El inabarcable archivo incautado a José Manuel Villarejo en noviembre de 2017 tiene dos caras asimétricas. Una de ellas, la visible, ha mantenido en jaque durante cuatro años a una parte de la élite política, empresarial, mediática y judicial del país. Las turbias relaciones de sus miembros con el comisario han motivado la apertura de una treintena de investigaciones judiciales con desigual resultado; hoy solo un tercio siguen vivas. Pero hay otra cara, de aproximadamente el mismo tamaño en terabytes, que permanece oculta, indescifrable según el Centro Nacional de Inteligencia.
En esa mitad de acceso imposible debería alojarse una copia de los audios publicados en los últimos días, según cualificadas fuentes de la investigación consultadas por elDiario.es. Pero no solo ahí. El comisario Villarejo advirtió, antes de ser detenido, de que guardaba siete copias de sus años de grabaciones subrepticias, tres de las cuales escondería en el extranjero.
La relevancia de la mitad oculta del archivo Villarejo ha quedado de manifiesto en las informaciones de El País que aluden a la intervención del comisario en oscuras maniobras con finalidad política. Su contenido demuestra que el juez Manuel García Castellón cerró esas investigaciones en falso, caso de Kitchen –decisión refrendada por la Sala de lo Penal de la Audiencia Nacional– y cuestiona a su vez que siempre se negara a abrir otras, como la que debería abordar de una vez la Operación Catalunya. Ambos ejemplos afectan de lleno a la primera legislatura del Gobierno de Mariano Rajoy.
¿Qué ha ocurrido para que la mitad del archivo incautado a Villarejo nunca haya sido incorporado a la causa que se sigue en la Audiencia Nacional? elDiario.es reconstruye en esta información el proceso de desencriptación de todo el material requisado al policía en 2017: sus éxitos y sus fracasos. Para ello hay que comenzar por remontarse tres años atrás. A la última comunicación que el CNI hizo a la Audiencia Nacional informando de que su trabajo de desencriptación había encontrado nuevas claves para abrir archivos el 29 de marzo de 2019. A partir de entonces se abrió un periodo en el que todas las comunicaciones periódicas del CNI al juzgado repetían, bajo un sello rojo de “urgente”, el mismo texto: “Se comunica que por parte del Centro Criptológico Nacional (CCN) siguen los trabajos tendentes a la obtención de las contraseñas de los contenedores Truecrypt restantes. Desde el último informe remitido no se ha obtenido ningún otro resultado”.
La última de estas comunicaciones informando de que no había avances está fechada el 20 de febrero de 2020. A partir de ahí, según fuentes de la Audiencia Nacional, se acordó con el CNI que solo informara de los avances. No hay ninguna comunicación desde entonces. Las mismas fuentes aseguran que aproximadamente el 50% de los 40 terabytes del archivo Villarejo son accesibles. Lo que esconde el otro 50% sigue siendo un misterio. Y no parece que los trabajos de desencriptación, que supuestamente continúan, vayan a descubrirlo.
Por su parte, el comisario dice en público que el archivo es accesible para el CNI y que el Estado oculta su contenido. Mientras, él se niega a facilitar las claves. La conversación en la que asegura guardar siete copias, y que consta entre el material sin encriptar, se remonta a unos meses antes de ser detenido.
elDiario.es ha accedido a una comunicación firmada por la ya exdirectora del servicio de Inteligencia, Paz Esteban, el 29 de junio de 2019. Su previsión entonces ya era poco halagüeña: “Por la experiencia en otros casos, en los primeros meses se obtienen algunas contraseñas, normalmente las más sencillas o las que se pueden deducir de los diccionarios creados. Posteriormente, en algunas ocasiones, tras varios meses o años de pruebas, se obtiene alguna nueva contraseña, pero en otras ocasiones no se recuperan nunca”.
La respuesta es una contestación al juez Manuel García Castellón, quien se había dirigido al CNI para que le facilitara una previsión de su trabajo. Esteban comienza explicando al juez a qué se enfrentan: “La aplicación de cifrado Truecrypt, utilizada en el procedimiento de referencia, es criptológicamente segura y no se conoce ninguna debilidad que pueda ser utilizada en el descifrado. La única forma de poder descifrarla es obteniendo la contraseña que ha sido utilizada”.
