31.05.2025 - 21:40
|
Actualització: 31.05.2025 - 22:45
No fou fins just ara fa cinc anys que es va començar a destapar l’escàndol del Catalangate, quan alguns diaris internacionals van publicar una investigació del laboratori Citizen Lab que destapava l’espionatge als mòbils de milers de persones de tot el món, la majoria activistes, polítics i periodistes mitjançant una vulnerabilitat de WhatsApp. I, entre aquests, van aparèixer els noms de cinc víctimes relacionades amb l’independentisme català: l’aleshores president del Parlament de Catalunya, Roger Torrent; l’ex-diputada de la CUP Anna Gabriel; l’ex-conseller Ernest Maragall; l’activista de l’ANC Jordi Domingo i l’ex-director de la Casa de la República Sergi Miquel. Era la punta de l’iceberg. Aquell escàndol va fer que WhatsApp denunciés NSO, la companyia propietària de Pegasus, a un tribunal federal de Califòrnia, i aquesta causa ha permès, finalment, de revelar informació inèdita fins ara sobre el preu, les prestacions, els serveis i el funcionament d’aquest programari que Espanya –durant governs tant del PP com del PSOE– va emprar contra l’independentisme.
La causa judicial de Meta (propietària de WhatsApp) contra NSO s’ha resolt recentment amb una condemna històrica contra la companyia israeliana, que haurà de pagar una indemnització de 167 milions de dòlars. El tribunal californià va sentenciar que havia vulnerat la llei de frau i abús informàtic dels EUA i una normativa semblant de Califòrnia mitjançant el seu programari Pegasus.
I, arran de la resolució, Meta va fer públiques les transcripcions dels interrogatoris a quatre directius de NSO durant el procediment judicial. Les declaracions de tots quatre revelen, entre més coses, que entre el 2018 i el 2020 (el període en què se situa el gruix d’infeccions que s’han detectat en el marc del Catalangate) el preu que NSO cobrava als estats europeus per un paquet de quinze infeccions no concurrents era “d’uns set milions d’euros”, als quals s’havia d’afegir un milió extra si volien usar “vectors encoberts”, és a dir, una manera d’introduir silenciosament el programari espia en el mòbil de les víctimes, sense que calgués que fessin clic a cap enllaç.
És la informació més precisa que s’ha fet pública fins ara sobre el cost per a l’ús del programari Pegasus. La va revelar Sarit Bizinsky Gil, vice-presidenta d’operacions comercials internacionals de NSO, durant l’interrogatori (llegiu-lo ací sencer) que li van fer el 6 de setembre de l’any passat en el marc de la causa per l’espionatge en massa entre el 2018 i el 2019 aprofitant una vulnerabilitat de WhatsApp. Segons Bizinsky Gil, hi havia un preu estàndard per als estats europeus, que consistia a cobrar-los set milions d’euros en canvi de poder tenir infectats quinze dispositius al mateix temps. És a dir, si l’organisme policíac o d’intel·ligència d’un estat tenia infectats els mòbils de quinze persones i volia espiar-ne un altre, o uns quants més, o bé havia de pagar un altre paquet de quinze objectius simultanis (set milions d’euros més) o bé podia aturar la infecció en un objectiu o més per poder-la activar en uns altres.
Això podria explicar el fet que els investigadors del Catalangate es trobessin que els dispositius d’alguns dels independentistes espiats tenien moltes dates d’infecció, perquè el Pegasus s’hi instal·lava, se’n desinstal·lava i, passat un temps, s’hi tornava a instal·lar.
Però hi ha més detalls interessants que aporta la vice-presidenta de NSO: aquest preu bàsic de set milions per quinze infeccions simultànies era comú en els clients més antics (i Espanya n’era un), que uns quants anys més tard (com ara el 2019 i el 2020) havien de pagar un plus d’un milió d’euros per poder disposar dels “vectors d’atac encoberts”, és a dir, de la possibilitat d’infectar un mòbil sense necessitat que la víctima cliqués cap enllaç maliciós. És el sistema d’infecció de clic zero.
