Qui ha estat espiat?
La primera investigació publicada conjuntament pels diaris The Guardian i El País revelava que una empresa de vigilància digital hauria estat contractada per infiltrar els telèfons de dirigents independentistes. En aquesta primera instància, indicava que les persones espiades haurien estat el president del Parlament català Roger Torrent, l'exdiputada de la CUP exiliada a Ginebra (Suïssa) Anna Gabriel i l'activista independentista, membre de l'ANC i treballador de la Diputació de Tarragona Jordi Domingo. Aquest darrer manifestava que pensava que havia estat investigat en haver estat confós per l'advocat homònim conegut per haver estat l'impulsor de Constituïm, una de les plataformes que ha presentat una proposta de procés de construcció de la República Catalana.
Més endavant se sabria, a través dels mateixos mitjans, que també havia estat espiat el telèfon de l'exconseller d'Exteriors i ara regidor a Barcelona d'ERC Ernest Maragall. Finalment, eldiario.es afegia a la llista de persones atacades per aquest programari maliciós al conseller de Polítiques Digitals i Administració Pública Jordi Puigneró i el director tècnic del Consell per la República, Sergi Miquel. No obstant això, en el cas de Puigneró, l'atac hauria estat fallit. Segons va informar ell mateix a eldiario.es, sospita que el programari de ciberseguretat instal·lat en els telèfons dels alts càrrecs del Govern s'hauria activat en detectar l'assalt.
Quan i com van ser espiats?
Els indicis fan pensar que l'espionatge es va dur a terme durant l'abril i el maig de 2019. El programari maliciós Pegasus, de l'empresa NSO Group, s'hauria colat a fins a 1.400 terminals d'arreu del món a través d'un error de seguretat de WhatsApp. Es tracta del que es coneix com a atac d'hora zero, consistent a aprofitar vulnerabilitats del codi de les aplicacions o programes desconegudes per part de l'empresa i els usuaris. L'error en qüestió va ser resolt per Whatsapp el mateix any. Arran d'aquests fets, la companyia de missatgeria propietat de Facebook va emprendre una causa judicial contra NSO. És d'aquesta causa d'on surten els documents que han permès conèixer les infiltracions en telèfons de dirigents independentistes.
Els experts en ciberseguretat situen Pegasus com una de les tecnologies més punteres pel que fa a espionatge digital. L'aplicació ha anat mutant la seva manera d'accedir als telèfons al llarg del temps. En els primers casos detectats ho feia per SMS, en aquesta ocasió el mecanisme utilitzat eren unes trucades de Whatsapp que, a vegades, no calia ni que el propietari del telèfon despengés. Com assenyalava el professor especialitzat en ciberseguretat Enric Luján al seu Twitter, el més normal és que en futures ocasions aquest mecanisme torni a canviar.
Un cop dins del telèfon -normalment iPhone, però té derivats amb capacitat d'actuar en Android- l'aplicatiu té la capacitat de trencar les barreres de seguretat dels dispositius. A partir d'aquí, el responsable de l'atac té el control sobre bona part de l'activitat que l'usuari realitza. Pot utilitzar la càmera i el micròfon del mòbil, així com accedir al disc dur o les aplicacions i escoltar trucades. També té la capacitat de registrar tots els tocs i pressions que es fan sobre la pantalla, inhabilitant qualsevol seguretat que proveeixi el xifrat dels dispositius. A més, segons els experts, Pegasus té la capacitat de sobreviure al dispositiu malgrat les actualitzacions del software, així com d'actualitzar-se a si mateix per fer front a les noves barreres de seguretat que puguin aparèixer.
Què en sabem d'NSO Group, l'empresa responsable de l'espionatge?
Es tracta d'una empresa de vigilància digital israeliana creada l'any 2009. Segons explica a la seva pàgina web, els seus serveis només poden ser contractats per part de governs o agències d'Estats amb la finalitat de lluitar contra el crim organitzat, el terrorisme o la pederàstia.
