasus, que superó los cinco millones de euros, era el de utilizar esta tecnología «exclusivamente» para interceptar comunicaciones en el extranjero. En cualquier caso, la gran mayoría de los 61 terminales de los políticos independentistas 'hackeados' que ha identificado Citizen Lab –el grupo de investigadores en ciberseguridad de la Universidad de Toronto denuenciantes del espionaje–, se encontraban en España cuando fueron infectadas. Lo que ocurrió, sobre todo, en 2019 y 2020, más de tres años después de que 'La Casa' adquiriera el sistema de espionaje.

En la práctica y como todos los servicios de espionaje mundiales, el CNI opera de forma clandestina fuera de las fronteras nacionales. Pero en España, según la Ley Orgánica 2/2002 reguladora del control judicial previo del Centro Nacional de Inteligencia, solo puede intervenir comunicaciones «para el cumplimiento de las funciones asignadas» al orgamismo y siempre con la autorización previa de un magistrado del Supremo, nombrado para este cometido por el Consejo General del Poder Judicial. El togado, en un plazo máximo de 72 horas, tiene que aprobar o rechazar la petición. El pinchazo tendrá un plazo máximo de tres meses, aunque podrá ser prorrogado.

El Centro Nacional de Inteligencia recurrió en 2016 a NSO después de abandonar «precipitadamente» los servicios del sistema espía italiano Hacking Team, que también estaba siendo utilizado por el Ministerio del Interior, después de que esta empresa de Milán sufriera un robo de información y se desvelara en julio de 2015, a través de Wikileaks, que los servicios secretos y la Policía Nacional eran clientes del grupo transalpino. De hecho, los documentos filtrados revelaron que el espionaje español, que desde 2010 trabajaba con Hacking Team, tenía un contrato por valor de 3,4 millones de euros con esta firma de 'hackers' hasta el 31 de enero de 2016. O lo que es lo mismo, justo la época en que se compró la licencia de Pegasus, según constatan personas cercanas a esa operación comercial.

El CNI –recuerda uno de los «agentes comerciales» (así se denomina a sí mismo) que conoció la citada operación– se decantó por Pegasus, del que entonces apenas se conocía su existencia fuera de los círculos del espionaje, porque pudo pagar sus servicios. En Interior también se interesaron por el 'malware' israelí, pero sus costes superaban con mucho las capacidades económicas del ministerio.

Los costes por 'infección'

Según diversas fuentes de inteligencia, cada intento de infección de un terminal, al margen de la 'licencia', puede llegar al millón de euros, por lo que solo el espionaje de los independentistas catalanes habría superado los 60 millones; más del doble del presupuesto anual del CNI en fondos reservados que actualmente está en 27,86. No obstante, otros medios conocedores de las negociaciones apuntan a que el «canon» por terminal es «mucho menor».

Estas fuentes citan diversas informaciones periodísticas que apuntaron a que el Gobierno mexicano pagó 27 millones en 2014 por un paquete de 500 intentos de infección con Pegasus. O sea, 'solo' 54.000 euros por terminal espiada, una cifra que, en cualquier caso, los presupuestos de Interior no podían afrontar para intervenir los miles de terminales que cada año se controlan en labores de seguridad ciudadana.

En 2015 y coincidiendo con la crisis de Hacking Team por la filtración de Wikileaks, Citizen Lab aseguró haber identificado a un «presunto cliente español» de Finfinsher, otro sofisticado paquete de 'spyware' informático que, siempre según la organización, «se vende exclusivamente a los gobiernos con fines de inteligencia». En el entorno del espionaje español aseguran desconocer ese otro sistema de vigilancia, casi tan invasivo como Pegasus.

Sea como fuere, la llegada de Pegasus a 'La Casa' se produjo solo unos meses después de que el CNI sufriera una remodelación interna de calado. En 2015 el entonces director del centro, Félix Sanz Roldán, mediante una Orden Comunicada (reservada y que todavía a día de hoy tiene su contenido bajo secreto), modificó la Estructura Orgánica del CNI para crear la Unidad de Defensa de los Principios Constitucionales. Este departamento, integrado por algunos de los agentes de mayor confianza del organismo, se constituyó a raíz de las conductas presuntamente irregulares del rey emérito.

Pronto, y sin embargo, buena parte de su personal fue adscrito a la investigación del creciente movimiento independentista que dos años después acabó en la intentona rupturista de otoño de 2017 al entender que el 'procés' atentaba contra los mencionados «principios constitucionales».