“En el caso de la citada aplicación –continúa–, las contraseñas pueden ser textos de longitud ilimitada de caracteres, lo que hace inviable probar todas las contraseñas posibles. En consecuencia, teniendo en cuenta que solo pueden realizar pruebas con las contraseñas más probables, la previsión de los avances que se pueden producir es totalmente desconocida”.
El fracaso de 'fuerza bruta'
elDiario.es ha contactado con un experto en ciberseguridad con décadas de experiencia al servicio del Estado y en la empresa privada que prefiere no aparecer con su nombre en este reportaje. Confirma que una contraseña alfanumérica de 12 o más caracteres en Truecrypt, como las que ha utilizado Villarejo para proteger sus archivos, “sería casi imposible de romper con la tecnología actual”.
El experto alude al sistema denominado ‘fuerza bruta’, que según consta en la causa ha sido empleado, primero por la Policía, después por el Instituto de Ciberseguridad (Incibe) del Ministerio de Economía y, desde enero de 2019 por el Centro Criptológico Nacional, dependiente del CNI. Al procedimiento conocido como ‘fuerza bruta’ alude un oficio de la Unidad de Ciberdelincuencia de la Policía con fecha de 24 de julio de 2018: “Se intentó obtener el acceso mediante un listado de posibles contraseñas, habiendo obtenido un resultado no completamente satisfactorio, por lo que se ha procedido a realizar averiguación de contraseña por la técnica denominada ‘fuerza bruta’, consistente en recuperar la clave probando todas las combinaciones posibles”. Y añade: “Esta técnica supone que no se pueda concretar un tiempo estimado para la obtención de la mencionada clave”.
El listado de posibles contraseñas se conoce como “diccionario” y se elabora a partir de los datos conocidos de la persona que ha creado las claves, por si hubiera utilizado aspectos personales, como lugares con los que está vinculado, fechas… Después, se trata de generar claves hasta llegar a alcanzar la velocidad de millones por segundo, dependiendo de la capacidad tecnológica de cada organismo.
“Los ordenadores del CNI tienen más capacidad que los del Incibe y éstos más que los de la Policía, pero la técnica es la misma”, explica el ‘hacker’ consultado por este medio. Las tablas que manejan los expertos establecen que, por ejemplo, una contraseña de números y letras, en las que haya mayúsculas y minúsculas, puede tardar una media de 50 años en descifrarse por el método de la ‘fuerza bruta’.
En manos del principal enemigo de Villarejo
La decisión de que los trabajos de desencriptación fueran asumidos por el CNI fue fruto de debate entre los investigadores del caso. Finalmente, fue adoptada por el juez Manuel García Castellón el 14 de enero de 2019, en una de sus primeras decisiones tras la salida de la Audiencia Nacional del primer instructor del caso, Diego García de Egea. Así consta en dos tomos perdidos en el océano del sumario Villarejo y que no habían trascendido hasta ahora. Componen la “Pieza Procedimental número 1: Desciframiento y tratamiento de evidencias digitales”.
En su resolución, García Castellón asumía las condiciones de Anticorrupción para que los primeros archivos fuesen enviados a la sede del servicio de Inteligencia. Al CNI y a su Centro Criptológico Nacional se enviarían solo las carátulas, no el contenido de los archivos; participarían en las labores el “mínimo de técnicos” posible; y el juzgado sería informado cada quince días del estado de los trabajos. Anticorrupción defendía que el CNI se encargara de forma “urgente” de la desencriptación porque el ritmo de la instrucción requería resultados.
El organismo dirigido todavía entonces por el general Félix Sanz Roldán, a quien Villarejo acusa de haber urdido todo el caso en su contra, se haría cargo de los trabajos de acceso al material oculto a partir de ese momento. Por medio de aquella providencia de García Castellón, el servicio secreto tenía la misión de abrir el candado de los archivos que podían comprometer la estabilidad del país y sus instituciones, justo lo que el CNI tiene encomendado preservar. Por otra parte, la causa cuenta con distintas alusiones al CNI, desde que habría sido, cuando menos, conocedor de la Operación Kitchen, a la relación que pudo mantener en el pasado con Villarejo. Si hay información adicional sobre el servicio de Inteligencia en esa mitad oculta del archivo Villarejo es otro misterio por aclarar.
