Hi
faries
 clic?

Més de 200 missatges com aquest formen part d'un dels casos més grans d’espionatge tecnològic a mans d’un estat a Europa. Simplement fent clic a l'enllaç se t’infecta el telèfon amb un programari espia molt sofisticat.

Aquesta és la història sobre les capacitats secretes d’aquest espionatge informàtic, com les va utilitzar un govern i l'amenaça que això representa per als drets fonamentals i la democràcia.

Què passa si tant és fer-hi clic o no?

Moltes altres víctimes van ser infectades silenciosament, sense que aquestes fessin res, mitjançant vulnerabilitats de 'zero clicks'. Sense enllaços maliciosos, sense enganys. En un moment donat el telèfon d'una víctima era segur i, un moment després, transmetia en silenci tota la seva informació privada als espies del govern.

Des del 2017, i possiblement ja al 2015, els telèfons de desenes de ciutadans catalans han estat objectiu d'una operació a gran escala a través del programari espia Pegasus, creat per l'empresa mercenària d’espionatge NSO Group.

Però això no és tot.

Els ordinadors d'altres persones a Catalunya han sigut atacats i infectats amb programari espia fet per una altra empresa mercenària de vigilància: Candiru.

Ambdues companyies afirmen que els seus productes només estan destinats a combatre la delinqüència greu i el terrorisme, i que es venen exclusivament a governs.

El context?

Espanya té un conflicte polític no resolt amb Catalunya des de fa molts anys. Les tensions van arribar a un punt d'inflexió durant el referèndum d’autodeterminació de Catalunya del 2017, que va ser declarat inconstitucional pel Tribunal Constitucional. El resultat? La dissolució del Parlament de Catalunya, l’exili de diverses personalitats polítiques i un judici i posterior condemna del Tribunal Suprem a nou líders socials i polítics catalans, que quasi 4 anys després van ser indultats.

65

Almenys 65 persones han estat infectades o atacades amb un programari espia sofisticat i han consentit a explicar les seves històries.

Aquest programari espia penetra de manera encoberta els telèfons mòbils (i altres dispositius) i és capaç de llegir missatges, escoltar trucades, recopilar contrasenyes, fer un seguiment d'ubicacions, accedir al micròfon i a la càmera del dispositiu objectiu i recollir informació de les aplicacions. També es poden controlar les trucades o llegir i controlar els xats encriptats. La tecnologia permet, a més, mantenir l'accés als comptes al núvol de les víctimes fins i tot després que la infecció hagi acabat.

El seu nom?

Pegasus

És una eina sofisticada de programari espia exclusiu de governs, vinculat a centenars d'abusos a tot el món.

Potser heu sentit a parlar de Pegasus. És un sofisticat programari espia mercenari venut a governs de tot el món. S'ha relacionat amb centenars d’abusos. Alguns dels pitjors casos s'han produït a mans de règims autoritaris a l'Aràbia Saudita, els Emirats Àrabs Units, Togo, Jordània i molts altres.

El cas més conegut és el de l’ús de Pegasus contra membres de la família del periodista saudita Jamal Khashoggi abans i després de ser assassinat a Turquia. S'ha utilitzat contra periodistes d'arreu del món, així com contra defensors dels drets humans, contra la dissidència política i contra aquells que es dediquen a destapar la veritat.

S'han produït altres abusos a mans d’altres suposades democràcies com l'Índia, Polònia, Hongria i El Salvador.

Sospites d’infeccions de Pegasus

A Catalunya no van ser només atacats amb Pegasus. Així és com hem enxampat les infeccions de Candiru.

Candiru

Joan Matamala era al seu despatx, a la idíl·lica Girona, treballant amb l’ordinador. Encara no ho sabia, però acabàvem de descobrir que el seu dispositiu estava infectat. Calia actuar immediatament. Després d'un seguit de trucades, vam contactar amb els seus companys de despatx. Fent servir una excusa, li van demanar que sortís al passadís. Calia ser enginyós: era possible que des del dispositiu infectat encara estigués sent escoltat a temps real. Un cop va donar-nos el seu consentiment, vam empaquetar el seu ordinador immediatament, de manera segura, i li vam fer una anàlisi forense aquella mateixa nit.

