Un informe que avui ha fet públic el centre d'investigació canadenc The Citizen Lab revela un llistat de 65 persones, entre les quals figuren presidents de la Generalitat, diputats, polítics, periodistes, activistes i advocats, que van ser espiats a través del programa Pegasus, i d’un segon sistema anomenat Candiru. Es tracta de programes als quals tenen accés exclusivament els governs, atès que estan dissenyats per combatre el crim organitzat i el terrorisme, per la qual cosa l'estudi assenyala “una forta evidència” que situa com a responsables d'aquest espionatge les autoritats espanyoles. L'informe d'aquest centre d’investigació de la Universitat de Toronto, que es dedica a estudis sobre comunicació, informació, drets humans i seguretat global, reclama obrir una investigació oficial per conèixer l'abast real d'aquesta operació, els objectius i la seva cobertura judicial.
L'anàlisi de The Citizen Lab, que porta per títol CatalanGate i la metodologia forense de la qual ha estat avalada per Amnistia Internacional, ha determinat que durant els darrers anys el programa Pegasus ha “atacat o infectat” a Catalunya 63 persones, mentre Candiru n'ha situat com a objectiu quatre. Entre els afectats hi ha Pere Aragonès, Carles Puigdemont, Quim Torra i Artur Mas; diferents responsables de les formacions independentistes; diputats del Parlament; tots els eurodiputats independentistes catalans; membres de l’ANC i Òmnium; advocats i periodistes.
Després de subratllar que l’estudi evidencia una “àmplia vigilància dirigida contra la societat civil i el govern català mitjançat programari espia”, la investigació conclou que la naturalesa de les víctimes i els objectius, el moment en què es van produir els seguiments i el fet que Espanya és client del Grup NSO, responsable del programa Pegasus, indica que “les proves circumstancials suggereixen un fort nexe amb el govern d’Espanya”.
Investigació oficial
A parer d’aquest centre d’investigació la gravetat del cas hauria de comportar una investigació oficial per determinar-ne les responsabilitats, el marc legal en què es va produir la pirateria i la supervisió judicial que s’aplicava, així com per assenyalar l’abast real de l’operació, els usos als quals es destinava el material piratejat i la gestió que se n’ha fet de les dades obtingudes.
The Citizen Lab recorda que hi ha moltes persones que podrien estar afectades per aquest cas a les quals no se’ls ha revisat els dispositius, a més, destaca que el sistema de què disposen per a fer la investigació és molt limitada en el cas dels dispositius d’Android, per la qual cosa sospiten que “el nombre total de víctimes i objectius és molt superior”.
Entre les conclusions, i malgrat reconèixer les limitacions de l'estudi, l’informe subratllat l’abast de l’operació d’espionatge, la naturalesa “desenfrenada” i l’amplitud dels afectats; així mateix, es planteja si s’han complert els principis de necessitat i proporcionalitat, tot recordant que moltes víctimes no estaven acusades de cap delicte greu, que no obeïen al perfil de delinqüència o terrorisme per la qual es justifica la venda d’aquest programari espia a clients governamentals. A més, subratlla que la vigilància s’ha produït també mentre el govern espanyol negociava amb les autoritats catalanes.
L’origen de la investigació està en la informació publicada per The Guardian sobre aquest programa espia, que va donar peu a la investigació de The Citizen Lab sobre la pirateria de Pegasus a Espanya. L’informe fa un repàs per contextualitzar la situació política a Espanya i a Catalunya. Recorda que Espanya manté un important aparell de seguretat i intel·ligència, potenciat per l’experiència amb terrorisme i crim organitzat, i que el CNI ha estat vinculat amb diferents escàndols de vigilància i espionatge.
Primer cas: 2015
Gairebé tots els casos registrats a l’informe es van produir entre el 2017 i el 2020. Això no obstant, s’ha detectat un primer cas el 2015, quan es va intentar infectar amb Pegasus el mòbil de Jordi Sànchez, aleshores presidents de l’ANC. Entre el 2017 i el 2020 Sànchez va rebre 25 SMS de Pegasus, la majoria dels quals s’amagaven rere notícies relacionades amb la política catalana i espanyola, així com missatges suposadament relacionats amb Hisenda o Seguretat Social, i que acostumaven a coincidir amb esdeveniments polítics importants.
Segons l’informe, alguns dels objectius van ser espiats no de manera directa sinó a través d’amics o familiars. Entre les persones que han patit l'espionatge figura l'esposa de Carles Puigdemont, Marcela Topor. Així mateix, mentre Jordi Cuixart s’enfrontava com a president d’Òmnium Cultural al judici al Suprem contra els líders del procés, la seva companya, Meritxell Bonet, va ser atacada per Pegasus. També Marcel Mauri, vicepresident d’Òmnium, va ser infectat pel programa, així com alguns dels advocats que defensen els líders del procés, com Gonzalo Boye, Andreu Van den Eynde o Jaume Alonso Cuevillas.
Informació de l'Estat
Molts dels objectius van ser atacats a través d'SMS, amb enllaços maliciosos dissenyats per enganyar els objectius i fer-los entrar. Un cop es clica l’enllaç, el dispositiu s’infecta. Segons explica l’informe, la sofisticació i personalització dels missatges reflecteixen moltes vegades un coneixement detallat dels hàbits, interessos, activitats i preocupacions de l’objectiu. Eren sovint molt personalitzats, per la qual cosa es desprèn que podien estar sotmesos a altres formes de vigilància.
En concret s’assenyala el cas de Jordi Baylina, assessor en projectes relacionats amb el vot digital, que va ser atacat per Pegasus amb 26 intents d’infecció, i infectat com a mínim vuit cops. Baylina va rebre un missatge de text disfressat d’enllaç de la targeta d’embarcament per a un vol de Swiss International Air Lines que havia comprat, o amb informació sobre el seu número d’identificació fiscal.
Els atacs s’han produït també fora de l’Estat espanyol. Marta Rovira va ser atacada a Suïssa, amb missatges SMS d’una ONG, Swisspeace i d’una fundació de Ginebra. L'informe assenyala actuacions també a Bèlgica i Alemanya, la qual cosa podria comportar possibles incompliments en investigacions transfrontereres o violacions de la legislació local.
Pacient zero
L’espionatge a través de Candiru es va identificar gràcies a una infecció a l’ordinador de Joan Matamala, que també havia estat atacat per Pegasus. El cas de Matamala va servir l'any passat per un informe de The Citizen Lab, on se'l va assenyalar com a pacient zero. Aquest segon programa va infectar tres persones més, dues de les quals a través de mails suposadament del ministeri de Salut amb recomanacions sobre la covid-19, i un amb un correu electrònic que s’atribuïa al Mobile World Congress amb un enllaç per a les entrades.
The Citizen Lab, tot i no atribuir de manera concloent l’espionatge al govern espanyol adverteix que hi ha un seguit d’evidències que indiquen aquest nexe. En aquest sentit, recorden l’interès de l’Estat pels objectius investigats, el moment en què es van produir els seguiments, l’accés a informació oficial que es va utilitzar en els missatges amb què es va infectar els dispositius, el fet que el CNI és client del grup NSO i el ministeri de l’Interior també està capacitat. L’informe recorda que aquests sistemes d’espionatge estan només a l’accés dels governs i que és poc probable que cap altre país faci una investigació tant amplia a Espanya, utilitzant SMS i sovint suplantant les autoritats espanyoles, a banda de la repercussió diplomàtica i legal que una operació d’aquest tipus podria comportar.