Això és així sobre el paper. Però a l'hora de la veritat, el cert és que la companyia s'ha vist immersa en múltiples polèmiques per espionatge d'ençà que l'any 2016 el conegut activista en defensa dels drets humans Ahmed Mansoor, que treballava als Emirats Àrabs, va detectar un missatge estrany on se li afirmava que li serien revelats secrets sobre la tortura a les presons del país. A partir d'aquell missatge es va poder comprovar que li estaven intentant infiltrar el mòbil per espiar-lo. A partir de l'anàlisi del seu dispositiu contaminat es va poder descobrir que NSO Grup havia fet actuar a Pegasus, com a mínim, en 45 estats arreu del món.
De NSO també sabem que és el vèrtex de tot un entramat empresarial amb ramificacions a diversos països del món a partir dels quals actua en funció dels interessos concrets. Té filials als Estats Units o a Bulgària. També en països coneguts pel seu baix control fiscal com les Illes Verges britàniques, Luxemburg, Hong Kong o Xipre.
Recentment, els tribunals d'Israel han desestimat una causa oberta per Amnistia Internacional contra aquesta empresa. L'ONG de defensa dels drets humans demanava retirar a NSO la seva llicència d'exportació per l'ús fraudulent que la companyia estaria fent del software Pegasus amb la finalitat d'espiar periodistes i dissidents arreu del món.
Què és The CitizenLab?
Si tot això se sap és, en bona part, gràcies a la investigació d'aquest laboratori interdisciplinari de la Universitat de Toronto centrat en la recerca, el desenvolupament i la creació d'estratègies polítiques relacionades amb la informació, les tecnologies de la comunicació, els drets humans i la seguretat. Ells van ser els encarregats d'estirar del fil de l'intent d'infiltració del telèfon d'Ahmed Mansoor i de fer una auditoria que va permetre els diferents nodes, servidors i versions del programari que hauria fet servir NSO, així com el nombre de països on hauria actuat. Haurien revelat més d'un centenar de casos d'espionatge. Els dels líders independentistes serien, però, el primer cas amb líders polítics escollits democràticament a Europa. Des de The Citizen Lab afirmen, a més, que segueixen investigant l'ús de Pegasus i que és possible que apareguin nous casos, no necessàriament vinculats a l'independentisme català.
Quin cost té contractar els serveis de NSO Group?
Dades de 2019 situen el valor de mercat de l'empresa en mil milions de dòlars. De fet, els costos dels seus serveis no són pas econòmics. Els preus varien segons el nombre de targetes o dispositius que vulguis vigilar. En tot cas, segons dades publicades per The New York Times, l'empresa demana una primera quota d'instal·lació que ascendeix al mig milió de dòlars. Després, el cost d'espiar 10 usuaris d'IPhone o d'Android és de sis-cents cinquanta mil dòlars. Cinc usuaris de BlackBerry costen mig milió de dòlars i cinc de Symbian tres-cents mil dòlars.
Si es vol pagar per més targetes, el preu varia. Un centenar de targetes extres costen 800.000 dòlars, cinquanta mig milió, vint per 250.000 i una desena costen 150.000 dòlars. A més, cal pagar una taxa de manteniment anual del disset per cent del preu total.
En quins altres casos ha actuat NSO Group?
Un dels països més afectats ha estat Mèxic. Entre 2017 i 2019, el conegut com a cas Reckless va destapar el seguiment de fins a 25 persones de diferents àmbits de la vida pública del país. Destaca, per exemple, el seguiment a l'equip responsable d'investigar la desaparició de 43 joves estudiants d'Ayotzinapa (Iguala) l'any 2014. Van exposar que la infiltració del sistema Pegasus als seus dispositius hauria obstaculitzat la seva investigació. La infiltració s'hauria fet a través de missatges SMS que advertien sobre qüestions familiars o informacions d'interès per a les persones que el rebien.
L’empresa també estaria vinculada a l'assassinat del periodista Jamal Kashoggi dins el consolat de l'Aràbia Saudita a Istanbul. Segons les informacions desvetllades, el seguiment del telèfon d'un activista amic del reporter col·laborador del The Whashington Post a través de Pegasus hauria estat clau per a l'homicidi.
Al Panamà, l'expresident del país entre 2009 i 2014, Ricardo Martinelli, va ser acusat de desviar més de 13 milions de dòlars per contractar Pegasus i espiar empreses rivals i periodistes.
