Grupo detecta uso de spyware contra separatistas catalanes
MADRID (AP) — Los teléfonos de docenas de simpatizantes de la independencia de Cataluña, entre ellos el del mandatario regional y otros funcionarios electos, fueron hackeados con un polémico spyware disponible sólo para gobiernos, indicó una organización sin fines de lucro sobre derechos de ciberseguridad el lunes.
Citizens Lab, un grupo de investigación afiliado a la Universidad de Toronto, informó que una pesquisa a gran escala que realizó en colaboración con grupos de la sociedad civil catalana encontró que al menos 65 personas fueron blanco de este plan o sus dispositivos resultaron infectados con lo que llamó “spyware mercenario” vendido por dos empresas israelíes, NSO Group y Candiru.
NSO aseveró que la acusación “no podía estar relacionada con los productos de NSO”. The Associated Press no pudo contactar a Candiru para solicitarle sus comentarios.
Casi todos los incidentes ocurrieron entre 2017 y 2020, cuando los intentos por crear un Estado independiente en el noreste de España llevaron a la crisis política más profunda del país en décadas. El ex gabinete catalán que impulsó un referendo ilegal sobre la independencia fue destituido. La mayoría de sus integrantes fueron encarcelados o huyeron del país, incluido el expresidente regional Carles Puigdemont.
El spyware Pegasus de NSO ha sido utilizado en todo el mundo para acceder a teléfonos y computadoras de activistas de derechos humanos, periodistas e incluso clérigos católicos. La compañía ha estado sujeta a límites de exportaciones por parte del gobierno de Estados Unidos, que ha acusado a NSO de realizar “represión transnacional”. NSO también ha sido llevado ante los tribunales por importantes empresas tecnológicas incluyendo Apple y Meta, la propietaria de WhatsApp.
Citizens Lab señaló que sus investigaciones sobre el uso en España de Pegasus y spyware desarrollado por Candiru —otra firma israelí fundada por exempleados de NSO— comenzaron a finales de 2019 después de que salieran a la luz un puñado de casos cuyo blanco eran independentistas catalanes de alto perfil. Amnistía Internacional dijo que expertos técnicos de su Laboratorio sobre Seguridad habían verificado las pruebas de los ataques de manera independiente.
El grupo sin fines de lucro con sede en Toronto aseveró que no pudo hallar evidencia concluyente para atribuir el hackeo de teléfonos catalanes a una entidad específica.
“Sin embargo, una variedad de evidencia circunstancial apunta a un fuerte nexo con una o más entidades dentro del gobierno español”, señaló Citizen Lab.
El Ministerio del Interior de España subrayó que "ni el Ministerio, ni la Policía Nacional, ni la Guardia Civil han tenido nunca relación alguna con la empresa NSO y, por tanto, nunca han contratado ninguno de sus servicios. Todas las intervenciones de comunicaciones se hacen bajo orden judicial y pleno respeto a la legalidad”.
La oficina del presidente de gobierno Pedro Sánchez no respondió de momento a las preguntas de la AP. Una vocera del Ministerio de Defensa, que supervisa las fuerzas armadas y los servicios de inteligencia de España, se negó a aclarar si había contratado el software NSO o Candiru.
“Con total contundencia puedo decir que el gobierno de España siempre actúa con arreglo a derecho y en estricto cumplimiento de la legalidad”, dijo la portavoz, que no tenía autorización para ser identificada por los medios.
Pegasus se infiltra en los teléfonos para extraer datos personales y de ubicación, y también controla subrepticiamente los micrófonos y las cámaras de los celulares, convirtiéndolos en dispositivos de espionaje en tiempo real. Los investigadores han encontrado varios ejemplos de herramientas sumamente furtivas de NSO Group que aprovechan las llamadas vulnerabilidades de seguridad “clic cero” e infectan teléfonos móviles específicos sin que el usuario realice interacción alguna.
NSO Group alegó que está siendo atacado por Citizen Lab y Amnistía Internacional con “informes inexactos y sin fundamento” y acusaciones “falsas” que “no podrían estar relacionadas con los productos de NSO por razones tecnológicas y contractuales”.
“Hemos cooperado repetidamente con las investigaciones gubernamentales, donde las acusaciones creíbles lo merecen”, dijo un portavoz de NSO en un comunicado.
Citizens Lab indicó que se encontraron señales de una infiltración de tipo “clic cero” no identificada previamente en dispositivos infectados de catalanes a fines de 2019 y al comenzar 2020, antes de que Apple actualizara su sistema operativo de dispositivos móviles para corregir vulnerabilidades.
Entre los individuos afectados estaban al menos tres legisladores europeos que representaban a los partidos separatistas catalanes, integrantes de dos destacados grupos independentistas de la sociedad civil, sus abogados y varios funcionarios electos.
Las revelaciones se dan un día antes de que los legisladores de la Unión Europea sostengan la primera reunión de un comité que investiga infracciones a la ley de la UE vinculadas con el uso de software espía de hackers a sueldo.
Cuatro expresidentes regionales catalanes, incluidos Puigdemont y su sucesor Quim Torra mientras él ocupaba el cargo, también fueron objeto de espionaje directo o indirecto, dijeron los investigadores.
El actual presidente catalán Pere Aragonès, cuyo teléfono fue infectado, según Citizen Lab, mientras era el vicepresidente durante la presidencia de Torra de 2018 a 2020, dijo que “la operación de espionaje masivo contra el movimiento de independencia catalán es una vergüenza injustificable. Un ataque contra los derechos fundamentales y la democracia”.
Dado que el software sólo puede ser adquirido por entidades estatales, el gobierno español debe ofrecer una explicación, dijo Aragonès en una serie de tuits.
“Ninguna excusa es válida”, escribió. “Espiar a los representantes de la ciudadanía, abogados o activistas de derechos civiles es inaceptable”.
En respuesta a la solicitud formal de Amnistía Internacional en 2020 para la divulgación total de los contratos con empresas privadas de vigilancia digital, el Ministerio de Defensa de España indicó que esa información es secreta, señaló el grupo defensor de los derechos humanos el lunes.
“El gobierno español debe decir claramente si es o no cliente de NSO Group", manifestó Likhita Banerji, investigadora de Amnistía Internacional sobre Tecnología y Derechos Humanos. "Además, debe llevar a cabo una indagación exhaustiva e independiente sobre el uso del software espía Pegasus contra las figuras catalanas identificadas en esta investigación”.
En un informe separado también publicado el lunes, Citizen Lab señaló que también halló evidencia en 2020 y 2021 de que la oficina del primer ministro británico fue infectada con el software espía Pegasus vinculado a los Emiratos Árabes Unidos. Dijo que encontró infecciones sospechosas en el Ministerio de Relaciones Exteriores de Gran Bretaña vinculadas a los Emiratos, India, Chipre y Jordania.
El grupo añadió que había informado al gobierno británico sobre los hallazgos.
Otros países donde Citizen Lab y otros investigadores de interés público han confirmado infecciones de Pegasus a disidentes políticos y periodistas detractores de los gobiernos incluyen Polonia, México, El Salvador y Hungría.
NSO Group afirma que sólo vende Pegasus a agencias gubernamentales para atacar a delincuentes y terroristas, pero se han documentado cientos de casos de su uso contra activistas de derechos humanos y otros, abogados, periodistas y sus familiares.
__
Frank Bajak en Boston y Jill Lawless en Londres contribuyeron a este despacho.