El descubrimiento de un caso de ciberespionaje a 65 personas relacionadas con el independentismo entre 2018 y 2020, tiempo después del momento álgido del procés, ha salpicado la última semana la política española, ha tensado al máximo la relación entre Moncloa y la Generalitat, ha supuesto un nuevo roce en la coalición y ha puesto en duda el apoyo de ERC a algunas leyes clave para el Ejecutivo.
Para Ronald Deibert, el director y fundador de Citizen Lab, el laboratorio de investigación que ha destapado el 'CatalanGate', este caso debe ser una “llamada de atención” sobre las grietas en el control a las actividades de los servicios de inteligencia españoles y pide una comisión de investigación independiente para averiguar “quién ordenó el espionaje, quién pagó por Pegasus, cuánto se pagó y qué tipo de autorización se otorgó”.
Citizen Lab es un laboratorio multidisciplinar, que se dedica a investigar asuntos relacionados con la política estratégica de alto nivel, las tecnologías de la información y la comunicación, los derechos humanos y la seguridad a escala mundial. Desde su creación en 2001, este centro, adscrito a la Universidad de Toronto, ha abordado casos de ciberespionaje contra la sociedad civil, filtrado de datos en internet, limitaciones a la libertad de expresión en la red, ha examinado los mecanismos de transparencia de empresas, instituciones y agencias de inteligencia y ha desvelado casos que afectan a políticos de alto nivel, como al primer ministro británico Boris Johnson o el dalái lama.
¿Cómo comienza la investigación del espionaje en Catalunya? Los primeros reportes aparecen en prensa en julio de 2020, pero ustedes trabajaban desde mucho antes. ¿Desde cuándo?
La investigación comenzó en la segunda mitad de 2019. Citizen Lab se ofreció como voluntario para ayudar a WhatsApp a notificar a las víctimas de un ataque con Pegasus en el momento en que tenían datos. Notificamos a varios catalanes y, en ese momento, ninguno optó por hacerlo público. Sin embargo, varios sí lo hicieron en 2020. Desde entonces, hemos estado realizando investigaciones y entrevistas, según las estrictas pautas éticas de la Universidad de Toronto.
Para dar con los 65 espiados confirmados han tenido que hacer reportes forenses de sus aparatos pero, ¿cómo lograron hallar a estos 65?
Con entrevistas muy cuidadosas a potenciales víctimas y objetivos, moviéndonos de unos a otros. Debido a las limitaciones de nuestros métodos, sobre todo en torno a los dispositivos Android –de los más utilizados en esa región–, calculamos que el número real es mucho mayor que 65.
El sistema Pegasus es utilizado sobre todo por países con baja calidad democrática. ¿Les sorprendió que uno de los focos de espionaje más numerosos ocurriera en un Estado democrático como España?
Primero, es muy importante recordar que nosotros no atribuimos el espionaje que hemos destapado a ninguna agencia del Gobierno español en particular. Lo que señalamos es que existen pruebas circunstanciales, de diversa índole, que apuntan a que el Gobierno español es cliente de NSO Group –la compañía que vende el sistema Pegasus–. Dicho esto, si es el Gobierno español [quien está detrás de este espionaje], no me sorprendería. Prácticamente todos los gobiernos tienen la obligación de llevar a cabo labores de vigilancia para diversos fines y, en general, los gobiernos de la Unión Europea disponen de recursos y adquieren distintas tecnologías para hacerlo, como parte de las operaciones de inteligencia y en aplicación de la ley. También sabemos que NSO Group ha presionado mucho para conseguir clientes europeos.
¿Cómo ha sido la relación con el Govern durante la investigación? ¿Quién ha sido su interlocutor?
Hablamos con varios grupos y personas de la sociedad civil catalana que nos ayudaron en varias partes de nuestra investigación, pero nuestras conclusiones son nuestras y somos totalmente independientes de todos los gobiernos y empresas.
¿Tienen indicios de que estas actividades de espionaje hayan podido continuar más allá de 2020?
Es posible, pero en este momento no tenemos evidencias para decir que sea así.
