Donncha Ó Cearbhail: "Las pruebas de que el daño de Pegasus es generalizado son muy claras"

BarcelonaAmnistía Internacional ha creado un Laboratorio de Seguridad que ha obtenido pruebas forenses irrefutables sobre cómo Pegasus, el programa espía que la empresa israelí NSO Group vende a los estados, ha sido utilizado para vigilar a periodistas, activistas y miembros de la sociedad civil. También ha desarrollado herramientas para protegerse. Hablamos con Donncha Ó Cearbhail, un irlandés de 23 años que dirige el laboratorio desde Berlín.

¿Qué papel ha jugado Amnistía Internacional en el caso del Catalangate? ¿Y en general, en el seguimiento del uso de Pegasus al mundo?

— Nuestra investigación sobre NSO Group empezó en 2018, cuando descubrimos que Pegasus se había utilizado para espiar a uno de los compañeros de Amnistía Internacional, que investigaba la situación de los derechos humanos en Arabia Saudí. Con investigaciones forenses posteriores, hemos llegado a tener una comprensión técnica detallada de cómo funciona este programa espía y dónde se utiliza en el mundo. En cuanto al caso de los catalanes, se nos pidió que analizáramos de manera independiente una muestra de dispositivos que Citizen Lab había identificado como objetivos de Pegasus durante su investigación. Obtuvimos los datos forenses de los cuatro afectados que aceptaron una verificación independiente. Amnistía Internacional pudo confirmar que los cuatro dispositivos analizados habían sido efectivamente comprometidos con Pegasus. Y hemos corroborado que los rastros encontrados en los últimos casos catalanes coinciden con los que hemos visto en los teléfonos infiltrados con Pegasus en otros países.

¿Qué ha cambiado desde que publicasteis las primeras denuncias contra NSO?

— Desde la publicación de Pegasus Project el verano pasado es evidente que el daño es masivo. Pegasus no es el único: la industria de cibervigilancia ha provocado una crisis sistémica de derechos humanos y hace falta urgentemente una regulación internacional adecuada, transparencia y responsabilidad. Los gobiernos no están haciendo bastante. Probablemente, todavía estamos viendo la punta del iceberg. Quizás hay más abusos que todavía no hemos descubierto porque las empresas que crean programas espía siempre intentan hacerlo en secreto. Es un juego del gato y el ratón, pero las pruebas de que el daño es generalizado son muy claras. No tendría que ser responsabilidad de los pequeños equipos de investigadores de entidades de la sociedad civil pasar cuentas con esta industria. Los gobiernos tienen que tomar medidas urgentes.

¿Se puede introducir un programa espía en un teléfono sin dejar ningún rastro?

— Nosotros hemos creado las herramientas para confirmar que un móvil ha sido infectado con un programa como Pegasus. Pero lamentablemente es imposible demostrar que un aparato no haya sido objetivo de un software espía.

Desde Amnistía habéis desarrollado una herramienta de verificación de móviles (MVT) para detectar la intrusión de Pegasus. ¿La puede usar todo el mundo y en cualquier móvil?

— MVT está diseñado como una herramienta de triaje para tecnólogos que tienen algunas habilidades técnicas pero que no son necesariamente expertos en software espía o forenses digitales. La herramienta funciona tanto en dispositivos Android como en iPhone. Sabemos que NSO Group ha desarrollado tecnologías que se conocen como ataque de cero clic, y que están a disposición de los gobiernos que son sus clientes desde hace años. Con estos ataques no hace falta que el usuario haga nada para ser infectado. Es un tipo de ataque insidioso, del cual es muy difícil que alguien pueda defenderse. Nuestro laboratorio está a disposición de la sociedad civil.

¿Se puede saber quién está detrás del espionaje de un teléfono? ¿Y qué información se ha extraído y cuándo? ¿Cree que las autoridades españolas tienen capacidad técnica para saber quién infiltró los teléfonos de Pedro Sánchez y Margarita Robles?

— A menudo es difícil determinar qué operador en concreto hay detrás de un ataque, pero a veces podemos confirmar que diferentes ataques fueron hechos por el mismo cliente. Con el análisis forense a veces no podemos saber exactamente qué información recopiló el software espía.