Acabàvem d’aconseguir en directe una còpia de Candiru.

Els programaris espia com Candiru estan dissenyats per autodestruir-se i ocultar els seus rastres. Enxampar una infecció viva és difícil, però tenir el codi real és essencial per entendre'l i neutralitzar-lo.

Un cop vam tenir la mostra, vam treballar amb Microsoft per investigar. Es van identificar dues vulnerabilitats de 'dia zero' que Candiru havia utilitzat per infectar. Els dispositius Windows amb programari espia van ser batejats com a 'DevilsTongue'.

Gràcies a això, el 13 de juliol de 2021 Microsoft va actualitzar els 1400 milions de dispositius Windows amb una reparació que evitava noves infeccions per Candiru mitjançant aquestes dues vulnerabilitats.

Era apropiat l’atac a gran escala contra la societat política i civil de Catalunya?

Les opinions de la gent sobre la independència de Catalunya són diferents, però moltes de les víctimes d’espionatge no han estat mai ni acusades judicialment ni condemnades pel seu activisme polític. Són defensors de drets humans, polítics, líders de la societat civil, advocats, periodistes i fins i tot desenvolupadors de programari de codi obert que treballen en la promoció de la participació democràtica. L’atac inclou Presidents, diputats del Parlament català, del Congrés espanyol i del Parlament Europeu. I, en alguns casos, membres de les seves famílies també han estat infectats.

Alguns dels atacs es van produir durant negociacions polítiques i debats relacionats amb la independència de Catalunya. La majoria de la gent estaria d'acord que espiar els teus homòlegs durant un procés de negociació política és un acte de mala fe.

Objectius

Coneix algunes de les persones atacades

Pegasus i Candiru han estat utilitzats per atacar persones de Catalunya de diferents sectors de la societat.

Membres del Parlament Europeu

Tots els eurodiputats catalans que estan a favor de la independència han estat atacats amb Pegasus, ja sigui directament, o indirectament a través d’algú proper. Els dispositius de tres eurodiputats van ser atacats, dos després d'haver assumit el càrrec i un poc abans de ser substituït al càrrec. Personal del Parlament, familiars o col·laboradors propers de dos eurodiputats més també han estat objectiu d'atacs.

Societat Civil

Diverses persones i organitzacions de la societat civil han estat atacades i infectades per Pegasus o Candiru. Entre elles, Òmnium Cultural i l’Assemblea Nacional Catalana, dues organitzacions que donen suport a la independència de Catalunya. També han estat atacats advocats que representen líders polítics. I també diversos desenvolupadors de codi obert coneguts que treballaven en projectes de programari relacionats amb la participació democràtica i la descentralització.

Personalitats polítiques catalanes

Tots els presidents catalans des del 2010 han estat atacats amb Pegasus, ja sigui en l’exercici del seu mandat, abans de ser elegits o després d’abandonar el càrrec. Altres líders polítics i diputats catalans de tots els partits independentistes amb representació al Parlament de Catalunya han estat víctimes d’aquests atacs, inclosos diversos presidents/es del Parlament català (ja sigui mentre ocupaven el càrrec o abans de prendre’n possessió).

L’atac s’expandeix

Darrere de cada persona infectada, el dany s’expandeix. No només es viola la privacitat de les víctimes directes de les infeccions: també es compromet la privacitat de les dotzenes o, fins i tot, centenars de persones i organitzacions amb qui aquesta persona es comunica per telèfon, s’hireuneix o, simplement, comparteix un espai.

En alguns casos, amics, familiars i col·laboradors han sigut també infectats, en una estratègia d’atacs relacionals: per accedir al seu objectiu primari, han atacat el seu entorn més proper. El govern que operava amb aquest programari espia va deduir que aquests telèfons podien ser una finestra oberta per on espiar les vides dels seus objectius.