Acceder a los dispositivos pirateados de amigos y familiares muestra un uso extremadamente imprudente de la tecnología de vigilancia
¿Qué les ha llamado la atención de este caso respecto a otras de sus investigaciones?
El gran número de víctimas que hemos descubierto en un solo caso es insólito y, de largo, el más elevado de cualquier investigación de Citizen Lab. El targeting relacional también es significativo, aunque lo hemos observado en otros casos. Acceder a los dispositivos pirateados de amigos y familiares muestra un uso extremadamente imprudente de la tecnología de vigilancia.
El ciberespionaje se está convirtiendo en una cuestión de seguridad nacional, ¿es también un arma al servicio de los Estados?
No me gusta hablar de “armas” en estas circunstancias. El espionaje es una práctica rutinaria de casi todos los gobiernos del mundo. Lo ha sido durante milenios. Lo que es nuevo hoy en día son las diversas formas de inteligencia privatizada y la tecnología de vigilancia comercial que está disponible para que los gobiernos se la compren al sector privado. Este mercado, en general, está mal regulado a nivel mundial y es muy propenso a que se produzcan abusos como los que hemos descubierto en España.
¿Hay alguna diferencia entre las técnicas de ciberespionaje que utilizan los Estados y las que utilizan los ciberdelincuentes?
En términos generales, no. Hay organizaciones de ciberdelincuentes muy sofisticadas que utilizan métodos y herramientas muy elaboradas, como también hay estados que emplean técnicas del ciberdelito. Algunos estados recurren a firmas de 'hack-for-hire' (hackeo por encargo), que están pluriempleadas en el inframundo ciberdelincuente. El modelo de negocio del software espía se reduce a piratear un dispositivo, para lo cual existen muchos métodos, herramientas, productos y servicios.
El problema real es si existen salvaguardas apropiadas para prevenir que se produzcan abusos. En los regímenes autoritarios o autocráticos, por lo general, no existen. De los gobiernos democráticos esperamos más
¿Considera legítimo el uso de sistemas como Pegasus por parte de los Estados? ¿Dónde está el límite?
Los gobiernos deben participar en la obtención de información y los organismos encargados de hacer cumplir la ley y las agencias de seguridad deben poder llevar a cabo labores de vigilancia. Existen muchas herramientas, métodos, productos y servicios diferentes que los gobiernos utilizan para hacerlo. El problema real es si existen salvaguardas apropiadas para prevenir que se produzcan abusos. En los regímenes autoritarios o autocráticos, por lo general, no existen. De los gobiernos democráticos esperamos más. Sin embargo, casi todos los gobiernos democráticos han tenido problemas con la supervisión de la inteligencia y la aplicación de la ley y los abusos son típicos en todo el mundo.
Este caso debería ser una llamada de atención para los ciudadanos y los políticos españoles sobre la necesidad de investigar con detenimiento su régimen de supervisión, que puede necesitar una reforma integral para evitar futuros incidentes como el 'CatalanGate'.
Muchos grupos políticos, no solo los que han sido espiados, piden al Gobierno español que aclare si espió a estas personas y para qué. ¿Usted cree que debería haber una comisión específica para investigar las responsabilidades del Gobierno?
Sí. Lo ideal sería organizar una investigación especial sobre el 'CatalanGate', que esté a cargo de una entidad independiente y bien dotada, como la figura de un fiscal especial en Estados Unidos o una investigación del Congreso. Esa entidad debería poder solicitar registros y obtener testimonios de todos los involucrados, para determinar quién ordenó el espionaje, quién pagó por Pegasus, cuánto se pagó y qué tipo de autorización se otorgó para la campaña general que hemos descubierto desde Citizen Lab.
También creo que la Unión Europea debería iniciar una investigación aparte, ya que algunos de los ataques tuvieron lugar mientras las víctimas estaban en Bélgica, Alemania y Suiza. Se suplantó la identidad de ONG en Suiza para engañar a las víctimas, lo que es muy inapropiado.
Dada la legislación actual, ¿cree que llegaremos a saber qué hay detrás del 'CatalanGate'?
Eso espero.