La Sección de Ciberdelincuencia de la Policía Nacional cuenta con tres procedimientos para analizar dispositivos informáticos y averiguar si han sido infectados con el software espía Pegasus: la adquisición física, la adquisición lógica y el sistema de ficheros.

Así se desprende del informe que le encargó la Fiscalía Provincial de Madrid tras la denuncia presentada por el periodista especializado en el Magreb Ignacio Cembrero en julio del año pasado. En ésta trasladó que un colega del equipo de Forbidden Stories -que reagrupa a 17 medios de comunicación y colabora con Amnistía Internacional en investigaciones periodísticas transnacionales- le había avisado de que su teléfono figuraba "en 2.019 en una lista que contenía los objetivos a infiltrar por parte de 'alguna autoridad marroquí'" en la que también aparecían jefes de Estado de distintos países.

El Grupo XXV de Seguridad Informática de la Sección de Ciberdelincuencia expuso en el informe realizado a raíz del análisis del móvil del periodista y una tarjeta SD (para lo que recibió autorización por medio de oficio judicial el 13 de agosto de 2021 y también consentimiento del denunciante) los procesos que realizó para adquirir las evidencias y las herramientas utilizadas, concluyendo finalmente que "no se localizan evidencias de presencia de aplicaciones o rastro de archivos malware/spyware en el momento del análisis del dispositivo móvil", según el documento al que ha tenido acceso El Independiente.

Tras recibir dicho informe policial con fecha de 14 de septiembre de 2021, la Fiscalía solicitó el archivo de la investigación el 4 de octubre de 2021 al no haber «motivos suficientes para acusar a determinada o determinadas personas como autores, cómplices o encubridores» basándose en el artículo 641.2 de la Ley de Enjuiciamiento Criminal, lo que llevó al juez Adolfo Carretero a archivar la causa, como adelantó este diario.

De ahí que el Reino de Marruecos diga respecto al informador que "pese a no disponer de ninguna prueba objetiva más allá de su aparente creencia personal basada en suposiciones, afirmó públicamente haber sido víctima de un espionaje orquestado en su contra por el Reino de Marruecos, supuestamente debido a su condición de periodista", según una demanda presentada contra él por parte del representante legal de la monarquía alauí en España, Ernesto Díaz-Bastien. En ésta se pide a un juez, por la vía civil, que declare que el informador «no ostenta ni ha ostentado la condición de víctima de ningún acto de espionaje (malware Pegasus) del que sea responsable o que haya cometido el Reino de Marruecos en su contra», considerando que sus afirmaciones al respecto en medios perjudican la imagen pública y exterior del país.

Ventajas y desventajas de cada una

Respecto a los sistemas utilizados por la Policía, existe en primer lugar la adquisición física. En ésta se realiza una "réplica idéntica del original por lo que se preservan la totalidad de las evidencias. Este procedimiento presenta la ventaja de que es posible buscar elementos eliminados. Su desventaja principal es su complejidad respecto a los otros métodos y el tiempo que lleva su realización, siempre se intenta este método como primera opción", explicó el Grupo XXV de Seguridad Informática en su informe.

En segundo lugar está la adquisición lógica, que "consiste en realizar una copia de los objetos almacenados en el dispositivo. Para ello, se utilizan los mecanismos implementados de manera nativa por el fabricante, es decir, aquellos que son utilizados de manera habitual para sincronizar el terminal con un ordenador, de modo que se solicita la información deseada al sistema operativo del dispositivo móvil. Presenta la ventaja de que es un proceso más sencillo que el anterior, si bien no permite acceder a cierta información", continuaron aclarando.

Por último, los agentes pueden extraer las evidencias de un ataque por adquisición del sistema de ficheros, que "permite obtener todos los ficheros visibles mediante el sistema de ficheros, lo que no incluye ficheros eliminados o particiones ocultas".

Los policías analizaron el móvil de Cembrero con la adquisición lógica y sistema de archivos y la tarjeta micro SD con la adquisición física. De todas las evidencias extraídas obtuvieron el "código HASH, que consiste en una función criptográfica que mediante un algoritmo matemático transforma cualquier bloque de datos en una nueva serie de caracteres con una longitud fija. Si un solo elemento del archivo cambia, por pequeña que sea esta modificación, el HASH que se pudiera calcular cambiaría completamente. Con esto queda garantizada la integridad de los datos extraídos", expuso la Policía.

Herramientas de análisis

La Policía explicó que, para analizar si los dispositivos habían sufrido ataques, utilizó las herramientas Mobile Verification Toolkit, "una colección de utilidades para simplificar y automatizar el proceso de recopilación de rastros forenses útiles para identificar un posible compromiso de los dispositivos Android e iOS desarrollado y publicado por el Laboratorio de Seguridad de Amnistía Internacional en julio de 2021 en el contexto del proyecto Pegasus junto con una metodología forense técnica y evidencia forense".

Posteriormente, los enlaces a webs o mensajes de texto que pudieran ser "susceptibles a la hora de sustracción de credenciales o descarga de archivos maliciosos" y éstos se analizaron en el portal Virus Total, "que proporciona de forma gratuita el análisis de archivos y páginas web a través de antivirus". También se descargaron los archivos APK, ejecutables para el sistema Android, y también se pasaron por Virus Total y Koodous, otra plataforma para la "invstigación de malware de Android que combina el poder de las herramientas de análisis en línea con las interacciones sociales entre los analistas a través de un vasto repositorio de APK". También se analizó el móvil a través de las herramientas forenses Magnet Axiom y Celebrite UFED.

Después de todas las pesquisas, el grupo policial concluyó que "en virtud de las herramientas forenses descritas utilizadas en el momento del análisis del dispositivo móvil, no se localizan evidencias de presencia de aplicaciones o rastro de archivos malware/spyware".

Igualmente expusieron que "no se puede determinar si anteriormente en el dispositivo móvil ha estado presente o ha tenido instalado algún tipo de malware/spyware, ya que cabe la posibilidad de que ciertos spyware puedan ser desactivados mediante un comando enviado de forma remota o automáticamente si no recibe órdenes de la tercera parte en un determinado tiempo, borrando el rastro del mismo".