#CatalanGate, la violación

21 de Abril de 2022
Josep Maria Ganyet | VIA Empresa

Un 23 de octubre del 2019 por la mañana recibí un SMS con un enlace a una noticia relacionada con la sentencia de los presos políticos catalanes. Lo sé del cierto porque mi nombre y esta fecha salen en el informe "CatalanGate: Extensive Mercenary Spyware Operation against Catalanes Using Pegasus and Candiru".

El número que me enviaba el SMS era de Google — tenía muchos otros del mismo número con el código de seguridad que envía Gmail cuando tienes la seguridad de doble factor activada. Creo recordar que el enlace era a Nació Digital y hablaba del juez Marlaska. Pensé que era algún servicio de noticias de Google que de acuerdo con mi patrón de navegación y busca me enviaba información de última hora. Extraño porque cualquier rastreo de Google lo tengo desactivado.

Toda esta cadena de razonamientos pasó entre el momento que presioné sobre la notificación y que piqué el enlace que el SMS llevaba. Todavía no lo había hecho, que mi cerebro me decía que aquello era un mensaje malicioso.

Retiré el pulgar en un acto reflejo esperando que no hubiera llegado a tocar la pantalla del móvil. Demasiado tarde. El enlace abrió el navegador, dio error y sin solución de continuidad se reinició el móvil. Mis sospechas se confirmaron. Había escrito y explicado por activa y por pasiva que para acceder a controlar un móvil o bien nos lo tienen que manipular o bien nos tienen que empujar a manipularlo nosotros mismos y allá era yo cayendo de cuatro patas en el truco de ingeniería social más antiguo del mundo: el pescaclicks.

Conservé la URL que llevaba el SMS y reinicié inmediatamente el móvil con los ajustes de fábrica borrando todo su contenido. Con la ayuda de un hacker intenté investigar a quién pertenecía aquella URL. Al final apuntaba a una IP que salía marcada en varias bases de datos de ciberseguridad como asociada a campañas de ransomware (secuestro de equipos y de datos). Ahora ya estaba seguro. Sudor frío.

No fue hasta pasados unos meses, en julio del 2020, que no até cabos. A raíz de una investigación hecha por el Citizen Lab de Toronto y publicada conjuntamente por el diario británico The Guardian y el español El País el mundo sabía del espionaje a catalanes independentistas, entre ellos el actual conseller d'Empresa Roger Torrent (cuando era President del Parlament), el entonces Conseller d'Exteriors Ernest Maragall, la exdiputada de la CUP Anna Gabriel, el activista Jordi Domingo y el jefe de la Casa de la República Sergi Miquel. También lo probaron con el Vicepresident Jordi Puigneró cuando era conseller y unos cuántos otros pero no lo consiguieron.

El espionaje se había hecho con el software malicioso Pegasus de la empresa NSO Group, una empresa de "ciberseguridad" israelí que afirma que solo vende su software a estados, siempre con la supervisión de las autoridades israelíes (tienen prohibido vender a Rusia, Irán y China por ejemplo). Entienden que sus clientes no harán un mal uso y que no lo usarán sin la autorización de un juez. Son de tan buena fe que no tienen ningún problema para vender el Pegasus apaíses tan democráticos y respetuosos con los derechos fundamentales como Arabia Saudí, Bahrein, Los Emiratos Árabes, Marruecos, Kazajistan, India y México. Un ex-trabajador de NSO afirmaba en 2020 que la empresa iba loca para encontrar un cliente europeo —la tarifa era más baja para las democracias europeas— y que el día que España compró una licencia corría el champán en las oficinas. Presuntamente, siempre.

Me faltó tiempo para ponerme en contacto con Citizen Lab, firmar todos los protocolos de confidencialidad —ellos también conmigo— y darles acceso a mi móvil para que me hicieran un análisis forense. Al cabo de un tiempo me confirmaban las sospechas: había sido objetivo de Pegasus. A partir de aquel momento colaboré con ellos con toda la discreción y diligencia de la que he sido capaz. He escrito, hablado y debatido en varios foros de ciberseguridad sobre el caso sin poder explicar mi caso; no ha sido fácil mantener la distancia.

No fue hasta que se acercó la finalización del informe que la gente de Citizen Lab me pidió, como hizo con el resto de espiados (son muchos más de 65), si quería hacer pública mi historia y en caso afirmativo si también quería hacer público mi nombre. La decisión no fue fácil. Publicar mi nombre representaba estar en el foco de medios, de agencias de seguridad no precisamente amigas, de NSO Group y de todos los guardianes de las esencias patrias. Pero también servía para ayudar a desenmascarar a una pandilla de gangsters vía un proceso judicial, a concienciar a la sociedad de la importancia de los derechos individuales, del peligro de las tecnologías de doble uso y de la necesidad de impulsar una limitación de este tipo de armas de espionaje masivo del mismo modo que hay una limitación del uso de las armas químicas. El final ya lo sabéis.

P.S.: el título del magnífico artículo del Pulitzer Ronan Farrow en el New Yorker es, "How Democracies Spy on Their Citizens". Me remitió inmediatamente a "Democracy dies in the Shadows", el eslogan actual del Washington Post, una frase popularizada por el también Pulitzer Bob Woodward que junto con Carl Berstein destaparon las escuchas del caso Watergate. El escándalo hizo dimitir a Nixon.

PS2: Para acabar me gustaría citar al poeta Albert Pla, un extracto de su tema "La violación".

Van caure sobre mi

I escatimaré els detalls

Van abusar de mi

No va haver-hi pietat

Enculat

Penetrat

Desvirgat

Desflorat

Fustigat

Violentat

Ultratjat

Deshonrat

Humiliat

Rebolcat

Grapejat

Escaldat

Maltractat

Desgraciat

Violat

Rebentat

Flajelat

Destrossat

Contra violació castració

Justícia per favor

M’han ultratjat l’honor

M’han destrempat l’orgull

M’han rebentat el cul

Castigat

Foradat

Lesionat

Vulnerat

Profanat

Escaldat

Dessangrat

Rebaixat

Sofocat

Estocat

Agredit

Envestit

Malferit

Afligit

Corferit

Corrompit

Per què jo

Per què a mi

Si aquell dia estava tan tranquil

Innocenment feliç

Plàcidament dormint

Mirant com baixa el riu

Ingènuament vivint