El 18 de abril se cumplió un año de la publicación del informe: CatalanGate: Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru por parte de Citizen Lab, un conocido centro de investigación de la Universidad de Toronto. Este informe, que denunciaba una operación de espionaje «ilimitada, innecesaria y desproporcionada» contra el independentismo catalán, vino acompañado de una perfectamente medida campaña de comunicación en la que participaron medios y organizaciones del ámbito doméstico e internacional. El escándalo CatalanGate deberíamos considerarlo una llamada de atención sobre la vulnerabilidad de nuestras sociedades frente a operaciones de manipulación informativa y a la necesidad de prepararnos mejor para crecientes riesgos en el futuro.

El CatalanGate fue anunciado a bombo y platillo como «el mayor caso de ciber-espionaje jamás certificado.» Algo sorprendente para quienes conozcan mínimamente el área de ciberseguridad y las (limitadas) capacidades y recursos con los que cuentan los servicios secretos y las fuerzas policiales en España. Nuestro país no cuenta ni con las herramientas, ni con la tradición, ni con el régimen legal de otros estados como Rusia, Estados Unidos, Reino Unido, Israel o China donde la vigilancia por medios digitales está mucho más arraigada.

A pesar de lo llamativas que eran sus conclusiones, la prensa reprodujo el contenido y acusaciones de dicho informe sin un mínimo atisbo de escepticismo o análisis crítico. El escándalo dañó la reputación de España, causó el cese de la directora del CNI y sirvió de base para un aluvión de querellas judiciales por parte del independentismo. A esto se suma que actualmente la Comisión de Investigación sobre Pegasus del Parlamento Europeo prepara un informe extremadamente crítico contra el Gobierno. La relatora de esta comisión, la Europarlamentaria liberal Sophie Int’ Veld, ha plasmado en su primer borrador casi íntegramente el relato presentado por Citizen Lab, la prensa independentista y los líderes presuntamente espiados.

A tenor de las declaraciones de muchos de los implicados, todo apunta a que, desde el principio, el CatalanGate forma parte de una campaña diseñada para presentar como víctimas a los políticos y activistas que fueron «cazados» negociando una posible intervención rusa y están implicados en la organización de la plataforma Tsunami Democràtic, que a finales de 2019 provocó millones en pérdidas económicas y cientos de episodios de violencia en toda Cataluña. Además, los informes de Citizen Lab y el de la Comisión Pegasus van a ser utilizados para intentar invalidar los procesos a los líderes independentistas. Los abogados y algunas víctimas repiten incesantemente que fueron espiados justo cuando se reunían para preparar la defensa de los presos independentistas (incluso modificando y añadiendo infecciones a las presuntamente detectadas por el laboratorio canadiense).

Fruto de muchos meses de investigación, presenté recientemente en el Parlamento Europeo, el informe-libro: El Caso Pegasus: Una revisión crítica del informe ‘CatalanGate’ de Citizen Lab. En éste revelo una multitud de ejemplos de mala praxis académica e instrumentalización de instituciones, y argumento que estamos ante una sofisticada maniobra de desinformación a gran escala donde se entremezclan intereses políticos y económicos. La primera víctima del presunto espionaje, Roger Torrent, reconocía en su libro Pegasus: L’estat que ens espia (Ara Llibres, 2021) que Citizen Lab estaba interesado en «proporcionar munición» a WhatsApp, Apple y el independentismo para procesos judiciales.

Estos intereses y comportamiento estilo «caza-recompensas», nunca admitidos públicamente, parecen confirmarse visto el papel clave del centro canadiense en suministrar pruebas a WhatsApp y Apple en sus onerosos juicios contra el grupo NSO, fabricante del spyware Pegasus. Apple incluso llegó a hacer pública una recompensa de 10 millones de dólares para Citizen Lab, Amnistía y otras organizaciones que habían ayudado a recabar pruebas para su juicio.

