El 18 d’abril es va complir un any de la publicació de l’informe CatalanGate: Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru per part de Citizen Lab, un conegut centre de recerca de la Universitat de Toronto. Aquest informe, que denunciava una operació d’espionatge «il·limitada, innecessària i desproporcionada» contra l’independentisme català, va anar acompanyat d’una campanya de comunicació perfectament mesurada en la qual van participar mitjans i organitzacions de l’àmbit nacional i internacional. Hauríem de considerar l’escàndol del CatalanGate com un crit d’atenció sobre la vulnerabilitat de les nostres societats enfront d’operacions de manipulació informativa i la necessitat de preparar-nos millor per a riscos creixents en el futur.

El CatalanGate va ser anunciat a so de bombo i platerets com «el cas més important de ciberespionatge que mai s’havia certificat», una afirmació sorprenent per als que coneguin mínimament l’àrea de ciberseguretat i les (limitades) capacitats i recursos de què disposen els serveis secrets i les forces policials a Espanya. El nostre país no té ni les eines, ni la tradició, ni el règim legal d’altres estats com Rússia, els Estats Units, el Regne Unit, Israel o la Xina, on la vigilància per mitjans digitals està molt més arrelada.

Malgrat la vistositat de les seves conclusions, la premsa va reproduir el contingut i les acusacions d’aquest informe sense un indici mínim d’escepticisme o d’anàlisi crítica. L’escàndol va danyar la reputació d’Espanya, va provocar el cessament de la directora del CNI i va servir de base per a una allau de querelles judicials per part de l’independentisme. A això se suma que actualment la Comissió d’Investigació sobre Pegasus del Parlament Europeu prepara un informe extremadament crític contra el govern. La relatora d’aquesta comissió, l’europarlamentària liberal Sophie Int’Veld, ha plasmat gairebé íntegrament en el seu primer esborrany el relat presentat per Citizen Lab, la premsa independentista i els líders presumptament espiats.

A tenor de les declaracions de molts dels implicats, tot apunta que, des del principi, el CatalanGate forma part d’una campanya dissenyada per presentar com a víctimes els polítics i activistes que van ser «caçats» negociant una possible intervenció russa i estan implicats en l’organització de la plataforma Tsunami Democràtic, que a finals del 2019 va provocar milions de pèrdues econòmiques i centenars d’episodis de violència a tot Catalunya. A més, els informes de Citizen Lab i el de la Comissió Pegasus s’han utilitzat per intentar invalidar els processos dels líders independentistes. Els advocats i algunes víctimes repeteixen incessantment que van ser espiats justament quan es reunien per preparar la defensa dels presos independentistes (fins i tot modificant i afegint infeccions a les que ja havien estat presumptament detectades pel laboratori canadenc).

Fruit de molts mesos de recerca, he presentat recentment al Parlament Europeu l’informe-llibre: El Caso Pegasus: Una revisión crítica del informe ‘CatalanGate’ de Citizen Lab, en el qual revelo una multitud d’exemples de mala praxi acadèmica i instrumentalització d’institucions, i argumento que estem davant d’una maniobra sofisticada de desinformació a gran escala on es barregen interessos polítics i econòmics. La primera víctima del presumpte espionatge, Roger Torrent, reconeixia en el seu llibre Pegasus: L’estat que ens espia (Ara Llibres, 2021) que Citizen Lab estava interessat a «proporcionar munició» a WhatsApp, Apple i l’independentisme per a processos judicials.

Aquests interessos i aquest comportament estil «caçarecompenses», que no han estat mai admesos públicament, sembla que es confirmen vist el paper clau del centre canadenc a l’hora de subministrar proves a WhatsApp i Apple en els seus onerosos judicis contra el grup NSO, fabricant de l’spyware Pegasus. Apple fins i tot va arribar a fer pública una recompensa de deu milions de dòlars per a Citizen Lab, Amnistia Internacional i altres organitzacions que havien ajudat a recaptar proves per al seu judici.