Baixa per veure’n alguns exemples

Elisenda Paluzie

Name
Nou projecte ANC [enllaç maliciós] 06/05/2020 [Remitent:europress]
SenderID: Twitter @cronicaglobal Eleccions ANC [enllaç maliciós] 10/06/2020 [Remitent:Twitter]

Presidenta de l’ANC (2018-2022)

Elisenda Paluzie és una destacada economista, acadèmica i activista catalana. Estava teletreballant des de casa durant el confinament quan va rebre un dels intents d'infecció. El missatge que va rebre es feia passar per una notícia sobre l'Assemblea Nacional Catalana.

El 10 de juny de 2020 es presentava per a la reelecció a la presidència de l’ANC. El vot online acabava d’obrir-se quan va rebre un altre intent d’infecció. El remitent del missatge es feia passar per Twitter, amb una notificació sobre un mitjà escrit català.

L’evidència forènsica també confirma que Paluzie va ser infectada amb Pegasus al voltant del 29 d’octubre del 2019. Aquest atac va dur-se a terme en el context de les protestes en contra de la sentència del Tribunal Suprem que condemnava els líders catalans a llargues penes de presó.

Carles Puigdemont

Name

President de la Generalitat de Catalunya (2016-2017)

No s’han trobat proves forènsiques per confirmar que Carles Puigdemont hagi estat infectat amb Pegasus. Tanmateix, suposem que pot haver estat l’objectiu primari de l’àmpli espionatge que ha afectat el seu entorn més proper.

Hem trobat una sèrie d’atacs que rodejaven Puigdemont: almenys 11 persones del seu entorn han estat atacades amb Pegasus, des de la seva esposa al personal de la seva residència, passant per col·laboradors, el seu advocat o amics propers. En conjunt, el monitoratge de tots aquests aparells pot haver aportat una visió detallada de la seva vida, moviments i pensaments.

Atac indirecte

Atacs al cercle professional i personal de Puigdemont.

Gonzalo Boye

Name
@CJR Repressió mundial llibertat de premsa [enllaç maliciós] 21/04/2020 [Remitent:Twitter]
SenderID: Twitter @hrw Una idea radical per a Europa [enllaç maliciós] 09/05/2020 [Remitent:Twitter]

Advocat de Carles Puigdemont

Gonzalo Boye és un advocat que ha representat nombroses personalitats polítiques catalanes, com ara els presidents Puigdemont i Torra, així com altres líders catalans. El fet que se l’hagi atacat, a ell i a d’altres advocats, planteja la possibilitat que el privilegi advocat-client s’hagi violat de manera deliberada per part de l’Estat usuari de Pegasus.

Entre gener i maig de 2020, Boye va ser atacat almenys 18 vegades amb intents d'infecció amb Pegasus a través de missatges SMS. Alguns dels missatges es van fer passar per tuits d'organitzacions com Human Rights Watch, o mitjans com The Guardian, Columbia Journalism Review i Politico.

Una anàlisi forense va trobar proves que el telèfon de Boye tenia una infecció activa de Pegasus el 30 d'octubre de 2020. El moment és interessant: un dels seus clients havia sigut detingut només 48 hores abans de la infecció.

Imatge: “Declaració de Quim Torra al TSJC” © Òmnium Cultural. De Wikimedia Commons.

El principi de l'abús

Se sol pensar que el gran problema de programes espia com Pegasus és que són venuts a dictadors, que en fan un ús abusiu. I això és cert.

Però fins i tot quan aquest programari es ven a estats democràtics, es produeix aquest abús: democràcies com Polònia, Hongria, Mèxic, El Salvador o l'Índia han tingut escàndols en aquest sentit. Lamentablement, els casos sovint coincideixen amb un retrocés democràtic.

Un cop adquirit el programari espia, la pregunta no és si es produirà un abús, sinó quan es produirà. Fins i tot en una democràcia.

Ha estat Espanya un d’aquests casos?