Elies Campo: “Els nous Pegasus podrien indicar la següent persona a infectar”

“La inacció de la Unió Europea amb el Catalangate és extraordinària comparant-ho amb els EUA”, diu Elies Campo en aquesta entrevista, que fem dos anys després de la revelació del cas d’espionatge d’estat amb programari espia documentat més gran del món. Campo, que com a investigador de The Citizen Lab va participar en la investigació, no pot entendre que no es prenguin mesures com als Estats Units, on s’ha arribat a incloure la companyia fabricant de Pegasus, NSO, en llistes pel fet d’haver espiat ciutadans amb passaport nord-americà. Parlem amb ell del potencial que poden tenir aquesta mena de programaris en un context de manca de regulació i més encara amb les possibilitats que ofereix la intel·ligència artificial. I repassem amb ell, com a ex-treballador de Telegram i de WhatsApp, la darrera polèmica per la pretensió d’un jutge espanyol de voler blocar Telegram.

—El Catalangate és encara el cas més gran conegut a Europa d’espionatge amb Pegasus?
—Sí, continua essent el cas més gran de casos documentats amb anàlisi forense d’abús de programari espia mercenari.

—De tot el món?
—De tot el món. No hi ha hagut cap cas al món en què hàgim trobat tants casos d’abús d’aquestes tecnologies. Hem trobat algun cas en què hi havia hagut una trentena d’infeccions, però són tot just la meitat de les del Catalangate.

—Pot ser que això només sigui la punta d’un gran cas d’espionatge en massa d’un moviment polític?
—Allò que fa diferent el Catalangate és no solament la gran quantitat de persones afectades, sinó també la gran representació de perfils que hi ha: polítics, activistes, enginyers, periodistes, advocats, metges i familiars d’alguns d’ells. I, pel que hem vist, aquestes eines només són un component més dels que utilitza l’estat per infiltrar-se en el moviment independentista: també hi ha seguiments físics, infiltracions d’agents de les forces de seguretat, desinformació… Però aquests programaris espia mercenaris, aquesta eina tan poderosa, són difícils d’aplicar a gran escala. És un programari molt personalitzat, és difícil que afecti milers de persones al mateix temps, no és com un virus.

—Heu arribat a fer mai una estimació aproximada dels diners que pot haver costat el Catalangate amb el cost que té Pegasus?
—És molt difícil de determinar perquè la part financera es calcula client a client. El sistema de preus no és públic ni igual per a tothom; canvia segons el client, el país, les llicències que es facin servir. Sembla que hi ha països on es cobren ordres de magnitud més cares que en uns altres, i de vegades això ho utilitza la companyia com a màrqueting. Poder dir que hi ha un país europeu que ho fa servir és una eina de màrqueting que pot emprar en uns altres països fora de la Unió Europea o en més llocs del món per cobrar el programari més car.

—I a part del preu hi ha, la gran despesa de recursos que implica fer-lo anar…
—Cal la participació de força gent: hi ha l’estudi personal de la víctima, com és, quines pors té, quines interaccions fa amb més gent, etc. Es tracta d’enviar-li el vector d’atac més adient, sigui un SMS o un correu electrònic, amb un contingut molt personalitzat. I hi ha tota l’operativa: un cop el programari és dins el dispositiu infectat, cal veure quines de les capacitats que té cal utilitzar contra aquesta persona: prendre-li els missatges, escoltar-lo, decidir quan s’hi entra i quan se’n surt… Cal gent darrere monitorant-ho. I després hi ha tota la part d’analítica, perquè el programari permet d’extreure una gran quantitat de dades del dispositiu que després s’han de trobar, analitzar, s’han d’entendre i s’han d’incorporar en les investigacions que es facin. Per tant, l’ús d’aquestes eines requereix tota una infrastructura, tant tècnica com personal.

—El Pegasus d’avui és més invasiu, més perillós? NSO el va desenvolupant?
—Sí, Pegasus i més programes com aquest es continuen usant avui. Ara Pegasus és al centre del focus mediàtic i pot ser que, per això, en alguns països es faci servir menys. Ara, sabem que hi ha unes altres companyies que desenvolupen productes semblants, i hi ha potencialment companyies que encara no sabem ni que existeixen i que tenen productes amb capacitats semblants, i, com qualsevol tecnologia, els desenvolupen, creixen i els milloren.

—Com ens arribaran a espiar amb la intel·ligència artificial?
—Ronan Farrow descrivia al New Yorker, havent pogut entrar a NSO, unes utilitats futures, potencials, d’aquestes eines: que ajudi l’operador a determinar qui ha de ser la següent persona a infectar; segons les dades que extreu del dispositiu [infectat], és capaç de calcular quins han de ser els pròxims objectius, basant-se en l’anàlisi dels missatges i de tot aquest contingut. La intel·ligència artificial ho pot facilitar. Ara és una especulació, però és lògic que també aquestes eines la incorporin, i que siguin més potents, més fàcils d’utilitzar, més ràpides, i que siguin més invasives a l’hora de poder processar i avaluar tota l’anàlisi del contingut.

