Antes que este país, con tantos problemas a sus espaldas, inicie la liturgia parlamentaria que el domingo 24, programaron el gobierno del Estado y la Generalitat Catalana, es conveniente que los ciudadanos tengan visión de alguien proveniente del campo de las Tecnologías de la Información y la Comunicaciones (TIC) asumiendo el riesgo de que pueda estar equivocado. Ignoro la cabalística que nuestros políticos y algunos medios de comunicación se llevan entre manos, pero con lo que actualmente sabemos, se puede afirmar que con lo que sabemos (otra cosa es que algún privilegiado tenga una información de la que carecemos el común de los españoles) no hay evidencias sobre espionaje alguno, por mucho morbo digital que rebosen las páginas de los periódicos y de los responsables políticos.

Los actores principales son tres: el programa Pegassus y la empresa israelí NSO, su propietaria, con un historial tan largo y dudoso que supera estas líneas; Citizen lab, un think tank canadiense nada conocido en el campo académico de la seguridad informática como no sea para acompañar las noticias relacionadas con su autoimpuesta misión de denunciar a Pegassus; y el tercero el largo recorrido del «process» acompañado de la sensibilidad paleta acerca dar por cierto lo que se diga desde determinados ámbitos extranjeros.

Para empezar, traducir lo escrito en el seminario The New Yorker en su tercer número de Abril: « Una tarde del mes pasado, Jordi Solé, diputado independentista en el Parlamento Europeo, se reunió con un investigador de seguridad digital, Elies Campo, en una de las ornamentadas cámaras del Parlamento catalán. Solé, de cuarenta y cinco años y con un traje holgado, le entregó su teléfono móvil, un iPhone 8 Plus plateado. Había recibido mensajes sospechosos y quería que se analizara el dispositivo. Campo, un hombre de treinta y ocho años de voz suave y pelo oscuro despeinado, nació y creció en Cataluña y es partidario de la independencia. Pasó años trabajando para WhatsApp y Telegram en San Francisco, pero recientemente se mudó a su país. «Siento que en cierto modo es una especie de deber», me dijo Campo. Ahora trabaja como becario en el Citizen Lab» en la Universidad de Toronto. Campo recopiló registros de la actividad del teléfono de Solé, incluidas las caídas que había sufrido, y luego ejecutó un software especializado para buscar programas espía diseñados para operar de forma invisible. Mientras esperaban, Campo buscó en el teléfono pruebas de ataques que adoptan formas variadas: algunos llegan a través de WhatsApp o como mensajes S.M.S. que parecen proceder de contactos conocidos; otros requieren un clic en un enlace y otros funcionan sin que el usuario realice ninguna acción. Campo identificó una aparente notificación de la agencia de seguridad social del Gobierno español que utilizaba el mismo formato que los enlaces a malware que el Citizen Lab había encontrado en otros teléfonos. «Con este mensaje, tenemos la prueba de que en algún momento fuiste atacado», explicó Campo. Enseguida, el teléfono de Solé vibró. «Este teléfono ha dado positivo», decía la pantalla. Campo le dijo a Solé: «Hay dos infecciones confirmadas», de junio de 2020. «En esos días, tu dispositivo estaba infectado: tomaron el control y estuvieron en él probablemente algunas horas. Descargando, escuchando, grabando».

Fin de la cita. Un relato propio de una novela, pero no del rigor cuya carencia no se justifica ni por presentarse como becario el protagonista (la mayoría silenciosa de ellos sostiene la producción científica) ni por el hecho que firmara el artículo Ronald Farrow, hijo de Mia Farrow y Woddy Allen, con gran gancho mediático por el caso de Harvey Weinstein.