PUBLICIDAD
Neix DFactory Barcelona, la fàbrica del futur. Barcelona Zona Franca

 

Prácticas no ejemplares

Los problemas de ciberseguridad y desinformación tienen un componente estructural claro: dependencia de nuevas y cambiantes tecnologías, así como la exposición a crecientes volúmenes de información que nos cuesta trabajo digerir y filtrar. Pero estos problemas también presentan otro componente más relacionado con la agencia, es decir con las actitudes y prácticas, no siempre ejemplares, de algunos actores y organizaciones, que trabajan en el área de la seguridad e información.

Un analista norteamericano en temas de seguridad, con quien compartí el informe sobre Citizen Lab, me confesaba: «No estoy sorprendido, todo el sistema es una gran mafia que protege su mediocridad y secretos oscuros». La comunidad de «infosec» (Information Security) se rige de una forma semi-feudal. En ella no parece ser tan importante la integridad y capacitación técnica, sino los contactos personales y ganar el favor de ciertos actores clave, como en este caso Citizen Lab y Amnistía Internacional.

Ronald Deibert, director de Citizen Lab y consejero en varias de las organizaciones y empresas de esta red, parece actuar como patrón o capo.

Estas dos organizaciones actúan como una especie de cártel que pretende establecer un control casi monopolístico en el área de los análisis forenses digitales para la detección de spyware. Se apoyan en un conjunto de organizaciones con las que colaboran muy estrechamente (Electronic Frontier Foundation, Digital Rights Foundation, Access Now, R3D, Red Line for Gulf, Article 19, Threat Intel Coalition, etc.) y en un nutrido grupo de periodistas y activistas que las promocionan públicamente (Edward Snowden, Glenn Greenwald, Marc Owen Jones, David Kaye, Runa Sandvik, Marcus Hutchins, etc.)

Ronald Deibert, director de Citizen Lab y consejero en varias de las organizaciones y empresas de esta red, parece actuar como patrón o capo. Mientras tanto, existe un grupo de individuos, más abajo en el escalafón jerárquico, que ejercen como matones, defendiendo el territorio o modelo de negocio de Citizen Lab y de su red. Estos orquestan frecuentemente campañas de acoso y difamación contra cualquiera que cuestione lo más mínimo el trabajo de Citizen Lab. Desgraciadamente, cuando una institución relativamente pequeña, como Citizen Lab, publica en un solo año, 2022, 15 informes con gravísimas acusaciones y se niega a cumplir unos mínimos estándares de transparencia metodológica, es normal que surjan dudas y críticas en la comunidad científica.

A la luz de este caso se hace más pertinente que nunca la pregunta: ¿Quis custodiet ipsos custodes? ¿Quién vigilará a los vigilantes? Ciertamente este problema, originalmente planteado por Platón en su República, ha sido pieza clave en los debates sobre seguridad de la historia de la humanidad. Las sociedades democráticas necesitan servicios de inteligencia capaces de detectar amenazas terroristas, conspiraciones contra el orden democrático y grupos de crimen organizado. Pero surge la preocupación de cómo asegurarse que estos organismos de vigilancia operen dentro de la ley y trabajen para los intereses colectivos del país, y no para intereses partidistas o personales.

 

Una regulación específica

Para garantizar el comportamiento ejemplar de estas agencias de vigilancia tradicionalmente se crea regulación específica y mecanismos de control, como el caso de la Comisión de Secretos Oficiales en nuestro país. También hemos confiado, casi ciegamente, en organizaciones de la sociedad civil para actuar como guardianes de los derechos y libertades, Citizen Lab y Amnistía Internacional son ejemplos de ello. Éstas se suponía que fiscalizaban no sólo a los gobiernos, sino también a las grandes corporaciones tecnológicas que, como Facebook, Google o Apple, han estado envueltas en escándalos relacionados con la desinformación y la violación del derecho a privacidad.

Surge la preocupación de cómo asegurarse que estos organismos de vigilancia operen dentro de la ley y trabajen para los intereses colectivos del país.