—Voleu dir que Pegasus podria suggerir noves víctimes a qui espia?
—Inicialment Pegasus i els altres programes permetien d’accedir a la informació dels objectius, però l’anàlisi l’havien de fer els usuaris d’aquestes tecnologies. Afegint-hi aquesta capa d’intel·ligència artificial, ens podem imaginar com poden ser aquestes eines. La demanda d’aquesta mena de productes continua creixent, i una de les grans preocupacions és com aturar-les. Perquè tots els dispositius que fem servir tenen un sistema operatiu; els que utilitzem ara i els que usarem en el futur. Si al final les Vision Pro d’Apple es converteixen en els nous mòbils, i tothom en duu, o els rellotges intel·ligents, o el que sigui, les noves plataformes que arriben a milers de milions de persones, tots aquests dispositius tenen un sistema operatiu que ha estat programat i desenvolupat per humans, i els humans generem errors que no som capaços de trobar d’entrada. Per tant, sempre hi haurà vulnerabilitats que aquestes eines podran explotar per introduir-s’hi.

—La resposta que la UE ha donat als escàndols d’espionatge com ara el Catalangate ens ha de fer sentir més tranquils o més preocupats?
—La inacció de la Unió Europea és extraordinària. Tenint en compte els casos com el Catalangate, el més gran mundialment, i els de Polònia, Hongria, Grècia, a membres del Parlament Europeu, és extraordinària la inacció de la UE, comparant-la amb la dels EUA, que han liderat accions del govern com ara afegir certes companyies a llistes de prohibicions, impedir que aquestes eines siguin emprades contra els seus ciutadans, denúncies que han presentat… A Europa és insuficient el que s’ha fet fins ara i demostra la manca de voluntat de regular aquestes eines, perquè són una amenaça per al bon funcionament de la societat i la democràcia de la UE.

—Avui som més vulnerables?
—Tal com diem a The Citizen Lab, si no hi ha una regulació i l’accés a aquestes eines continua essent relativament fàcil, quan un estat les compra no és qüestió de si n’abusarà, sinó que és una qüestió de quan n’abusarà.

—Podem suposar que hi ha encara més casos del Catalangate dels que s’han documentat fins ara?
—No podem parlar de casos quan no tenim l’autorització de les víctimes per a explicar-los o comptabilitzar-los.

—Durant aquells anys d’espionatge, l’estat espanyol també censurava webs, com ara les del referèndum, del Tsunami… És gaire normal, això, a l’Europa occidental?
—No, és excepcional, sobretot el fet d’intentar de censurar eines de comunicació d’organització de protestes, de dissidents…

—En aquell context a Catalunya va esclatar l’ús de Telegram.
—Sí, entre l’1 d’octubre de 2017 i els fets de la tardor del 2019 Telegram va créixer molt. I recordo que el canal del Tsunami era dels que més havien crescut i dels que tenia més subscriptors del món.

—Vau treballar a Telegram durant uns quants anys. Us va sorprendre que un jutge espanyol volgués tancar-lo fa poc?
—Sí, tot i que ja havia passat en uns altres estats, on hi ha hagut un requeriment a Telegram que no té resposta, al final hi ha un jutge que decideix que com que no s’ha solucionat el problema cal activar alguna mesura perquè hi hagi resposta. I aquesta mesura sol ser tallar el servei.

—En quins països havia passat?
—Al Brasil, a Rússia, a Indonèsia, i en més països on no s’ha arribat a tancar, però que hi ha hagut alguna mena d’amenaça o de requeriment.

—El jutge recula perquè s’adona de la penetració social de Telegram. Què fa que hagi arribat a aquest nivell d’implantació?
—Per entendre-ho cal anar al 2013, quan va començar la companyia, i comparar-ho amb què feia WhatsApp aleshores. En aquell moment, WhatsApp encara no era xifratge de punt a punt, no xifraven les comunicacions, i recordo alguna reunió amb una operadora…

—Aleshores treballàveu a WhatsApp.
—Sí, al començament de WhatsApp. Recordo aquella reunió en què l’operadora em deia que ja veia que feia poc que havíem activat el xifratge perquè ja no podien veure els missatges a les seves xarxes. Doncs això era WhatsApp.

—Les operadores podien veure-ho tot?
—Els missatges anaven amb text pla, sense cap mena de xifratge, i les operadores podien analitzar tot el trànsit del text i veure les comunicacions.

—Després això va canviar.
—Sí, cap al 2013 o 2014. Però aleshores WhatsApp actualitzava l’aplicació un sol cop l’any. I aquelles actualitzacions no aportaven gairebé res de nou. I va sortir Telegram l’agost del 2013, i sistemàticament, i durant deu anys, han estat capaços d’actualitzar el producte un cop el mes, aportaven funcionalitats completament noves que canviaven o milloraven significativament. I amb un producte d’aquesta mena, amb tanta competència i on els efectes de la xarxa són tan importants, la diferència entre el producte i els de la competència va creixent significativament. Com a usuaris no canviem d’un producte a un altre quan és una mica millor, sinó quan és deu o cent vegades millor.