PUBLICITAT
Neix DFactory Barcelona, la fàbrica del futur. Barcelona Zona Franca

 

Pràctiques no exemplars

Els problemes de ciberseguretat i desinformació tenen un component estructural clar: dependència de tecnologies noves i canviants, com també l’exposició a volums creixents d’informació que ens costa de digerir i filtrar. Però aquests problemes també presenten un altre component més relacionat amb l’agència, és a dir, amb les actituds i les pràctiques, no sempre exemplars, d’alguns actors i organitzacions que treballen en l’àrea de la seguretat i la informació.

Un analista nord-americà en temes de seguretat, amb qui vaig compartir l’informe sobre Citizen Lab, em confessava: «No em sorprèn, tot el sistema és una gran màfia que protegeix la seva mediocritat i secrets foscos». La comunitat d’«infosec» (Information Security) es regeix d’una manera semifeudal, on no sembla tan important la integritat i la capacitació tècnica, com els contactes personals i guanyar-se el favor de certs actors clau, com en aquest cas Citizen Lab i Amnistia Internacional.

Ronald Deibert, director de Citizen Lab i conseller de diverses organitzacions i empreses d’aquesta xarxa, sembla actuar com a patró o capo.

Aquestes dues organitzacions actuen com una espècie de càrtel que pretén establir un control gairebé monopolista en l’àrea de les anàlisis forenses digitals per a la detecció de spyware. Tenen el suport d’un conjunt d’organitzacions amb les quals col·laboren molt estretament (Electronic Frontier Foundation, Digital Rights Foundation, Access Now, R3D, Xarxa Line for Gulf, Article 19, Threat Intel Coalition, etc.) i d’un grup nodrit de periodistes i activistes que les promocionen públicament (Edward Snowden, Glenn Greenwald, Marc Owen Jones, David Kaye, Runa Sandvik, Marcus Hutchins, etc.).

Ronald Deibert, director de Citizen Lab i conseller de diverses organitzacions i empreses d’aquesta xarxa, sembla actuar com a patró o capo. Mentrestant, hi ha un grup d’individus, més a sota en l’escalafó jeràrquic, que exerceixen de pinxos defensant el territori o el model de negoci de Citizen Lab i de la seva xarxa. Aquests orquestren sovint campanyes d’assetjament i difamació contra qualsevol persona que qüestioni ni que sigui una mica la feina de Citizen Lab. Desgraciadament, quan una institució relativament petita, com Citizen Lab, publica en un sol any, el 2022, quinze informes amb acusacions gravíssimes i es nega a complir uns estàndards mínims de transparència metodològica, és normal que sorgeixin dubtes i crítiques en la comunitat científica.

A la llum d’aquest cas es fa més pertinent que mai la pregunta: Quis custodiet ipsos custodes? Qui vigilarà els vigilants? Certament aquest problema, plantejat originalment per Plató a la seva República, ha estat una peça clau en els debats sobre seguretat de la història de la humanitat. Les societats democràtiques necessiten serveis d’intel·ligència capaços de detectar amenaces terroristes, conspiracions contra l’ordre democràtic i grups de crim organitzat. Però sorgeix la preocupació de com assegurar-se que aquests organismes de vigilància operin dins de la llei i treballin per als interessos col·lectius del país, i no per a interessos partidistes o personals.

 

Una regulació específica

Tradicionalment, per garantir el comportament exemplar d’aquestes agències de vigilància es crea una regulació específica i uns mecanismes de control, com el cas de la Comissió de Secrets Oficials del nostre país. També hem confiat, gairebé cegament, en organitzacions de la societat civil perquè actuïn com a guardians dels drets i les llibertats; Citizen Lab i Amnistia Internacional en són bons exemples. Se suposava que aquestes organitzacions no fiscalitzaven només els governs, sinó també les grans corporacions tecnològiques que, com Facebook, Google o Apple, han estat implicades en escàndols relacionats amb la desinformació i la violació del dret a la privacitat.

Sorgeix la preocupació de com assegurar-se que aquests organismes de vigilància operin dins de la llei i treballin per als interessos col·lectius del país.