Pero ¿qué hacemos si las organizaciones a las que confiamos la vigilancia para evitar abusos por parte de quienes pueden tener acceso a nuestra información, trabajan para quienes supuestamente deberían estar controlando (como en este caso, para gigantes tecnológicos o grupos que amenazan la seguridad y estabilidad en un país)? ¿Cómo controlamos que estos supuestos guardianes de nuestros derechos que forman parte de la sociedad civil no están abusando el poder que les hemos confiado? La rendición de cuentas es fundamental, y debemos exigir que los gobiernos y grandes compañías actúen con un nivel adecuado de transparencia. Del mismo modo, tenemos que reclamar que quienes están llamados a controlar los posibles abusos por parte de los anteriores actores, operen de una forma transparente y que su trabajo pueda ser escrutado cuando surjan dudas.

La rendición de cuentas es fundamental, y debemos exigir que los gobiernos y grandes compañías actúen con un nivel adecuado de transparencia.

Desgraciadamente, Citizen Lab ha demostrado una total falta de transparencia. Esta opacidad afecta no sólo a los datos sobre la financiación del centro canadiense e indicios de ataques y supuestas infecciones de teléfonos de los políticos independentistas, sino también a información sobre cuándo, cómo, dónde y quién realizó los análisis forenses, la cadena de custodia de las pruebas y la documentación de los procesos. El prestigio personal de los investigadores, por sí sólo, no debe considerarse un substituto de validaciones externas. Como hemos visto, Citizen Lab es un actor muy influyente en el ámbito de la ciberseguridad. Sus informes se utilizan en investigaciones parlamentarias y judiciales y sus conclusiones publicadas en los grandes medios de comunicación internacionales. Su rechazo frontal a rendir cuentas conlleva un considerable riesgo. ¿Y si se equivocan o actúan de mala fe?

 

‘Omertà’ sobre ciertos actores

Estamos en un contexto donde los expertos nos alertan a diario de la creciente amenaza cibernética por parte de Rusia, de presunta cibervigilancia masiva en Estados Unidos y de los abusos de nuestros datos cometidos por las Big Techs. Si nos fijamos en los últimos 60 informes publicados por Citizen Lab, es muy llamativo que no hay ni uno solo donde se señale a Rusia, ni a Estados Unidos, ni a ninguna gran corporación tecnológica. Muchos informes acusando a gobiernos de otros países con capacidades cibernéticas mucho menores y otros defendiendo a Apple, Google, Whatsapp, Huawei y Tik Tok. Parece evidente que en la red de Citizen Lab impera también la omertà en lo referente a ciertos actores.

Las pruebas aportadas por el informe de Citizen Lab son claramente insuficientes para formular las acusaciones contra el Gobierno español. Más aún, este informe fue concebido desde su origen en 2020 como elemento clave de una campaña de propaganda política cuyo objetivo era presentar a una serie de políticos y activistas implicados en actividades presuntamente delictivas como «represaliados». Muchas de estas «víctimas» formaban parte de una red que aparentemente buscaba crear una insurrección civil para lograr la secesión de Cataluña. La maniobra CatalanGate ha conseguido desviar parcialmente la atención sobre su presunta colaboración con Rusia, casos de corrupción y la coordinación de grupos violentos para tomar el control del territorio con el Tsunami Democràtic, al menos de cara a buena parte de la opinión pública internacional que ha leído los artículos publicados en The New Yorker, The Washington Post, The Guardian o Político, o los informes de los relatores de Naciones Unidas y de la Comisión Pegasus del Parlamento Europeo. Según estas versiones, los presuntos perpetradores de estos graves crímenes son unas «víctimas de un estado opresor». El viejo truco del manual de la desinformación está funcionando.

Los muñidores del CatalanGate han instrumentalizado instituciones políticas, académicas y prensa en su operación, aprovechándose de un alto nivel de indolencia. La mayoría de nosotros no tiene tiempo para analizar temas complejos como este. Sin embargo, es importante que medios de comunicación y representantes públicos reconozcan la responsabilidad que tienen y actúen de una manera más rigurosa, evitando dar credibilidad a bulos, noticias falsas y a aquellos que distorsionan interesadamente la información. En la era de la información y desinformación todos tenemos que arrimar el hombro y ejercer un poco de vigilantes de los vigilantes.