Un altre cas destacat és el relacionat amb Jeff Bezos. Des del gener d'enguany l'FBI investiga si el govern saudita hauria infiltrat el dispositiu mòbil del magnat d'Amazon.
Qui són els directius d'NSO?
La gènesi de l'empresa NSO Group està estretament vinculada amb l'aparell de l'Estat d'Israel. Segons la revista Forbes, els seus fundadors haurien aprofitat l'experiència de la Unitat 8200 del servei militar d'intel·ligència, on haurien treballat un grup destacat dels seus treballadors. L'actual CEO, Shalev Hulio, havia ocupat càrrecs de responsabilitat a l'exèrcit d'Israel, igual que altres càrrecs com ara Daniel Raiser, que era cap del departament legal internacional i responsable de qüestions com ara la relació entre Israel i Palestina o el contraterrorisme en el seu àmbit. Al seu torn, l'analista Buky Carmeli va ser cap de la divisió de ciberdefensa del Ministeri de Defensa israelià.
El 2019 l'empresa va incorporar al capdavant de l'aparell polític global de la companyia a Sharon Shalom, qui fou el cap del gabinet de l'anterior ministre de defensa israelià, Avigdor Liberman's.
A més, segons documents publicats pel mitjà Forensic News aquest mes de maig, David Zolet hauria treballat en un lloc destacat de l'administració Trump, en qüestions com ara la xarxa nacional encriptada mentre era un dels dos directors de l'empresa Westbridge Technologies Inc, la branca nord-americana de NSO.
Finalment, segons publicava aquest mes de juny el mitjà Cyberscoop, l'exfiscal general adjunt del Departament de Justícia nord-americà, Rod Rosenstein, havia estat fent d'assessor sobre seguretat cibernètica i seguretat nacional per a NSO.
Hi ha l'Estat espanyol darrere de l'espionatge?
Un cop es van fer públiques les informacions sobre l'espionatge a Roger Torrent, el president del Parlament es va afanyar a assenyalar a l'Estat espanyol com a responsable de la vigilància. En ser un programa que, sobre el paper, només es ven a Governs, les sospites es disparaven. Tanmateix, les dades proporcionades per The CitizenLab no permetien concretar aquesta informació amb seguretat, i és difícil confirmar del tot l'exclusivitat de vendes a ens governamentals. A més, tant el CNI com els ministeris d’Interior i Defensa negaven aquest extrem.
Les informacions que han anat apareixent, però, fan que no es pugui descartar aquesta hipòtesi. Un extreballador de NSO assegurava al mitjà especialitzat Motherboard que l'Estat espanyol era client de l'empresa des de l'any 2015. A més, fonts properes a intel·ligència van confirmar a El País que els serveis d'informació espanyols tenen el programa espia Pegasus. Les mateixes fonts confirmaven, a més, que des de 2015, l'independentisme és un dels objectius dels serveis d'intel·ligència. Finalment, Público assenyalava que ja en el cas conegut com "les clavegueres d'Interior", l'aparell estatal va fer servir un programa similar vinculat indirectament a NSO.
Per tot plegat, Roger Torrent i Ernest Maragall han anunciat que presentaran una denúncia contra Félix Sanz que era el director del CNI el 2019.
Com ha reaccionat el Govern català?
De seguida que es va fer públic el cas, des de l'Executiu català i els partits que hi donen suport es va exigir a l'Estat espanyol que depurés responsabilitats. Una de les possibilitats era que això pogués debilitar les relacions entre els dos Governs. Cal recordar que, després del confinament, la taula de negociació entre ambdós costats penja d'un fil i que ERC és un dels principals socis que sustenten l'Executiu del PSOE i Unides Podem.
De nou, però, les posicions demostren per quin dels dos socis de Govern és més prioritària la taula de diàleg o quin dels dos està disposat a empassar-se més gripaus a canvi d'aquest diàleg. "És complicat participar en una mesa de negociació quan una part espia l'altra", deia en un tuit el director general de Comunicació del Govern, Jaume Clotet (Junts per Catalunya). En contrapunt, Roger Torrent (ERC) afirmava que "a mi el que em demanaria el cos és que no ens podem reunir amb un Govern espanyol amb el qual s'ha produït aquest fet, però això seria un error polític", i demanava perseverar en la via del diàleg.