Però què fem si les organitzacions a les quals confiem la vigilància per evitar abusos per part dels qui poden tenir accés a la nostra informació, treballen per als qui suposadament haurien d’estar controlant (com en aquest cas, per a gegants tecnològics o grups que amenacen la seguretat i l’estabilitat d’un país)? Com controlem que aquests suposats guardians dels nostres drets que formen part de la societat civil no estiguin abusant del poder que els hem confiat? La rendició de comptes és fonamental, i hem d’exigir que els governs i les grans companyies actuïn amb un nivell adequat de transparència. De la mateixa manera, hem de reclamar que els qui estan cridats a controlar els possibles abusos per part dels actors anteriors operin d’una manera transparent i que el seu treball pugui ser escrutat quan sorgeixin dubtes.

La rendició de comptes és fonamental, i hem d’exigir que els governs i les grans companyies actuïn amb un nivell adequat de transparència.

Desgraciadament, Citizen Lab ha demostrat una falta total de transparència. Aquesta opacitat afecta no solament les dades sobre el finançament del centre canadenc i els indicis d’atacs i suposades infeccions de telèfons dels polítics independentistes, sinó també informació sobre quan, com, on i qui va fer les anàlisis forenses, la cadena de custòdia de les proves i la documentació dels processos. El prestigi personal dels investigadors, per si sol, no s’ha de considerar un substitut de validacions externes. Com hem vist, Citizen Lab és un actor molt influent en l’àmbit de la ciberseguretat. Els seus informes s’utilitzen en investigacions parlamentàries i judicials, i les seves conclusions es publiquen en els grans mitjans de comunicació internacionals. El seu rebuig frontal a rendir comptes comporta un risc considerable. I si s’equivoquen o actuen de mala fe?

 

‘Omertà’ sobre certs actors

Estem en un context on els experts ens alerten diàriament de l’amenaça cibernètica creixent per part de Rússia, de la presumpta cibervigilància massiva als Estats Units i dels abusos de les nostres dades comeses per les Big Techs. Si ens fixem en els últims seixanta informes publicats per Citizen Lab, crida l’atenció que no n’hi ha ni un que assenyali Rússia, ni els Estats Units, ni cap gran corporació tecnològica. Molts d’aquests informes acusen els governs d’altres països amb capacitats cibernètiques molt menors i altres defensen Apple, Google, Whatsapp, Huawei i Tik Tok. Sembla evident que a la xarxa de Citizen Lab impera també l’omertà pel que fa a certs actors.

Les proves aportades per l’informe de Citizen Lab són clarament insuficients per formular les acusacions contra el govern espanyol. Més encara, aquest informe va ser concebut des del seu origen el 2020 com a element clau d’una campanya de propaganda política l’objectiu de la qual era presentar una sèrie de polítics i activistes implicats en activitats presumptament delictives com a «represaliats». Moltes d’aquestes «víctimes» formaven part d’una xarxa que aparentment buscava crear una insurrecció civil per aconseguir la secessió de Catalunya. La maniobra CatalanGate ha aconseguit desviar parcialment l’atenció sobre la seva presumpta col·laboració amb Rússia, casos de corrupció i la coordinació de grups violents per prendre el control del territori amb el Tsunami Democràtic, almenys de cara a bona part de l’opinió pública internacional que ha llegit els articles publicats a The New Yorker, The Washington Post, The Guardian o Político, o els informes dels relators de Nacions Unides i de la Comissió Pegasus del Parlament Europeu. Segons aquestes versions, els presumptes perpetradors d’aquests greus crims són «víctimes d’un estat opressor». El vell truc del manual de la desinformació funciona.

Els inductors del CatalanGate han instrumentalitzat institucions polítiques, acadèmiques i premsa en la seva operació, aprofitant-se d’un alt nivell d’indolència. La majoria de nosaltres no té temps d’analitzar temes complexos com aquest. No obstant això, és important que els mitjans de comunicació i els representants públics reconeguin la responsabilitat que tenen i actuïn d’una manera més rigorosa, evitant donar credibilitat a faules, notícies falses i a aquells que distorsionen interessadament la informació. En l’era de la informació i la desinformació tots hem de posar l’espatlla i fer una mica de vigilants dels vigilants.