Un informe que hoy ha hecho público el centro de investigación canadiense The Citizen Lab revela un listado de 65 personas, entre las cuales figuran, presidents de la Generalitat, diputados, políticos, periodistas, activistas y abogados, que fueron espiados a través del programa Pegasus, y de un segundo sistema denominado Candiru. Se trata de programas a los cuales tienen acceso exclusivamente los gobiernos, diseñados para combatir el crimen organizado y el terrorismo, por lo cual, el estudio señala "una fuerte evidencia" que sitúa como responsables de este espionaje a las autoridades españolas. El informe de este centro de investigación de la Universidad de Toronto, que se dedica a estudios sobre comunicación, información, derechos humanos y seguridad global, reclama abrir una investigación oficial para conocer el alcance real de esta operación, los objetivos y su cobertura judicial.

El análisis de The Citizen Lab, que lleva por título CatalanGate y cuya metodología forense ha sido avalada por Amnistía Internacional, ha determinado que durante los últimos años el programa Pegasus "ha atacado o infectado" en Catalunya a 63 personas, mientras que Candiru ha situado como objetivo a cuatro. Entre los afectados figuran Pere Aragonès, Carles Puigdemont, Quim Torra y Artur Mas; diferentes responsables de las formaciones independentistas; diputados del Parlament; todos los eurodiputados independentistas catalanes; miembros de la ANC y Òmnium; abogados y periodistas.

Después de subrayar que el estudio evidencia una "amplia vigilancia dirigida contra la sociedad civil y el gobierno catalán a través de un programa espía", la investigación concluye que la naturaleza de las víctimas y los objetivos, el momento en que se produjeron los seguimientos y el hecho de que España es cliente del Grupo NSO, responsable del programa Pegasus, indica que "las pruebas circunstanciales sugieren un fuerte nexo con el gobierno de España".

Investigación oficial

En opinión de este centro de investigación, la gravedad del caso tendría que comportar una investigación oficial para determinar las responsabilidades, el marco legal en que se produjo la piratería y la supervisión judicial que se aplicaba, así como también para señalar el alcance real de la operación, los usos a los cuales se destinaba el material pirateado y la gestión que se ha hecho de los datos obtenidos.

The Citizen Lab recuerda que hay muchas personas que podrían estar afectadas por este caso a las cuales no se les ha revisado los dispositivos, además, destacan que el sistema de que disponen para hacer la investigación es muy limitada en los casos de los dispositivos de Android, por lo cual sospechan que "el número total de víctimas y objetivos es muy superior".

Entre las conclusiones, y a pesar de reconocer las limitaciones del estudio, el informe subrayado el alcance de la operación de espionaje, la naturaleza "desenfrenada" y la amplitud de los afectados; así mismo cuestiona si se han cumplido los principios de necesidad y proporcionalidad, recordando que muchas víctimas no estaban acusadas de ningún delito grave, que no obedecían al perfil de delincuencia o terrorismo para los cuales se justifica la venta de este software espía a clientes gubernamentales. Además, subraya que la vigilancia se ha producido también mientras el Gobierno negociaba con las autoridades catalanas.

El origen de la investigación está en la información publicada por The Guardian sobre este programa espía, que dio pie a esta investigación de The Citizen Lab sobre la piratería de Pegasus en España. El informe da un repaso para contextualizar la situación política en España y Catalunya. Recuerda que España mantiene un importante aparato de seguridad e inteligencia, potenciado por la experiencia con terrorismo y crimen organizado, y que el CNI se ha visto vinculado con diferentes escándalos de vigilancia y espionaje.

Primer caso: 2015

Casi todos los casos registrados en el informe se produjeron entre el 2017 y el 2020. No obstante, se ha detectado un primer caso el 2015, cuando se intentó infectar con Pegasus el móvil de Jordi Sànchez, entonces presidentes de la ANC. Entre el 2017 y en 2020 Sànchez recibió 25 SMS de Pegasus, la mayoría de los cuales se escondían tras noticias relacionadas con la política catalana y española, así como mensajes supuestamente relacionados con Hacienda o Seguridad Social, y que acostumbraban a coincidir con acontecimientos políticos importantes.

Según el informe, algunos de los objetivos fueron espiados no de manera directa, sino a través de amigos o familiares. Entre las personas que han sufrido este espionaje figura la esposa de Carles Puigdemont, Marcela Topor. Mientras Jordi Cuixart se enfrentaba como presidente de Òmnium Cultural al juicio en el Supremo contra los líderes del procés, su compañera, Meritxell Bonet, fue atacada por Pegasus. También Marcel Mauri, vicepresidente de Òmnium, fue infectado por el programa, así como algunos de los abogados que defienden a los líderes del procés, como Gonzalo Boye, Andreu Van den Eynde o Jaume Alonso Cuevillas.

Información del Estado

Muchos de los objetivos fueron atacados a través de SMS, con enlaces maliciosos diseñados para engañar a los objetivos y hacerlos entrar. Una vez se cliquea el enlace, el dispositivo se infecta. Según explica el informe, la sofisticación y personalización de los mensajes reflejan un conocimiento a menudo detallado de los hábitos, intereses, actividades y preocupaciones del objetivo. Eran a menudo muy personalizados, por lo cual se desprende que podían estar sometidos a otras formas de vigilancia.

En concreto, se señala el caso de Jordi Baylina, asesor en proyectos relacionados con el voto digital, que fue atacado por Pegasus con 26 intentos de infección, e infectado como mínimo ocho veces. Baylina recibió un mensaje de texto disfrazado de enlace de la tarjeta de embarque para un vuelo de Swiss International Air Lines que había comprado, o con información sobre su número de identificación fiscal.

Los ataques se han producido también fuera del Estado español. Marta Rovira fue atacada en Suiza, con mensajes SMS de una ONG, Swisspeace y de una fundación de Ginebra. El informe señala actuaciones también en Bélgica y Alemania, lo cual podría comportar posibles incumplimientos en investigaciones transfronterizas o violaciones de la legislación local.

Paciente cero

El espionaje a través de Candiru se identificó gracias a una infección en el ordenador de Joan Matamala, que también había sido atacado por Pegasus. El caso de Matamala sirvió el año pasado para un informe de The Citizen Lab, donde se le señaló como paciente cero. Este segundo programa infectó a tres personas más, dos de las cuales a través de mails supuestamente del ministerio de Salud con recomendaciones sobre la covid-19, y uno con un correo electrónico que se atribuía al Mobile World Congress con un enlace para las entradas.

The Citizen Lab, a pesar de no atribuir de manera concluyente el espionaje al Gobierno español, advierte que hay una serie de evidencias que indican este nexo. En este sentido, recuerdan el interés del Estado por los objetivos investigados, el momento en que se produjeron los seguimientos, el acceso a información oficial que se utilizó en los mensajes con que se infectó los dispositivos, el hecho de que el CNI es cliente del grupo NSO y el ministerio del Interior también está capacitado. El informe recuerda que estos sistemas de espionaje están solo al acceso de los gobiernos y que es poco probable que ningún otro país haga una investigación tan amplía en España, utilizando SMS y a menudo suplantando las autoridades españolas, aparte de la repercusión diplomática y legal que una operación de este tipo podría comportar.