Marruecos acumula un arsenal de espionaje más allá de Pegasus

Los servicios de inteligencia marroquíes han tejido durante una década una red de herramientas, operadoras y fondos emiratíes que vulneran la seguridad de España. La DGST espía sin control judicial a objetivos en Rabat, Madrid o Londres.

La maquinaria de ciberespionaje marroquí es mucho más que Pegasus. Marruecos acumula un arsenal de herramientas de vigilancia financiado con decenas de millones de euros al año y tejido con la colaboración de sus principales operadoras de telecomunicaciones. El objetivo, según revela una investigación del consorcio Pegasus Project: rastrear a cualquier persona, dentro o fuera del país, sin control judicial alguno.

Claves de la operación

  • Inversión millonaria en un ecosistema de espionaje. Marruecos gasta más de 50 millones de euros anuales en software de firmas como BAE Systems, L3Harris o Cellebrite, con intermediarios financieros en Emiratos Árabes Unidos.
  • Telecos al servicio de la inteligencia. Maroc Telecom y Orange Maroc facilitan la interceptación masiva de datos y voz, saltándose todo control judicial, según fuentes de la investigación.
  • España, en el punto de mira. El espionaje al presidente Sánchez en 2021 fue solo la punta del iceberg. La DGST puede atacar dispositivos en Madrid o Londres con herramientas como Nighthawk o RCS.

Del ‘software legal’ al control absoluto de las redes

En Marruecos, el espionaje no empieza con un troyano sofisticado sino con la connivencia de las operadoras de telecomunicaciones. Maroc Telecom, controlada en un 53 % por el grupo emiratí Etisalat y en un 30 % por el Gobierno marroquí, tiene desde hace años una interconexión directa entre sus servidores y los de la Dirección General de Seguimiento del Territorio (DGST), el servicio de inteligencia exterior del reino alauí. Varios empleados de la operadora se dedican en exclusiva a atender las peticiones de los espías, sin necesidad de autorización judicial. “Si el servicio de inteligencia marroquí se lo propone, no hay escapatoria”, resume uno de los antiguos agentes consultados.

Publicidad

Esa capilaridad se extiende a Orange Maroc (antes Medi Telecom), que ya en 2004 implantó sistemas para copiar, duplicar y desviar el tráfico de red hacia servidores controlados por la DGST. La arquitectura técnica permite que, una vez identificado un objetivo, los espías elevaran a ilimitado su paquete de datos para que la víctima no notara un consumo anormal de internet. El gasto asociado a estas intercepciones se sufraga con fondos reservados que el país destina a su aparato de inteligencia, una partida opaca que, según las fuentes, ronda los 60 millones de euros al año.

En esa red se despliegan luego las armas más avanzadas. Pegasus, de la empresa israelí NSO, es la más conocida —Marruecos la reservaba “para objetivos estratégicos”—, pero no es la única. La DGST cuenta con Hailstorm, un IMSI catcher de la estadounidense L3Harris que rastrea móviles mediante falsas estaciones base; Nighthawk, otro software israelí de Interionet que permite hackear cámaras de vigilancia incluso sin conexión a internet; y RCS, una herramienta de la firma italiana Memento Labs que infecta ordenadores con una simple memoria USB. A esto se suma Cellebrite, empleado al menos desde 2015 para extraer información de dispositivos bloqueados, y Evident, de la británica BAE Systems, para espiar tráfico de internet a gran escala. El arsenal incluye además Evident, un sistema de vigilancia masiva del tráfico de internet que BAE Systems habría vendido a Marruecos en 2017, y que permite espiar comunicaciones cifradas en tiempo real. Su coste, según estimaciones del sector, supera los 10 millones de euros por licencia, un desembolso que Rabat se puede permitir gracias a economías de escala en el presupuesto de defensa.

