"Me han sustraído información de mi móvil de manera ilegal". Luis Rubiales, el presidente de la Federación Española de Fútbol, tardó unos pocos segundos de su larga comparecencia del miércoles en tratar de poner el foco en el cómo y no en el qué. Quería que se hablara de cómo llegó toda la información a la redacción de El Confidencial, el periódico que ha destapado el qué: los audios que revelan un posible conflicto de intereses en el contrato de la Supercopa entre la RFEF, Arabia Saudí y Kosmos, empresas propiedad del futbolista Gerard Piqué.

El máximo organismo del fútbol español asegura haber sido víctima de un ataque informático y que ese hackeo es la fuente de información del periódico en cuestión. Sin embargo, el periodista José María Olmo, jefe de investigación de El Confidencial, lo niega: "La información me la envía una fuente anónima. Yo sé que esa info sale de forma voluntaria de la federación. En algún momento lo contaremos", dijo esta semana en Cope.

Ante un ataque así no tienes nada que hacer por mucha seguridad que tengas implementada"

CARLOS ALBERCA, EXPERTO EN CIBERSEGURIDAD

El 14 de abril, la Federación publicó un comunicado en su página web en el que denunciaba que había sufrido un ataque informático y que se había sustraído "documentos, conversaciones y audios privados del Presidente y el Secretario General". Los servicios jurídicos de la RFEF lo denunciaron ante la Policía Nacional, el mismo organismo ante el que interpusieron otra denuncia a finales de 2021 por un caso similar. "Desde hace unos meses la Federación y sus directivos han sido objeto de intentos de ataques informáticos como hackeos y phisings, los cuales fueron denunciados oportunamente ante la Policía", precisó la RFEF.

El hackeo y la hipótesis del programa Pegasus

Cómo pudo salir la información del teléfono de Rubiales es la cuestión que debe investigar ahora la Policía Nacional. De acuerdo a Carlos Alberca, especialista en ciberseguridad, la información pudo salir de dos modos: o alguien cercano a Rubiales accedió a sus dispositivos o se produjo un ataque informático.

"La Federación debería tener un control de seguridad mayor para que los altos cargos tengan los dispositivos con unas condiciones de seguridad más robustas. Si no tienes una buena estrategia de defensa, cualquier dispositivo es una vía de entrada". Actualmente un hackeo de estas características se puede llevar a cabo de diversas maneras. "Lo más común es que sea de forma remota, a través de las aplicaciones descargadas en el terminal. Existen softwares, como Pegasus y muchos otros, que lo que hacen es atacar de forma remota a través de un paquete malformado".

Ángela Casals, directora del grado de ciencias criminológicas y de la seguridad de la Universidad San Pablo CEU, añade: "Con esos programas, todos los whatsapps, llamadas y correos aparecen al instante en otro servidor. Clonar móviles hoy en día es muy rápido".

La empresa israelí NSO Group, desarrolladora del software Pegasus, asegura que solo se vende la tecnología a Gobiernos. "Eso dicen, pero lo cierto es que hay gente que paga por eso", indica Carlos Alberca. "Y si el móvil Rubiales fue hackeado por un programa como Pegasus, la Federación no pudo defenderse. Ante un ataque así no tienes nada que hacer por mucha seguridad que tengas implementada. Las políticas de seguridad bien implementadas ayudan mucho y generan capas de seguridad, pero una vulnerabilidad de ejecución remota de estas características es complicada de defender".

¿Puede haber consecuencias penales?

Rubiales tiene claro quién está detrás de toda esta operación: Javier Tebas, el presidente de LaLiga y con el que mantiene una guerra abierta desde hace años. Aunque no lo nombre por recomendación de sus abogados, ha dejado claro -"Ustedes lo saben", "está claro a quién beneficia"- que para él es su principal sospechoso.

La defensa se acogerá a su derecho de no revelar la fuente. Por lo tanto, puede que no se considere ilícita"

Esté Tebas o no detrás, de lo que no hay duda es de que gran parte de la información que está siendo publicada ha salido del teléfono de Rubiales sin consentimiento del mismo. "Esto puede constituir un delito de revelación de secretos", sostiene Ángela Casals.

"Luego está el tema de que el pirateo informático ha provocado la vulnerabilidad de la intimidad y el daño de la imagen pública de una persona", añade esta experta. Lo lógico, prosigue, "es que tras la denuncia se personen todas las víctimas y habrá que probar que realmente ha sido un ataque informático unido a una desposesión sin autorización de toda la información".

"Pero la defensa y el periodista va a decir que la información es de relevancia informativa y se acogerán a su derecho de no revelar la fuente. Por lo tanto, puede que no se considere ilícita".