Como muestra del potencial que acumulan esos audios están los registrados por el comisario con Corinna Larsen, origen de una investigación de la Fiscalía suiza, la que mayor información ha facilitado sobre la evasión de capitales del anterior jefe del Estado, Juan Carlos I, y el dudoso origen de los mismos, aunque recientemente haya sido archivada.
El CNI, la última opción
El enfrentamiento entre el comisario y el servicio secreto había provocado en 2018 que el CNI no fuera la primera opción para esa misión. A esta cuestión se refirió uno de los grandes protagonistas del caso, el investigador policial del caso, inspector jefe Gonzalo Fraga, el pasado mes de febrero, durante el primer juicio de la causa Tándem o Villarejo.
Era la primera vez que se veía y oía a Fraga en público. El policía reconoció que la animadversión que Villarejo denunciaba por parte del CNI provocó que se evitara encomendar los trabajos en un primer momento al servicio de Inteligencia, para evitar especulaciones por la “animadversión” que denunciaba Villarejo.
El abogado Aitor Martínez, que defiende al comisario Enrique García Castaño, le preguntó si la idea de la “animadversión” salió del juez De Egea. “Yo, lo único que le puedo decir, es que la decisión fue del magistrado instructor. Yo comenté al ministerio fiscal y al señor De Egea mi opinión, que era que mejor el Incibe porque Villarejo siempre señalaba al CNI”, declaró el policía.
La idea de recurrir al Incibe venía motivada por una consulta que el juez De Egea había hecho a la Policía en julio de 2018, diez meses después de la detención y registro a Villarejo, sobre qué previsión tenían acerca de la desencriptación de los archivos que no eran accesibles. La Unidad Central de Ciberdelincuencia de la Policía contestó a De Egea pidiendo dos meses más e informándole de que si no avanzaban, las opciones eran dirigirse al Incibe o al Centro Criptológico del CNI.
La Policía se ofrecía además a supervisar el trabajo de ambos organismos, al tiempo que proponía cómo podían ser las limitaciones de acceso a los archivos: “Si así se considerarse, desde esta Sección Técnica podría supervisarse la actuación de tales unidades, toda vez que solo se les remitiría la información absolutamente imprescindible para poder obtener las credenciales de acceso, que en la mayoría de estos procedimientos consiste en aportar parte del contenedor cifrado y no el contenedor completo, por lo que, en caso de obtener las claves no podrían acceder al contenido de los mismos”.
“No les entregamos la casa, solo el hall”
¿A qué se estaban refiriendo los policías de Ciberdelincuencia? Fue el inspector jefe Fraga quien lo explicó gráficamente en el juicio. “Los compañeros me comentan que el Centro Criptológico [del CNI] en ningún momento tiene acceso a la documentación intervenida cifrada sino que lo que se les facilita eran las cabeceras. Utilizaron la metáfora: si tienes una casa no le entregamos la casa sino solo el hall, que pesa pocos ‘kas’. Se trata de si son capaces de localizar la llave, y si consiguen esa llave, no pueden acceder al material: nos la comunican y nosotros utilizamos esa llave. El CCN (Centro Criptológico Nacional) no podía comprobar el acceso a qué documentación facilitaba esa contraseña”. Según esta explicación, el CNI no sabían qué archivo estaba abriendo, ni qué había en su interior en caso de obtener la clave de acceso.
Tras meses de trabajo, la Policía terminó desistiendo y llegó el turno del Incibe. Pero el organismo del Ministerio de Economía tampoco tuvo mucha suerte. “El Incibe descifró la clave para algún contendor, de memoria recuerdo uno, no sé si más. Poco”, declaró en el juicio el inspector jefe Fraga.
El Instituto de Ciberseguridad apenas había podido trabajar dos meses en solitario. Casi al tiempo que el juez ordenaba que el CNI se incorporara a los trabajos, el organismo dependiente de Economía pidió que se le facilitara el nombre de las personas a las que se le había incautado cada archivo para elaborar un “diccionario” de posibles claves. La Policía consideró que eso no suponía un agujero de seguridad y defendió ante el juez que se le concediera. El Incibe pedía también más cabeceras con las que ponerse a trabajar. Mientras, la Unidad de Ciberdelincuencia de la Policía seguía igualmente operando en el material intervenido.