El denominador común de estas adquisiciones es que todas se realizan a través de intermediarios que diluyen la responsabilidad de los fabricantes. La empresa FSSYS Al Fahad, con sede en Abu Dabi y filial en Marruecos, pagó tanto el acceso a Pegasus como la compra de RCS a la antigua Hacking Team. “Israel suministra, Emiratos paga y Marruecos lo explota”, resume un exagente. El esquema vulnera las propias políticas de los proveedores, que afirman no vender a países que no respetan los derechos humanos, y evidencia las grietas en los controles de exportación de tecnologías de doble uso.

El verdadero peligro no está en la sofisticación del software, sino en la impunidad con la que un país sin garantías judiciales opera en territorio europeo.

La telaraña emiratí que financia la opacidad

El papel de Emiratos Árabes Unidos en el armamento digital de Marruecos es, según expertos consultados, un patrón que se repite: “Emiratos desarrolló un plan de vigilancia doméstica masiva a partir de 2015 a golpe de talonario. Fichó a exempleados de la NSA y acabó espiando a objetivos en el extranjero, incluido EE.UU”. Este ecosistema convierte a Abu Dabi en un ‘hub’ de intermediación que dificulta el rastreo de las operaciones y permite que países como Marruecos accedan a capacidades que, en teoría, les estarían vetadas.

Para Rabat, la inversión es rentable. El control de las telecomunicaciones le otorga un poder de interceptación masiva que pocos servicios de inteligencia europeos poseen sin autorización judicial. La DGST puede identificar patrones de comportamiento de sus objetivos —periodistas, activistas o altos cargos extranjeros— y lanzar después ataques dirigidos, como el phishing con exploit que, supuestamente, afectó al teléfono de Pedro Sánchez en 2021. La mayoría de los fondos proviene de presupuestos reservados que sortean el escrutinio parlamentario y permiten mantener una maquinaria que espía sin distinguir entre disidente y jefe de Gobierno.

El modelo de negocio de los intermediarios es tan lucrativo como peligroso. FSSYS Al Fahad factura comisiones millonarias por conectar a compradores como Marruecos con proveedores occidentales e israelíes, eludiendo los controles de exportación. En 2025, la UE reforzó el Reglamento de Doble Uso, pero su aplicación sigue sin arrinconar a los intermediarios que operan desde terceros países. Mientras las empresas aleguen que “no venden a regímenes autoritarios” pero acepten pagos de Emiratos, el agujero legal permanecerá abierto.

ciberespionaje Marruecos

España, en el punto de mira: el coste de la indefensión digital

El caso Pegasus destapó en 2021 la vulnerabilidad de las máximas instituciones españolas. Tres años después, la comunidad de inteligencia española asume que Marruecos dispone de un arsenal que va mucho más allá del software de NSO. La revelación de que los operadores de telecomunicaciones marroquíes colaboran sistemáticamente con la DGST amplía el perímetro de riesgo no solo para el Gobierno, sino para el sector privado.

En esta redacción entendemos que la situación exige una doble respuesta: diplomática, en el marco de la Unión Europea, para exigir a Marruecos el cese de actividades que violan la soberanía digital de los estados miembro, y regulatoria, con la aplicación estricta del NIS2 y la revisión de las exportaciones de tecnologías de espionaje. Los fabricantes, aunque con declaraciones de buenas intenciones, se amparan en intermediarios que burlan los controles.

El coste de no actuar se traduce en una erosión silenciosa de la seguridad nacional. Las empresas españolas, desde las telecos hasta las energéticas, están expuestas a un riesgo de inteligencia hostil que no se contabiliza en los balances. Y, mientras, Marruecos sigue engrosando su inventario con herramientas cada vez más discretas e invasivas, sin que ningún juez pueda ponerles freno. El sector privado español ya ha empezado a reaccionar. La demanda de servicios de ciberinteligencia y protección de infraestructuras críticas se ha triplicado desde 2023 en compañías como Telefónica Tech o Indra, un indicio de que el mercado internaliza el riesgo que los gobiernos aún no han conseguido atajar.


Publicidad