La fosca història de Pegasus, l’eina amb què han espiat l’independentisme català

L’espionatge a gran escala contra l’independentisme català és un dels més grans que hi ha hagut al món. Se n’acaben de saber les desenes de víctimes, que han estat objectiu d’un sistema d’intromissió, Pegasus, que es basa en un programari maligne que fa una dècada que es va posar en funcionament. Així funciona, i aquesta és la història obscura que té.

Feia cinc anys que funcionava en secret i d’una manera extraordinàriament silenciosa, fins que l’agost del 2016 fou descobert per primera vegada. Uns investigadors d’una empresa de Califòrnia, Lookout, i un laboratori tecnològic de Toronto, Citizen Lab, van descobrir aleshores que un programari maliciós havia aprofitat escletxes en el sistema de protecció del programari d’Apple, iOS, per a espiar el telèfon mòbil de l’activista pro-drets humans dels Emirats Àrabs Units Ahmed Mansoor. Es tractava de Pegasus, l’eina d’intrusió en dispositius electrònics de la companyia israeliana NSO. Aquell cas va causar un gran impacte, perquè per primera vegada es va constatar la capacitat d’un programari espia d’introduir-se en un smartphone, de fer-ho sigilosament i d’accedir de manera il·limitada a tot el contingut del dispositiu. 

Perquè efectivament aquesta és la manera de funcionar de Pegasus, un programari que només poden comprar els governs dels estats o forces de seguretat. Aprofitant vulnerabilitats en els sistemes de seguretat del telèfon, s’hi introdueix per espiar-ne tot el contingut. Ho pot fer gràcies a una trucada que ni tan sols ha de ser resposta –de vegades ni s’arriba a rebre–, amb un enllaç enviat per SMS, amb un correu electrònic o amb mecanismes similars. El més habitual és enviar a l’objectiu un missatge emmascarat per a persuadir-lo de confiar-hi i que cliqui a l’enllaç que li han enviat.

Una volta dins del dispositiu, Pegasus té capacitat no únicament d’accedir a l’aplicació mitjançant la qual s’activa, sinó també d’activar secretament el micròfon i la càmera del dispositiu, o d’accedir als arxius i a més aplicacions i xarxes socials, i de rastrejar amb geolocalització el lloc on es troba la víctima de l’espionatge en tot moment. I encara hi ha l’opció d’entrar al telèfon mòbil de persones de l’entorn de l’objectiu, de manera que se’n pugui aconseguir informació a través dels contactes, ja sigui per l’intercanvi de missatges i de trucades, o bé escoltant què es diuen entre ells quan conversen, aprofitant la funcionalitat d’activació del micròfon del telèfon en què s’ha instal·lat mentre el dispositiu és en repòs, i enregistrar-ho tot mitjançant el control remot que en fa el client, és a dir, el govern de l’estat que l’utilitza. A més, Pegasus funciona explotant la funcionalitat del dia zero, és a dir, que un cop s’ha fet servir dins del dispositiu no deixa cap rastre. 

L’assassinat de Khaixoggi i els 50.000 números

Formalment, NSO ofereix Pegasus només a governs estatals per ajudar-los a combatre el crim organitzat i el terrorisme. Però a la pràctica, desenes d’estats de tot el món l’han utilitzat amb propòsits polítics, per espiar opositors, activistes, periodistes, advocats, empresaris, violant drets fonamentals amb la intromissió il·legítima i il·legal en les seves comunicacions privades. Un dels casos més escandalosos fou el del periodista de The Washington Post Jamal Khaixoggi, assassinat a l’interior del consolat saudita a Istambul l’octubre del 2018 per un comando que havia viatjat expressament des de l’Aràbia Saudita, suposadament amb la intenció de convèncer-lo de tornar al país, perquè vivia exiliat als Estats Units.