Y así llegó el turno del CNI. El 28 de enero de 2019, hace más de tres años, la Unidad de Ciberdelincuencia de la Policía entregó al Centro Criptológico Nacional (CCN) del CNI un total de “91 cabeceras de contenedores cifrados de Truecrypt”. Según el acta de entrega se trata de “las cabeceras de todos los archivos que aún siguen encriptados”. Entre febrero y marzo, el CNI logró desencriptar 29 de esas cabeceras en tres tandas de 24, 4 y 1, respectivamente. De ésta última se informó a la Audiencia Nacional el 29 de marzo de 2019. Otras diez cabeceras se abrían con la misma clave que una de las anteriores. En total, 39 de los 91 contenedores que se le entregaron, el 42,8%. Al abrir los contenedores, la Policía tuvo que separar en algunos de ellos el material relevante de otro como películas comerciales descargadas a través del programa e-mule.
Recorrido por las grabaciones de origen desconocido
Y mientras unos organismos y otros desarrollaban los trabajos de desencriptación sin publicidad, grabaciones que no eran accesibles para ellos aparecían en diferentes medios de comunicación. En julio de 2018, la Unidad de Asuntos Internos se encontraba transcribiendo una grabación en la que aparecía Corinna Larsen, la expareja extramatrimonial de Juan Carlos I, describiendo a Villarejo presuntos delitos cometidos por el rey emérito. Antes de que acabaran, Okdiario y El Español publicaron varios fragmentos de esa larga conversación entre el policía y Corinna Larsen. Con las informaciones de esos dos medios españoles, un fiscal de Suiza abrió en secreto una investigación.
No fue el único caso de material desconocido grabado por Villarejo que aparecía publicado sin que los investigadores tuvieran conocimiento de haberlo requisado al comisario. En este apartado cabe incluir el serial de grabaciones ofrecidas por un medio entonces recién aparecido, Moncloa.com, que lograron sacudir la actualidad del momento. Sobre todo una de ellas en la que la actual fiscal general del Estado aparecía en 2009 charlando con Villarejo y otros comisarios en una comida.
García Castellón abrió una pieza del caso para investigarlo, pero acabó archivándola sin averiguar de dónde procedían esos audios. La irrupción en el mapa mediático de moncloa.com mantiene importantes similitudes con otra web que se ha dado a conocer con las mismas grabaciones que publica estos días El País y que se llama Fuentes Informadas.
En enero de este año, publico.es volcó extractos de otras dos conversaciones grabadas por Villarejo que no están en el sumario, al menos de forma accesible. Una de ellas fue publicada por el diario propiedad de Jaume Roures horas antes de que Villarejo compareciera en la comisión de investigación del Congreso. El comisario copó los titulares con la afirmación ante los parlamentarios que Rajoy dio el visto bueno a su colaboración con el PP, precisamente la principal revelación del audio que el digital había publicado por la mañana.
¿Quién decide qué y cuándo se investiga?
Según ha podido reconstruir elDiario.es, las primeras piezas del caso Villarejo se abrieron a partir de atestados que la Unidad de Asuntos Internos entregaba a la Fiscalía y al juez –una práctica que ha continuado después–, pero que en aquel entonces tenían prioridad por resultar su contenido accesible a los técnicos de la Policía, la Unidad de Ciberdelincuencia. Eran piezas poco comprometedoras, si por ello se entiende que se trataba de encargos al comisario realizados por acaudalados particulares.
¿Hay alguna otra institución, además de la Policía, que controlara el ritmo de la investigación seleccionando el orden de piezas a investigar? La respuesta es que solo la Fiscalía tuvo desde el principio la misma información que la Policía sobre algunas carpetas accesibles, que acabaron transformadas en piezas del caso. Pero solo unas pocas. A partir de ahí, eran los organismos encargados de la desencriptación los que marcaban las prioridades con el resultado que tenían sus trabajos. Esas piezas han afectado al Gobierno del Partido Popular, a empresas del Ibex, a la Corona… Esto ha cambiado con la publicación en El País, el recién nacido Fuentes Informadas y en el perfil en redes sociales de un activista de la derecha de abundantes grabaciones que, según los investigadores, solo pueden estar en la mitad encriptada del archivo incautado al comisario o en poder de Villarejo en algún lugar secreto.