La qüestió és quants paquets bàsics de set milions d’euros van necessitar els governs espanyols, tant els governats pel PP (les primeres infeccions detectades contra independentistes catalans es remunten al 2015, contra Artur Mas i Jordi Sánchez) com pel PSOE (que va tenir la responsabilitat de govern durant l’etapa amb més nombre d’infectats documentats, entre el 2019 i el 2021). Perquè hi ha seixanta-vuit víctimes publicades, però la investigació sobre nous casos no s’ha aturat i podria arribar a enfilar-se molt més, prop del centenar. I parlem només de mòbils iPhone, que són els únics on les anàlisis forenses de laboratoris tecnològics com Citizen Lab poden detectar el rastre que hi ha deixat el Pegasus.
Aquest programari espia permet d’infectar també dispositius Android (que són majoritaris entre la població), però aquests casos no han pogut ser detectats ni documentat, de manera que el nombre de víctimes independentistes d’espionatge amb Pegasus potser molt més elevat. Quants diners pot haver costat tot aquest espionatge a les arques públiques espanyoles?
Pegasus permet, a més, d’empaitar els enemics, d’espiar-los anessin on anessin. Aquest programari solament es ven als estats; solament el poden comprar organismes governamentals, i poden infectar dispositius mòbils dins de la frontera administrativa de l’estat. Però NSO oferia la possibilitat de poder infectar els mòbils de les víctimes que es trobessin en uns altres països, afegint-hi un sobrecost, és clar. Els investigadors del cas WhatsApp contra Pegasus a Califòrnia sospitaven que això podia duplicar el preu de la infecció, però Bizinsky Gil va declarar que implicava un encariment “entre un milió i dos d’euros”. I és evident que Espanya va pagar el sobrecost, perquè entre les víctimes del Catalangate hi ha Anna Gabriel i Marta Rovira, infectades durant l’exili a Suïssa; Meritxell Serret, quan era exiliada a Bèlgica; Jordi Baylina, a Suïssa; els eurodiputats Diana Riba i Jordi Solé; Sergi Miquel, probablement a Bèlgica, i possiblement també Josep Costa.
Els clients emmagatzemen la informació robada
Una de les preguntes que durant tots aquests anys s’han anat fent la seixantena de víctimes sabudes fins ara del Catalangate era què s’havia fet de la informació que els havien robat, quina era i on havia anat a parar. En un altre interrogatori durant la causa californiana, fet el 27 d’agost de l’any passat, el vice-president de NSO Ramon Eshkar va revelar algun detall important. Va explicar en què consistia la instal·lació de Pegasus a un client: “Abans de la instal·lació física, fem saber al client els requisits previs necessaris. Això inclou el sistema de refrigeració per als servidors, la mida de l’habitació, els requisits elèctrics, etc. Una vegada aquests requisits són complerts, es fa una inspecció al lloc d’instal·lació triat pel client, per comprovar-ho. Si hi ha mancances, demanem al client que les resolgui. Si no n’hi ha, instal·lem físicament els servidors al lloc designat, desembalen els servidors, els col·loquen en un bastidor, els connectem i els engeguem. Instal·lem el programari i es fan proves per confirmar que tot funciona correctament. Després, l’equip de desplegament passa el sistema a l’equip següent.”
Aquesta maquinària que s’instal·la al lloc designat pel client, explica Eshkar, té el propòsit no solament de fer funcionar el programari, permetre la interfície d’usuari i proporcionar suport elèctric auxiliar, sinó també d’emmagatzemar les dades obtingudes. Així li ho van demanar específicament en l’interrogatori:
—Aquests servidors reben i emmagatzemen informació recollida dels dispositius objectiu?
—La informació que es recull s’emmagatzema, segons que sé, en el sistema d’emmagatzematge que forma part del conjunt de la maquinària.
—A les instal·lacions del client?
—A les instal·lacions del client.
És a dir, que les dades robades pel CNI, la policia espanyola o la Guàrdia Civil a desenes de persones vinculades a l’independentisme durant anys haurien de ser físicament en algunes d’aquestes màquines instal·lades en algun indret de l’estat espanyol.