Les anàlisis fetes per Amnistia Internacional van trobar proves que l’Aràbia Saudita va utilitzar Pegasus per espiar Khaixoggi, i que ho van fer amb la instal·lació del programari en els mòbils de la seva muller i de més gent del seu entorn. De fet, el govern saudita és el principal sospitós d’haver utilitzat Pegasus per espiar el propietari d’Amazon (i també del Washington Post), Jeff Bezos, amb qui el príncep hereu saudita, Mohammed bin Salman, havia intercanviat missatges de WhatsApp. 

Perquè WhatsApp ha estat una de les vies d’accés del programari espia als mòbils de les víctimes. Una investigació de Citizen Lab va descobrir que un error de seguretat de WhatsApp havia permès d’infectar els telèfons de 1.400 usuaris d’arreu del món entre l’abril i el maig del 2019. Entre aquests telèfons hi havia els del president del parlament Roger Torrent, el dirigent d’ERC a Barcelona Ernest Maragall, l’ex-diputada de la CUP Anna Gabriel, l’activista de l’ANC Jordi Domingo i el director tècnic del Consell per la República, Sergi Miquel. Fou el primer cop que es va descobrir que entre els objectius d’aquest programari hi havia hagut polítics i activistes independentistes catalans i que, per tant, l’estat espanyol era un altre dels sospitosos d’haver fet un ús fraudulent de programari maliciós. 

D’aleshores ençà s’han anat destapant casos d’espionatge arreu del món, sobretot l’estiu de l’any passat, quan es van filtrar 50.000 números de telèfon que havien estat seleccionats pels clients (principalment estats) de l’empresa NSO. Un consorci de setze mitjans de comunicació de tot el món anomenat The Forbidden Stories va tenir accés a aquesta filtració. En la llista de números afectats hi havia, pel cap baix, cent vuitanta periodistes, i un gran nombre d’activistes i de polítics. Hi ha constància de l’ús de Pegasus per part d’estats com l’Índia, Mèxic, Hongria, el Marroc, Qatar, els Emirats Àrabs, Bahrein, el Iemen, Jordània, el Kazakhstan, Panamà, Ruanda, l’Aràbia Saudita, Togo, Uganda…

Mèxic, client principal

Segurament un dels estats que ha fet un ús més extensiu de Pegasus és Mèxic, que va adquirir Pegasus el 2012 i que li va permetre de fer una de les detencions més sonades dels darrers anys, la del cèlebre narcotraficant Joaquín El Chapo Guzmán, el 2016. Però a Mèxic tant els governs de Felipe Calderón com el d’Enrique Peña Nieto han emprat aquesta eina amb propòsits molt diferents, amb molts periodistes, polítics i activistes com a víctimes. Un dels casos més escandalosos és el que va denunciar el 2017 l’equip d’investigadors que es va desplaçar a Mèxic per investigar la desaparició el 2014 de quaranta-tres estudiants després de l’atac que van patir per part de la policia i de l’exèrcit a la ciutat d’Iguala, al nord del país. Els investigadors van ser objecte d’espionatge, i això va entrebancar la seva recerca i va complicar que es poguessin aclarir les circumstàncies tant de la desaparició com de la mort d’uns altres estudiants en els mateixos incidents. 

Cecilio Pineda Birto, un periodista mexicà de 38 anys, havia denunciat els lligams entre organitzacions criminals i les autoritats locals, i poc després era assassinat. Era el 2017. Quatre anys després, el seu número de telèfon era un dels 50.000 de la llista filtrada de números de telèfon intervinguts amb Pegasus. A Mèxic, aquest programari ha acabat fins i tot en mans dels cartels de la droga, que l’utilitzen per a amenaçar i atacar periodistes. 