Es sorprendente la enorme credibilidad que medios y políticos españoles han dado a un informe que no reúne las menores condiciones de rigor

La sospecha engendrada en la tal conversación sirvió para que el día 18, el think tank canadiense publicara un informe, cuyo contenido y objetividad científica no admite dudas a partir de su título: «CatalanGate: Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru». Su primer firmante es John Scott Railton, que se reunió en Bruselas con Junqueras y Puigdemont, todavía con un doctorado en UCLA por completar, aunque se adjudica la fundación de una empresa que dice evitó los apagones de Internet en Libia y Egipto y que su trabajo ha sido cubierto por Time, BBC, CNN, Washington Post y New York Time, medios muy importantes y respetables pero sin ninguna garantía a la hora de adjudicar algún tipo de solvencia técnica; el segundo firmante es el citado becario. El contenido del artículo dedica el 75% de sus páginas a relatar la historia de Cataluña y sus aspiraciones de independencia, aunque muy pocas a describir la metodología para detectar ataques y fechas en el entorno del sistema operativo iOS de Apple, como para Android. Lo que allí se describe es poco menos que banal y nada que sirva para demostrar que ha habido ataque a los teléfonos de los independentistas. No hablo de pruebas judiciales o algo por el estilo sino de simple valoración técnica, aunque muchos medios lo hayan comprado. Ni Apple, ni Google por Android o Facebook por Whatsapp como posible agujero de entrada nada han dicho ante la futilidad del argumento canadiense. 

Incluso suponiendo que Citizen fuera capaz de confirmar los ataques, y sus fechas de hace años, lo que resulta de más difícil defensa es adjudicar estas supuestas violaciones a alguien en concreto, en este caso a organismos de la Administración española. Si son especialistas en Pegassus, ellos deben ser los primeros en saber que la afirmación de buenismo de NSO proclamando que el programa solo se vende a estados para luchar contra el terrorismo es incierta, ya que NSO ha creado empresas en EEUU para vender su aplicación a policías locales (la administración Biden la acaba de calificar de indeseable, aunque es posible que la administración federal siga usando Pegassus) ello sin entrar en que el virus puede estar disponible en compañías privadas creadas por antiguos empleados de NSO. Además aquellas empresas cuyas aplicaciones son atacadas (pensemos en Whatsapp) tienen mecanismos llamados de retrocesión, una especie de anzuelos que se pueden tender a quienes utilizan el virus, y que son capaces de entrar, a su vez, en el campo del atacante. Es por ello que el virus puede aparecer en escaramuzas comerciales.

A efectos de nuestra reflexión: existen varias formas de entrar en un teléfono y dejar una supuesta marca en el mismo, con lo cual no es complicado que un determinado grupo de personas puedan proclamarse como pretendidamente atacadas. Es políticamente muy incorrecto, dudar de organizaciones tan mediaticas como Citizen Lab. A ello añadir un comentario de Gumersindo Ruiz, un ingeniero senior de Amper: «no creo que hace dos años (fecha de los ‘ataques’ más recientes) hiciera falta recurrir a tecnología extranjera para entrar en un móvil aunque no se sabe muy bien para qué».

Existen varias formas de entrar en un teléfono y dejar una supuesta marca en el mismo, con lo cual no es complicado que un determinado grupo de personas puedan proclamarse como pretendidamente atacadas.

Es sorprendente la enorme credibilidad que medios y políticos españoles han dado a un informe que no reúne las menores condiciones de rigor (al menos informático, lo histórico es de otros profesionales) a la hora de hacer acusaciones extraordinariamente graves contra nuestro actual régimen democrático, simplemente porque una revista americana se hace eco de un informe dudoso. Aquí nadie se ha preguntado por la solvencia técnica, no mediática, del mismo y de sus autores.

Los hermanos Marx fueron genios de la inteligencia en forma de risa, pero Pedro Sánchez y Pere Aragonés tienen cuitas a resolver, muy importantes para los españoles, por lo que conviene que no interpreten escenas de amor/odio usando el trasero de los profesionales de las TIC, ya que usar argumentos que no dominan no ayudará a resolver las cuestiones verdaderamente importantes. Sugerencia: Pidan un informe a tecnólogos más actualizados que el abajo firmante y pongan punto final al episodio.