—I cada vegada que WhatsApp queia, nous usuaris cap a Telegram?
—Sí. A això que us deia cal afegir-hi els growing pains [dolors de creixement] que tenia WhatsApp, perquè tenia un creixement exponencial que feia que la seva infrastructura fallés, i en alguns moments hi havia aquests talls, durant els quals els usuaris cercaven alternatives. En aquells moments, quan hi havia aquests talls, nosaltres a Telegram teníem una escala de crescuda del producte en què hi havia moltíssims usuaris que descobrien per primer cop Telegram mentre buscaven una alternativa.

—Devíeu recollir molts usuaris nous.
—Hi havia uns pics de nous usuaris. N’hi havia un percentatge molt gran que tornava a WhatsApp un cop es restablia, però un percentatge significatiu es quedava i descobria Telegram. Al final, Telegram ha anat creixent i captant usuaris i aconseguint de retenir-los i convertir-se en una eina que es fa servir en l’àmbit personal, professional, educatiu, de comunicació…

—És cert que és més segur que no pas WhatsApp?
—És difícil de comparar ara mateix. Al principi Telegram va estrenar per primer cop, abans que no WhatsApp, les comunicacions xifrades de punt a punt. Però Telegram va prendre una decisió estratègica important: va implantar les comunicacions xifrades al núvol, a les quals pot accedir la companyia amb les claus de xifratge. Això facilitava que poguessis tenir Telegram multiplataforma, a l’ordinador, al mòbil… i que tot se sincronitzés d’una manera fluida i instantània; que poguessis tenir grups molt grans, i que poguessis tenir una còpia de seguretat de totes les teves comunicacions automàtiques al núvol sense haver de preocupar-te de si perdies les comunicacions quan canviaves de dispositius, o si passaves d’Android a iPhone o a l’inrevés. I si volies un nivell més de seguretat perquè et volies comunicar amb algú de manera més segura, o amb un nivell extra de protecció, van oferir la funcionalitat del xat secret: una implantació de xifratge de punt a punt en què les comunicacions no es poden interceptar des dels servidors o des del núvol de Telegram.

—WhatsApp també va millorar la privadesa de les comunicacions.
—Cap al 2015 va aplicar el protocol de Whisper Systems, que és el mateix que utilitza Signal, i va fer que tot WhatsApp fos xifratge de punt a punt. Sabem que és segur, perquè aquest protocol és de codi obert i es pot auditar, però, en canvi, l’aplicació, no; no sabem realment què hi passa a dins. I també sabem, pels canvis en les condicions de servei quan va passar a formar part de Facebook, que dónes el consentiment perquè Facebook pugui usar totes les teves metadades, és a dir, el dispositiu que utilitzes, des d’on et connectes, els grups de què formes part, des de quins números et comuniques… Amb l’objectiu de donar a Facebook la capacitat d’enriquir els teus perfils a les xarxes socials i poder servir-te un contingut més relacionat amb tu i anuncis més bons; per a captar més la teva atenció en altres productes. És difícil que uns tercers puguin intervenir d’una manera no autoritzada les teves comunicacions de WhatsApp, però sabem que Facebook arriba a acords amb governs i agències de seguretat per a facilitar l’accés a aquesta mena d’informació. I sabem que usa tot el que pot per captar la teva atenció, amb tots els efectes que ha tingut això al món quant a desinformació, a addicció, a pèrdua de capacitats de concentració, de creativitat…

—Però Telegram té el control de les nostres comunicacions al seu núvol.
—A Telegram hi ha tant el xifratge de punt a punt com el xifratge al núvol de la companyia, que té suposadament les claus d’accés per a poder desxifrar aquest contingut. D’alguna manera, com a usuaris, confiem en la companyia. La companyia sempre ha explicat que aquestes claus de xifratge estan repartides en diferents jurisdiccions, i que seria molt difícil que diversos governs es posessin d’acord per intentar de requerir-les i poder desxifrar-ne el contingut. I les aplicacions de Telegram són de codi obert, a diferència de WhatsApp.

—I s’hi pot confiar, en Telegram? Qui en són els responsables i quins interessos tenen?
—La història de Telegram comença quan els fundadors van crear la companyia VK, a Rússia, un equivalent de Facebook allà. Va créixer molt i el govern els requeria l’accés a dissidents i activistes tant de Rússia com d’Ucraïna. Ells no ho complien, i els entraven a les oficines i als domicilis personals, i van veure que no podien continuar treballant amb aquest producte a Rússia. I en van crear un altre per poder tenir comunicacions privades entre ells i els seus usuaris i els seus equips, i van decidir de sortir del país per desenvolupar-lo. Tenien inversors relacionats amb el govern, i els van forçar a vendre la seva participació, i amb aquests diners van finançar Telegram. Originalment, era una companyia nova que voltava per diferents parts del món desenvolupant el producte. Actualment, per finançar-se, Telegram ha aixecat diferents rondes de deute, fins que pugui generar prou ingressos perquè la companyia sigui rendible