D’Europa als EUA passant pel Marroc

Però també ha estat utilitzat en diversos estats europeus, tal com han anat constatant unes quantes informacions periodístiques. L’estat espanyol fou probablement el primer estat europeu en què hi va haver indicis clars que s’havia utilitzat contra adversaris polítics, quan The Guardian i El País van fer públic l’espionatge contra el president Roger Torrent. Però n’hi ha més: la policia federal criminal alemanya (BKA) va reconèixer que havia comprat en secret i malgrat els advertiments dels seus serveis jurídics aquest programari, amb el propòsit, van dir, de perseguir casos excepcionals de crim organitzat i de terrorisme. Entre els milers de números apareguts en la filtració de l’estiu passat hi havia el del president francès, Emmanuel Macron, que podria haver estat seleccionat com un objectiu d’interès a espiar per part del Marroc el 2019, de la mateixa manera que el president del Consell Europeu, Charles Michel, tot i que les autoritats de Rabat han negat insistentment aquesta possibilitat. Però és que el rei Mohamed VI mateix fou un dels objectius de Pegasus, segons sembla per ordre de la cúpula policíaca marroquina. I hi ha el cas de Finlàndia, que va informar que diversos diplomàtics del seu país havien estat també espiats. 

A Hongria, el govern de Viktor Orban va fer servir Pegasus per a apuntar com a objectius advocats, opositors polítics i periodistes, com el de Szabolcs Panyi, un dels periodistes que precisament va publicar la filtració sobre els milers de números espiats per aquest programari. A Polònia, nombrosos membres dels partits de l’oposició, advocats i periodistes van ser espiats amb Pegasus. Aquests casos van desfermar les crítiques de la presidenta de la Comissió Europea, Ursula Von der Leyen. 

I hi ha, és clar, l’estat d’Israel. Una investigació del New York Times  va revelar a començament d’any que l’estat d’Israel havia tret profit polític de Pegasus. Perquè aquest programari va tenir un paper determinant a l’hora d’aconseguir els suport dels països àrabs en la campanya d’Israel contra l’Iran i per a negociar els Acords d’Abraham, que l’any 2020 van normalitzar les relacions entre Israel i alguns dels seus antics enemics en el món àrab. La mateixa investigació va destapar que l’FBI va adquirir Pegasus el 2019, durant l’administració Trump, malgrat el fet que en aquell moment ja hi havia nombroses investigacions que palesaven l’ús del programari com una eina per a atemptar contra els drets d’activistes i de dissidents polítics.  

Els problemes de NSO

Els EUA, ja amb Joe Biden com a president, han acabat situant NSO en la llista negra del Departament de Comerç, amb totes les limitacions que això implica per a la companyia israeliana per a poder adquirir i utilitzar tecnologia nord-americana que necessita per al funcionament dels seus servidors i per a desenvolupar el seu programari. La decisió de l’administració dels EUA es va veure motivada sobretot arran de l’espionatge amb Pegasus d’una desena de diplomàtics nord-americans a Uganda. NSO havia traspassat una de les línies vermelles que s’havia imposat sempre, la de no interferir en dispositius de ciutadans nord-americans. A aquesta dificultat se li afegeixen les demandes en tribunals dels EUA que han presentat Facebook (com a propietari de WhatsApp) i Apple contra la companyia israeliana. 

En el cas de WhatsApp, hi ha obert un procediment en un jutjat de Califòrnia presentat per Facebook (ara Meta), perquè Pegasus va aprofitar una vulnerabilitat de l’aplicació de missatgeria durant dos mesos per a espiar 1.400 usuaris, entre els quals el president Torrent. I més recentment Apple ha presentat una demanda similar, per l’exposició de nombrosos usuaris dels seus sistemes operatius. Entre aquests hi ha fins i tot el comissari europeu de Justícia, Didier Reynders, i el seu equip.

Tant desprestigi a nivell global pels nombrosos escàndols d’espionatge i, sobretot, el fet que la seva tecnologia ha quedat més al descobert que mai, han condemnat NSO, que fa ben poc ha declarat que s’ha quedat sense valor. Així ho han declarat els advocats de la companyia, segons que ha informat recentment el Financial Times, van dir que els mil milions de dòlars amb què el fons de capital risc havia comprat NSO el 2019 s’havien perdut pràcticament tots.