Catalangate

Elies Campo: “Como mínimo tiene que haber el doble de infectados por Pegasus”

Colaborador del grupo de investigación Citizen Lab

5 min
Elies Campo.

BarcelonaElies Campo (Barcelona, 1983) es colaborador de Citizen Lab y uno de los investigadores de este grupo de investigación de la Universidad de Toronto que han destapado el Catalangate.

¿Cómo llegó hasta Citizen Lab?

— En octubre de 2019 WhatsApp y Citizen Lab se pusieron en contacto con las víctimas potencialmente afectadas por Pegasus. Como sabían que yo había trabajado en WhatsApp, algunas contactaron conmigo para saber si el mensaje era genuino. Mis excompañeros me dijeron que sí, que no me podían decir mucho más, pero que me pusiera en contacto con Citizen Lab para entender el caso. Entonces empezó mi relación con el grupo.

¿Cuál es su especialidad?

— En Citizen Lab hay expertos de diferentes ámbitos que colaboran de alguna manera. Desde abogados hasta expertos en ciberseguridad o tecnología, que es mi caso.

¿Qué han ido descubriendo hasta llegar al Catalangate?

— Hemos descubierto que ha habido un uso masivo de Pegasus en un abanico muy grande de la sociedad civil. Ha afectado a políticos, activistas, empresarios, abogados, profesores, doctores, periodistas... Y hemos encontrado diferentes tipos de ataque con los que se introducía el software en los dispositivos.

A menudo era con mensajes que parecían verosímiles a partir de los intereses de la persona.

— Sí. En el contenido de los más de doscientos SMS que sabemos que se han enviado a las víctimas hemos encontrado un esfuerzo editorial, un estudio muy personalizado de quién recibía el mensaje; ya sea de sus intereses, de sus oponentes profesionales o políticos, de los medios de comunicación que consume o de las organizaciones con las que se relaciona. En algunos casos incluso hemos encontrado partes del número del DNI de la persona o información de vuelos que había comprado.

Entonces esta persona clicaba y el programa se instalaba.

— Para instalar Pegasus en un dispositivo hay que saltarse todas las medidas de seguridad de los sistemas operativos, tanto de Apple como de Android, Windows o Mac. Para hacerlo se aprovechan agujeros de seguridad y, en el caso de los SMS, se utilizaba uno que había en el explorador de internet. El usuario tenía que hacer clic en aquel enlace para que Pegasus se instalara. En otros casos, en cambio, se utilizaba una vulnerabilidad de cero click, que quiere decir que el usuario no tiene que hacer nada para infectarse. La persona recibía un mensaje especialmente formateado a través de iMessage de Apple y esto permitía la instalación de Pegasus. 

¿Cuánto vale el programa Pegasus?

— En algunos casos en los que se han filtrado contratos los costes van de setenta a ochenta mil euros por infección. Pero cada cliente debe de tener su propio contrato con NSO y su propio precio.

NSO dice que este programa solo lo vende a estados.

— Lo que vemos en Citizen Lab es que no hay un marco legal concreto de utilización de estas herramientas. Es de los puntos principales que nos preocupan: qué marcos legales se utilizan, qué se hace con los datos que se capturan o si estos datos quedan almacenadas para el cliente o para NSO. Hay muchas preguntas por responder.  

En este caso, este programa se habría usado entre 2019 y 2020, cuando los presos políticos ya estaban en la prisión y el hueso del Procés ya había pasado. ¿Hay alguna explicación?

— Nosotros nos hemos dedicado a encontrar y documentar la evidencia tecnológica. El análisis político creo que es un trabajo periodístico que espero que se haga. Sobre todo cuando podamos publicar la lista completa de los SMS, porque la fecha de recepción es muy significativa para poder hacer una correlación de los acontecimientos que estaban pasando en aquel momento y encontrar una explicación de por qué se intentaba atacar a aquella persona. 

Creo que solo han podido encontrar trazas de Pegasus en móviles iPhone. ¿En la gente que tenga Android, el Pegasus no se puede detectar?

