Los Mossos d'Esquadra han confirmado, por primera vez, que los teléfonos móviles de varios dirigentes independentistas fueron ataques con el software espía Pegasus. El cuerpo policial lo ha certificado ante los juzgados que llevan la investigación sobre el espionaje a tres dirigentes de ERC; la eurodiputada Diana Riba; el diputado en el Parlamento Josep Maria Jové; y el actual alto cargo del Gobierno y exdiputado Sergi Sabrià. Los peritos informáticos de los Mossos han concluido que los terminales fueron infectados "por un programa malicioso que deja los mismos rastros que el conocido como Pegasus", según avanza este martes eldiario.es. A consecuencia de la magnitud del ataque, los informáticos de los Mossos no descartan que el programa espía "haya sido activo en días posteriores", a las infecciones, producidas en 2019 y 2020.
Los resultados de la investigación apoyan las tesis de los independentistas espiados, que habitualmente se han encontrado con la negativa de los juzgados a investigar el espionaje y su conexión con el Centro Nacional de Inteligencia (CNI). Además, también sirven para desmentir las conclusiones del Gobierno, que aseguró que Jové y Riba no fueron espiados, un hecho que ayudó al Gobierno para negarse a desclasificar los documentos que reclamó la jueza.
Análisis de los teléfonos móviles
Josep Maria Jové, Diana Riba y Sergi Sabrià, han sido los primeros dirigentes independentistas que han entregado sus teléfonos a la policía científica, en cambio, el resto ha optado por peritos privados, o se han resistido a proporcionar sus móviles al juzgado por desconfianza o bien se deshicieron de los móviles después de las infecciones. Además, de confirmar las infecciones de los terminales por el laboratorio Citizen Lab, los Mossos también han revelado nuevos detalles.
En el caso de Jové, Citizen Lab no fue capaz de concretar las fechas concretas en las cuales fue infectado con el software. En cambio, los Mossos d'Esquadra, al tener físicamente los dispositivos, sí han conseguido certificar un mínimo de cuatro fechas donde el terminal del dirigente de ERC fue atacado. Se produjeron entre marzo y octubre de 2019, y en julio y noviembre de 2020, periodos donde Jové negociaba con el PSOE el apoyo a proyectos clave del gobierno de Pedro Sánchez. Con respecto al terminal de Riba, la policía catalana determina que fue infectado, al menos, el 28 de octubre de 2019. Precisamente, en estas fechas, uno de sus asistentes parlamentarios declaró ante la jueza que estaba hablando por teléfono con Riba, pero que se cortó. Posteriormente, el terminal reprodujo la conversación que había tenido con Riba, un hecho que encendió las alarmas, y que para la defensa de Riba es un indicio claro de la infección.
Con el fin de detectar el espionaje en los terminales, los Mossos d'Esquadra han analizado los denominados "indicadores de compromiso". Son unos patrones informáticos que quedan registrados en los terminales y, por lo tanto, se pueden relacionar con el ataque con un 'software malicioso' como Pegasus.
Hasta tres "procesos maliciosos"
Los Mossos d'Esquadra han detectado hasta "tres procesos maliciosos" con los que pudieron infectar los móviles, y que para el cuerpo son indicadores "claros y documentados del software malicioso". El informe del laboratorio, apunta que los ataques consiguieron "grabar la actividad" y también descargar datos de los teléfonos móviles y posteriormente, subirlos a internet, aunque, no pueden determinar dónde han quedado los archivos sustraídos. Una de las técnicas de infección detectadas por la policía catalana ha sido el envío de SMS a través de enlaces maliciosos. Si el receptor entraba en este enlace, estaba dirigido a un servidor, encargado de distribuir el programa malicioso "sin que el usuario se diera cuenta". Sin embargo, también señalan que, en algunos casos, los ataques se hicieron sin que el usuario pinchara en el enlace.
Aunque han detectado una posible infección, no han localizado en los terminales "ninguna información que permita establecer el destino que usó el programa malicioso Pegasus". Por lo tanto, el análisis forense no puede determinar si el CNI es el responsable de los ataques.