#CatalanGate, la violació

21 d'Abril de 2022
Josep Maria Ganyet | VIA Empresa

Un 23 d’octubre del 2019 al matí vaig rebre un SMS amb un enllaç a una notícia relacionada amb la sentència dels presos polítics catalans. Ho sé del cert perquè el meu nom i aquesta data surten a l’informe “CatalanGate: Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru”.

El número que m’enviava l’SMS era de Google —en tenia molts d’altres del mateix número amb el codi de seguretat que envia Gmail quan tens la seguretat de doble factor activada. Crec recordar que l’enllaç era a Nació Digital i parlava del jutge Marlaska. Vaig pensar que era algun servei de notícies de Google que d’acord amb el meu patró de navegació i cerca m’enviava informació de darrera hora. Estrany perquè qualsevol rastreig de Google el tinc desactivat.

Tota aquesta cadena de raonaments va passar entre el moment que vaig pitjar sobre la notificació i que vaig picar l’enllaç que l’SMS portava. Encara no l’havia picat que el meu cervell em deia que allò era un missatge maliciós.

Vaig enretirar el polze en un acte reflex esperant que no hagués arribat a tocar la pantalla del mòbil. Massa tard. L’enllaç va obrir el navegador, va donar error i  sense solució de continuïtat es va reiniciar el mòbil. Les meves sospites es van confirmar. Havia escrit i explicat per activa i per passiva que per accedir a controlar un mòbil o bé ens l’han de manipular o bé ens han d’empènyer a manipular-lo nosaltres mateixos i allà era jo caient de quatre grapes al truc d’enginyeria social més antic del món: el pescaclics.

Vaig conservar la URL que portava l’SMS i vaig reiniciar immediatament el mòbil amb els ajustos de fàbrica esborrant tot el seu contingut. Amb l’ajut d’un furoner vaig mirar d’investigar a qui pertanyia aquella URL. Al final apuntava a una IP que sortia marcada en diverses bases de dades de ciberseguretat com a associada a campanyes de ransomware (segrest d’equips i de dades). Ara ja n’estava segur. Suor freda.

No va ser fins passats uns mesos, al juliol del 2020, que no vaig lligar caps. Arran d’una investigació feta pel Citizen Lab de Toronto i publicada conjuntament pel diari britànic The Guardian i l’espanyol El País el món sabia de l’espionatge a catalans independentistes, entre ells l’actual conseller d’Empresa Roger Torrent (quan era President del Parlament), el llavors Conseller d’Exteriors Ernest Maragall, l’exdiputada de la CUP Anna Gabriel, l’activista Jordi Domingo i el cap de la Casa de la República Sergi Miquel. També ho van provar amb el Vicepresident Jordi Puigneró quan era conseller i uns quants d’altres però no se’n van sortir. 

L’espionatge s’havia fet amb el programari maliciós Pegasus de l’empresa NSO Group, una empresa de “ciberseguretat” israeliana que afirma que només ven el seu programari a estats, sempre amb la supervisió de les autoritats israelianes (tenen prohibit vendre a Rússia, Iran i Xina per exemple). Entenen que els seus clients no en faran un mal ús i que no el faran servir sense l’autorització d’un jutge. Són de tan bona fe que no tenen cap problema per vendre el Pegasus a països tan democràtics i respectuosos amb els drets fonamentals com Aràbia Saudí, Bahrein, Els Emirats Àrabs, Marroc, Kazakstan, Índia i Mèxic. Un ex-treballador d’NSO afirmava el 2020 que l’empresa anava boja per trobar un client europeu —la tarifa era més baixa per a les democràcies europees— i que el dia que Espanya en va comprar una llicència corria el xampany a les oficines. Presumptament, sempre.

Em va faltar temps per posar-me en contacte amb Citizen Lab, signar tots els protocols de confidencialitat —ells també amb mi—  i donar-los accés al meu mòbil perquè me’n fessin una anàlisi forense. Al cap d’un temps em confirmaven les sospites: havia estat objectiu de Pegasus. A partir d’aquell moment vaig col·laborar amb ells amb tota la discreció i dil·ligència de la que he sigut capaç. He escrit, parlat i debatut en diversos fòrums de ciberseguretat sobre el cas sense poder explicar el meu cas; no ha estat fàcil mantenir la distància.

No va ser fins que es va apropar la finalització de l’informe que la gent de Citizen Lab em va demanar, com va fer amb la resta d’espiats (en són molts més de 65), si volia fer pública la meva història i en cas afirmatiu si també volia fer públic el meu nom. La decisió no va ser fàcil. Publicar el meu nom representava estar en el focus de mitjans, d’agències de seguretat no precisament amigues, d’NSO Group i de tots els guardians de les essències pàtries. Però també servia per ajudar a desemmascarar una colla de gàngsters via un procés judicial, a conscienciar la societat de la importància dels drets individuals, del perill de les tecnologies de doble ús i de la necessitat d’impulsar una limitació d’aquest tipus d’armes d’espionatge massiu de la mateixa manera que hi ha una limitació de l’ús de les armes químiques. El final ja el sabeu.

PS: el títol del magnífic article del Pulitzer Ronan Farrow al New Yorker és, “How Democracies Spy on Their Citizens”. Em va remetre immediatament a “Democracy dies in the Shadows”, l’eslògan actual del Washington Post, una frase popularitzda pel també Pulitzer Bob Woodward que junt amb Carl Berstein van destapar les escoltes del cas Watergate. L’escàndol va fer dimitir Nixon.

PS2: Per acabar m’agradaria citar el poeta Albert Pla, un extracte del seu tema “La violació”.

Van caure sobre mi

I escatimaré els detalls

Van abusar de mi

No va haver-hi pietat

Enculat

Penetrat

Desvirgat

Desflorat

Fustigat

Violentat

Ultratjat

Deshonrat

Humiliat

Rebolcat

Grapejat

Escaldat

Maltractat

Desgraciat

Violat

Rebentat

Flajelat

Destrossat

Contra violació castració

Justícia per favor

M’han ultratjat l’honor

M’han destrempat l’orgull

M’han rebentat el cul

Castigat

Foradat

Lesionat

Vulnerat

Profanat

Escaldat

Dessangrat

Rebaixat

Sofocat

Estocat

Agredit

Envestit

Malferit

Afligit

Corferit

Corrompit

Per què jo

Per què a mi

Si aquell dia estava tan tranquil

Innocenment feliç

Plàcidament dormint

Mirant com baixa el riu

Ingènuament vivint