— El sistema operativo de Android es bastante más flexible que el de iPhone y, por lo tanto, nos es más difícil encontrar evidencias en estos casos. En los iPhones tenemos una manera más rápida o escalable de hacerlo y por eso nos hemos focalizado en eso. La conclusión que sacamos es que, seguramente, en dispositivos Android hay un número de casos afectados similar al caso de los iPhones. Podríamos llegar a especular que, como mínimo, tiene que haber el doble de afectados.

¿Normalmente, se mandaba un mensaje a una persona o se le seguía enviando hasta que clicaba?

— En la mayoría de los casos hemos encontrado muchos SMS en personas en concreto.

¿A qué personas les enviaron más mensajes? 

— Ahora mismo recuerdo que Jordi Sànchez recibió unos veinticinco y creo que con David Bonvehí encontramos treinta y dos. Creo que son las personas con un volumen de mensajes más significativo.

¿Los presidentes de la Generalitat también recibieron muchos?

— En el caso del president Pere Aragonès creo que hemos encontrado hasta cuatro; en el caso del presidente Artur Mas seguramente debía de ser una vulnerabilidad cero click; en el del presidente Torra encontramos la combinación de SMS e infecciones, y en el caso del presidente Puigdemont no encontramos en su dispositivo, porque tenía Android, pero sí en todo su entorno: pareja, amistades, equipos de trabajo y compañeros de trabajo.

¿A las personas que hablaban con estas personas que tenían los teléfonos infectados también se les quedaba infectado el teléfono?

— Pegasus no se comporta como un virus que se infecta masivamente, sino que es muy concreta la persona a la que se quiere atacar. Lo que sí que documentamos es que, cuando se ataca a una persona, no solo se vulneran los derechos e intimidad de aquella persona, sino de todas aquellas personas que se habían comunicado y habían compartido mensajes, fotos, e-mails o cualquier tipo de contenido.

¿Qué defensa hay contra esto?

— El gran reto de este tipo de tecnologías es que realmente no podemos hacer nada y las perspectivas de que se pueda hacer nada tampoco están. De aquí la necesidad de que haya una regulación y un marco legal que garantice que haya una transparencia en la autorización de uso de este tipo de herramientas, del mismo modo que hay una regulación y un marco legal donde se puede utilizar armas biológicas o armas nucleares. El gran reto que tienen los países globalmente es cómo se regulan este tipo de herramientas y en qué marcos legales se pueden operar.

Si una empresa israelí ha podido desarrollar un software de estas características, en otros países también es posible.

— Exacto. Una de las grandes preocupaciones que tenemos es que en cualquier ciclo tecnológico, cuando se crea una innovación normalmente al principio, esta tecnología es muy cara y muy poco accesible, pero a medida que van pasando los años suele ser más distribuida, más accesible y más barata. Nos podemos encontrar con que se normalice el uso de este tipo de herramientas, que muchas compañías empiecen a vender este tipo de productos y, al final, nos encontramos, como describía el editorial del The Washington Post, en una sociedad en la que se espía masivamente a la población.  

¿Quién está detrás de Citizen Lab?

— Citizen Lab es un laboratorio multidisciplinario, en el que hay expertos de policy, expertos legales, expertos de tecnología, y depende del músculo de la Universidad de Toronto y lo rige un comité de ética y de tecnología en el que se siguen una serie de medidas de cómo se hacen los estudios, y todo depende de la Universidad de Toronto. 

Deben estar muy atacados informáticamente. 

— Bueno, sí que hay casos documentados de miembros de los equipos que han sido atacados o espiados, y de esto hay algunos artículos y algún documental donde se explica lo que han sufrido algunos de sus miembros. 

Usted estaba en WhatsApp cuando Facebook los compró; trabajó hasta hace poco en Telegram. Tengo la impresión de que usted debe de tener la vida razonablemente resuelta. ¿Qué lo lleva a implicarse en esto?

— Uno de los objetivos de WhatsApp y Telegram es apoderar a los ciudadanos a poder comunicarse libremente y de manera segura. Contribuir con herramientas de este tipo es una motivación que siempre he tenido. Cuando se empezaron a ver estos casos, me encontré con la intersección de tecnología, de derechos humanos y mi país. La vida me ha puesto en una situación en la que no puedo decir que no.

stats