“España tiene capacidad para espiar móviles en otros países”
John Scott-railton, investigador Citizen Lab
Esta semana una investigación conjunta de los diarios The Guardian y El País ha revelado que el móvil del president del Parlament de Catalunya, Roger Torrent, fue atacado en el 2019 por un programa espía llamada Pegasus, desarrollado por la compañía israelí NSO. Este software, que solo se vende a gobiernos, aprovechó un fallo de seguridad de Whatsapp para introducirse en el terminal del político catalán a través de una videollamada perdida. El espionaje, según estos medios, también habría afectado al exconseller de ERC Ernest Maragall y a la exdiputada de la CUP Anna Gabriel.
John Scott-railton, del grupo de ciberseguridad Citizen Lab, de la Munk School de la Universidad de Toronto (Canadá), lidera la investigación sobre este ataque del programa de NSO a representantes de la sociedad civil.
¿Qué sabe del caso Pegasus en relación con el espionaje de políticos catalanes?
En el 019, 1.400 usuarios de Whatsapp de todo el planeta fueron objetivo de un spyware [un software espía malicioso] llamado Pegasus, desarrollado por la compañía israelí NSO. Whatsapp lo descubrió, en pocas semanas logró bloquear el ataque. Desde Citizen Lab nos ofrecimos voluntarios para ayudar tanto a Whatsapp como a los representantes de la sociedad civil que habían sido espiados, entre ellos los políticos catalanes independentistas, como el presidente del Parlament, Roger Torrent.
¿Los avisaron?
Sí, Whatsapp se puso en contacto con ellos para alertarlos en octubre del 2019.
¿Por qué no se ha hecho publico hasta ahora?
Citizen Lab, por temas de confidencialidad, no puede hablar sobre los casos hasta que las víctimas deciden hacerlo público.
¿Qué permite hacer Pegasus?
Es un programa muy sofisticado e invasivo de espionaje, diseñado para ser operado en secreto. En este caso, se instaló en los móviles a través de una videollamada de Whatsapp y una vez dentro permitía escuchar llamadas y leer mensajes encriptados; acceder a todos los archivos que hubiera en el dispositivo; activar de forma remota el micro y la cámara para monitorizar las conversaciones tanto de la persona espiada como de quien hubiera a su alrededor. También pudo usarse para modificar el contenido del dispositivo, como poner o borrar ficheros.
Citizen Lab ha confirmado el uso de este spyware para espiar a políticos catalanes en Catalunya y también en otros países europeos donde hay líderes independentistas instalados.
En nuestra investigación hemos visto que España compró la capacidad de espiar a usuarios en otros países, como Francia, lo que es muy interesante. También en Bélgica, por lo que este affaire no es solo un problema de España, sino también de Europa.
La persona espiada en Bélgica, ¿podría ser el expresident Carles Puigdemont?
Solo podemos hablar de casos que se han hecho públicos. Sí puedo confirmar que, hasta ahora, Citizen Lab ha documentado 125 casos de espionaje en todo el mundo con el programa de NSO, pero este es el primero, público, de políticos elegidos democráticamente en Europa. Y eso pone a prueba las leyes de protección de privacidad y derechos humanos españolas y europeas.
La web de información Vice.com recogía esta semana declaraciones de un extrabajador de la compañía israelí NSO que confirmaba que España es cliente de Pegasus desde el 2015.
Este programa no se vende en el mercado abiertamente, sino solo a gobiernos. La pregunta clave aquí es quién compró la licencia para usarlo, con qué objetivo, qué información ha obtenido. Si se lleva a cabo una investigación efectiva, podremos averiguar quién ordenó el espionaje y obtener la lista completa de personas espiadas, que seguramente se expande mucho más de la breve ventana temporal en la que Whastapp investigó el caso.
¿El espionaje podría haber comenzado antes?
No solo podría haber comenzado mucho antes sino haber continuado después. Whatsapp es solo un vector que Pegasus usa para colarse en los dispositivos. El cliente detrás del espionaje es muy probable que, cuando este vector dejara de funcionar, empleara otros. Los gobiernos clientes de este software compran licencias de uso a NSO que les permiten monitorizar a un número determinado de teléfonos a la vez. Lo que suelen hacer los estados es espiar a una persona uno o dos días, descargarse los archivos de mensajes del móvil y acabar la infección, sin dejar huellas. Luego usar la licencia para espiar a otra persona durante otro par de días y así.
¿Puede haber más casos de políticos espiados?
En una situación como la actual, está bastante claro que hay muchos más objetivos y no solo los que hasta ahora se han hecho públicos. La cuestión clave es intentar obtener una lista completa de todos los números de teléfono espiado para averiguar el alcance completo de lo ocurrido.
¿Es factible lograr esa lista?
Pegasus mantiene registros localizados de las personas espiadas para los clientes de este programa y se podrían obtener con autorización judicial para acceder a los operadores de telefonía y de servicios de internet, que podrían tener archivos de la actividad de los dispositivos; también para solicitar a NSO información de quién en España compró Pegasus.
¿Les ha contactado el Gobierno español?
No aún y, por supuesto, no tendríamos ningún problema en responder sus preguntas si lo hicieran . El espionaje llevado a cabo se hacía sobre un grupo de personas con una tendencia política concreta. Es una oportunidad única para hacer un esfuerzo público y pedir responsabilidades a quien ordenó esa vigilancia.
LAS VÍCTIMAS “El espionaje fue sobre un grupo de personas con una tendencia política concreta”
PEGASUS EN ESPAÑA “Se actuó sobre móviles en Francia y Bélgica; no es un ‘affaire’ español, es un asunto europeo”