El CNI da directrices para evitar otro ¡®caso Pegasus¡¯ en los tel¨¦fonos del Gobierno

El Centro Nacional de Inteligencia (CNI) ha remitido recientemente a los principales organismos e instituciones del Estado un documento con directrices de seguridad de obligado cumplimiento para blindar los tel¨¦fonos m¨®viles de los altos cargos de la Administraci¨®n y del Gobierno por los que circula ¡°informaci¨®n clasificada nacional¡± y, en general, ¡°informaci¨®n sensible¡±. El documento, de difusi¨®n limitada y al que ha tenido acceso EL PA?S, se?ala que el objetivo es conseguir que las terminales sean ¡°resistentes a las distintas amenazas que pueden afectar a la seguridad de la informaci¨®n procesada o al propio sistema, como pueden ser los ataques de software esp¨ªa¡±, del que pone como ejemplo Pegasus, el programa de origen israel¨ª utilizado para infectar los m¨®viles de Pedro S¨¢nchez y tres de sus ministros, los titulares de Interior, Fernando Grande-Marlaska; Defensa, Margarita Robles, y Agricultura, Luis Planas.

04:59

?C¨®mo funciona Pegasus?

La iniciativa del servicio secreto se produce, precisamente, 10 meses despu¨¦s de que el Ejecutivo hiciera p¨²blico que, en mayo de 2021, se hab¨ªa producido una intrusi¨®n en los tel¨¦fonos de estos cuatro miembros del Gobierno. El suceso es investigado desde entonces por el juez de la Audiencia Nacional Jos¨¦ Luis Calama por un posible delito de descubrimiento y revelaci¨®n de secretos. El documento del CNI con las directrices, fechado este mes y de 13 p¨¢ginas de extensi¨®n, ha sido elaborado por el Centro Criptol¨®gico Nacional (CNN), un organismo dependiente del servicio secreto y entre cuyas funciones est¨¢ ¡°la seguridad de tecnolog¨ªas de la informaci¨®n de la Administraci¨®n que procesan, almacenan o transmiten informaci¨®n en formato electr¨®nico¡± que ¡°requiere protecci¨®n e incluyen medios de cifra¡±. El CCN elabora las normas de ciberseguridad, forma al personal y certifica la fiabilidad de la tecnolog¨ªa que se usa en el Gobierno.

En esta l¨ªnea, el documento pone el foco en los terminales telef¨®nicos, que califica como ¡°el componente m¨¢s cr¨ªtico al ser el m¨¢s expuesto a las amenazas derivadas de, por un lado, la p¨¦rdida, sustracci¨®n o manipulaci¨®n del dispositivo y, por otro lado, a la exposici¨®n procedente de la conexi¨®n directa a redes inseguras¡±, entre las que cita las redes wifi de ¡°aeropuertos, cafeter¨ªas, hoteles, etc¨¦tera¡±. El documento recuerda a los altos cargos y miembros del Gobierno que est¨¢n obligados a usar exclusivamente ¡°dispositivos m¨®viles aprobados y correctamente configurados¡± ¨Des decir, visados previamente por los expertos del CCN¨D conforma a los est¨¢ndares recogidos en una instrucci¨®n elaborada por el propio servicio secreto y denominada CCN-STIC-496, que fue publicada en abril de 2021, poco antes de que, precisamente, se produjeran las infecciones en los m¨®viles de los miembros del Gobierno.

El servicio secreto recalca que los altos cargos de la Administraci¨®n deben utilizar para sus comunicaciones oficiales ¨²nicamente los terminales denominados COBO (siglas en ingl¨¦s de Corporated Owned Business Only), puestos a disposici¨®n del usuario por la propia administraci¨®n para el desempe?o de sus funciones. ¡°El usuario no podr¨¢ usar el dispositivo m¨®vil corporativo para fines personales¡±, recalca el documento. Estas terminales tienen ¡°restringidas¡± sus comunicaciones y solo pueden contactar con otros tel¨¦fonos de la administraci¨®n que formen parte de la red segura. Tambi¨¦n tienen bloqueada la posibilidad de realizar actualizaciones autom¨¢ticas del sistema operativo o la descarga de aplicaciones comerciales ¡°por el elevado riesgo que ambas conexiones conllevan¡±.

El documento del Centro Criptol¨®gico Nacional analiza las posibilidades y riesgos del ¡°empleo de la tecnolog¨ªa 5G para uso gubernamental¡±, sobre el que alerta que, aunque ¡°ofrece nuevas posibilidades en lo que respecta a la seguridad y protecci¨®n de las comunicaciones¡±, en estos momentos la evaluaci¨®n y certificaci¨®n de estas supuestas ventajas ¡°es muy compleja, no est¨¢ madura y no se espera que lo est¨¦ a corto plazo¡±, por lo que apuesta por mantener por ahora ¡°las medidas cl¨¢sicas¡±. Por ello, hace hincapi¨¦ en varias ocasiones que el uso de terminales ¡°evaluados y certificados de forma fehaciente y veraz¡± sigue siendo clave para asegurar la confidencialidad de las comunicaciones, aunque admite que no suficiente. Y destaca la necesidad de adoptar otras medidas, como el uso de ¡°un sistema operativo distinto a los comerciales¡± con el objetivo de que ¡°todas las comunicaciones lleguen de forma tunelizada hasta la organizaci¨®n [t¨¦rmino con el que se refiere al Gobierno y otras instituciones del Estado] para acceder a los diferentes servicios, impidiendo de esta forma cualquier acceso directo a internet desde el terminal y viceversa¡±.

De hecho, los expertos recalcan que las conexiones a internet que se realicen desde estos tel¨¦fonos se hagan ¡°a trav¨¦s de una zona de interconexi¨®n segura controlada por la organizaci¨®n¡± para que sea ¡°mucho m¨¢s sencillo monitorizar¡± posible fugas de informaci¨®n sensible o detectar un funcionamiento an¨®malo de la terminal que sea s¨ªntoma de esto ¨²ltimo. En esta l¨ªnea, la nueva directiva de seguridad se?ala que todos los tel¨¦fonos de las altas instituciones del pa¨ªs deben usar exclusivamente un firewall (un cortafuegos, sistema de seguridad que restringe el tr¨¢fico de Internet entrante, saliente o dentro de una red privada) de la ¡°organizaci¨®n¡± y no otros que se comercialicen. El objetivo es evitar una brecha de seguridad que permita la entrada de programa potencialmente peligrosos como Pegasus.

La directriz recuerda en que ¡°las aplicaciones para comunicaciones m¨®viles seguras¡± que cifran la informaci¨®n ¨Den referencia a aplicaciones de mensajer¨ªa instant¨¢nea como Telegram o Signal¨D en tel¨¦fonos que no hayan sido visados ¡°no proporcionan por s¨ª mismas ninguna protecci¨®n ante programas de software esp¨ªa¡±, adem¨¢s de no proteger el terminal ¡°frente a otro tipo de ataques¡±, como puede ser ¡°la modificaci¨®n maliciosa de otras aplicaciones¡± ya instaladas en el aparato. Por ello, proh¨ªbe su uso para la transmisi¨®n de informaci¨®n sensible.