El 19 de mayo de 2021, en plena invasión migratoria en Ceuta y tras la visita del presidente del Gobierno, Pedro Sánchez, a la ciudad autónoma un día antes, se produjo el mayor robo de datos detectado en su teléfono móvil; cinco años después, nuevas informaciones procedentes de fuentes de inteligencia apuntan a que Marruecos habría aprovechado aquel desplazamiento oficial para intervenir el terminal mediante el software israelí Pegasus.

Según publica The Objective, servicios de inteligencia marroquíes habrían utilizado un dispositivo conocido como IMSI-Catcher para identificar y aislar los teléfonos del presidente y de su entorno durante el viaje a Ceuta y Melilla del 18 de mayo de 2021. Esa operación habría creado la «ventana de oportunidad» necesaria para introducir el spyware sin dejar apenas rastro técnico.

La investigación judicial abierta tras destaparse el caso, que Moncloa mantuvo en secreto durante un año, no logró avanzar debido a la dificultad de atribuir un ataque de estas características. Pegasus apenas deja huella y complica tanto la identificación del autor como la determinación del material sustraído. No obstante, el análisis comparado del patrón empleado en este caso y en otros episodios similares ha ido acotando responsabilidades.

En el ámbito de la inteligencia española, según las fuentes citadas, la convicción es clara: Rabat estuvo detrás del espionaje. El contexto resulta determinante. Ceuta vivía entonces las consecuencias de la entrada masiva de más de 10.000 personas desde Marruecos, una presión diplomática desencadenada por la hospitalización en España de Brahim Ghali, dirigente del Frente Polisario y enemigo declarado de Mohamed VI.

El 18 de mayo, Sánchez viajó a Ceuta junto al entonces ministro del Interior, Fernando Grande-Marlaska. Ambos mantuvieron una reunión en el Centro Operativo de Seguridad situado en la frontera de El Tarajal y posteriormente sobrevolaron la zona en helicóptero antes de continuar hacia Melilla. Ese recorrido, concentrado en tres localizaciones muy concretas y próximas a territorio marroquí, habría facilitado la identificación precisa de los dispositivos oficiales.

Los IMSI-Catcher, también denominados StingRay, simulan antenas de telefonía y permiten captar los códigos identificativos de los móviles —IMSI e IMEI— dentro de un perímetro determinado. Marruecos dispondría de modelos portátiles adquiridos a la empresa alemana Rohde & Schwarz y de versiones de uso militar suministradas por la israelí Elbit Systems, con capacidad de cobertura más amplia.

De acuerdo con estas fuentes, el teléfono del presidente quedó registrado en tres puntos geográficos ese mismo día: El Tarajal, el sobrevuelo y Melilla. Esa coincidencia habría permitido aislar la «firma» digital del terminal y la de los miembros de su equipo más cercano.

La infección se habría producido el 18 de mayo. El 19 se consumó la extracción masiva de datos, extremo que el CNI logró acreditar en sus comprobaciones internas. En cuanto al método empleado, los indicios técnicos apuntan a un ataque de tipo zero-click, que no requiere que la víctima pulse enlaces ni atienda llamadas. Este sistema puede verse favorecido por el uso previo de un IMSI-Catcher, que facilita la interceptación del tráfico y la introducción del código malicioso en un entorno controlado.

Ese mismo procedimiento fue detectado en infecciones sufridas por los periodistas marroquíes Imar Radi y Maati Monjib, cuyos dispositivos presentaron huellas técnicas similares a las localizadas en los terminales del Gobierno español.

En diciembre de 2021 se produjo el primer contacto con personal de NSO Group, fabricante de Pegasus, que se desplazó a España tras activarse las alarmas de seguridad. Desde entonces, el alcance real de la información sustraída y sus posibles implicaciones políticas continúan envueltos en incógnitas.

Consultado sobre su papel en el proceso, el CNI se remite a la normativa que le impide pronunciarse sobre actividades, medios o estructuras protegidas por la legislación de secretos oficiales.

Cinco años después, la causa judicial permanece sin avances significativos. Sin embargo, en determinados ámbitos del Estado la conclusión parece asentada: la crisis de Ceuta no sólo tensó la frontera, también abrió la puerta a un episodio de espionaje que dejó en evidencia la vulnerabilidad del máximo nivel institucional.