Estas son unas reflexiones escritas en la tarde del 27 de Abril, bajo la presión de la preocupación mía, de mi familia y de los amigos. El silencio del Gobierno de España y en el fondo la solidaridad con él, explica esta decisión. Pido disculpas por todas las faltas de estilo que puedan existir, aunque las ideas aquí expresadas sean de mi exclusiva responsabilidad.

La crisis que está viviendo el Estado español en estos momentos se basa en un informe  titulado: CatalanGate Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru (que se traduce con facilidad, aunque su primera palabra haya tenido éxito en los medios de información españoles) fechado el pasado 18 de Julio y firmado por personal de plantilla o becario de Citizen Lab. Un primer análisis de su contenido puede encontrase en Levante- EMV.

               Desde el punto de vista de las TIC se impone dar argumentos para confirmar o rechazar la responsabilidad del Estado español. Estos son los puntos:

1) Distinguir entre los dos programas de espionaje citados en el título: Pegasus de NSO y Candiru de SOURGUM cuyo único punto común, además de las finalidades de espionaje a través de telefónos móviles para las que fueron creadas, se reducen a ser propiedad de sendas compañías israelitas. Ello supone tener que hacer aproximaciones distintas para cada uno.

2) Al tratarse de espionajes hechos sobre teléfonos inteligentes, hay que separar entre aquellos Apple con el sistema operativo iOS (en sus distintas y sucesivas versiones) y el resto de móviles equipados con Android (propiedad del antiguo Google) y los únicos que soportan Whatsapp propiedad del antiguo Facebook, que es el principal punto de entrada. El hecho de que exista una aplicación Windows (Microsoft) para manejar Whatsapp desde un PC hace que la infección suela hacerse a través de esta conexión ordenador-teléfono. Ambos sistemas operativos tienen una larga lista de parches y versiones para poder corregir los fallos de seguridad que se han ido detectando. A pesar de la importancia de esta distinción, el informe no es capaz de especificar la procedencia ni el número, versión y año de fabricación de cada uno de los móviles presuntamente analizados.

3) La llamada Ingeniería de Análisis Forense es una rama de las TIC que describe un proceso detallado de detección, investigación, documentación del motivo e intento de identificar el origen y consecuencias de los incidentes de seguridad. Ellos supone a) Contar con políticas y procedimientos para un análisis forense; b) Evaluar las posibles pruebas para detectar el ciberdelito; c) Obtención de las pruebas, con información registrada y preservada; d) Examen de las pruebas que supone contar con procedimientos fiables de recuperación, copia y almacenamiento de las misma; e) Documentación y elaboración de informes con la metodología y resultados demostrados.

4) Distinguir entre la calidad técnica del informe que nos ocupa y la posibilidad de contrastar los resultados expuestos. Desgraciadamente este último punto es imposible de ser resuelto, ya que conocemos la lista de presuntos teléfonos catalanes espiados, pero desconocemos totalmente la relación de aquellos que con orden judicial hayan podido ser vigilados por el CNI o cualquier otro organismo de la administración.

Resumamos nuestro análisis.

Respecto a 1. La literatura referente a Pegasus es más amplia que la de Candiru. Respecto al valor de lo investigado y que se presenta en el informe de Citizen, lo más llamativo es la adjudicación que aquella hace a Microsoft, citando la opinión de la multinacional de que este programa espía haya podido ejecutarse en nuestro país, sin prueba adicional alguna como no sea su testimonio. Recogemos la textualidad del documento citado: "Aproximadamente la mitad de las víctimas fueron encontradas en la Autoridad Palestina, con la mayoría de las víctimas restantes ubicadas en Israel, Irán, Líbano, Yemen, España (Cataluña), Reino Unido, Turquía, Armenia y Singapur. Para ser claros, la identificación de las víctimas del malware en un país no significa necesariamente que una agencia en ese país sea cliente de SOURGUM (supuesto nombre de la compañía) ya que la orientación internacional es común". Es por tanto Microsoft la compañía a la cual hay que empezar a pedir explicaciones sobre este juicio hecho en blog de la compañía y que sirve de palanca al informe de Citizen.

               Sobre Pegasus, recordar que ha sido vendido a otros clientes no autoridades nacionales y que la empresa se niega a facilitárselo a Ucraina como tal empresa israelí. No se sabe que la Administracion española haya adquirido ninguna licencia de Candiru.

Respecto a 2. Apple no ha reconocido los agujeros por los que Pegasus ha penetrado en sus móviles. Android en la época parece más sólido que Apple, aunque todo parece indicar que el agujero ha podido estar en la relación Windows- Whatsapp- Android- Usuario.

Respecto a 3. Como ya indiqué la calidad de la metodología y de la forma de trabajar expuesta en la presentación científico-técnica es deplorable, incluidas las conclusiones que no pasan de inferencias que no serían aceptadas en un ámbito académico y desde luego mucho menos en un ámbito judicial, por lo que se hace muy difícil compartir la decisión tomada por el Parlament. Por mucho que se insista estamos en un tema de ingeniería por mucho que se quiera llenar de política.

Respecto a 4. Dejando para otros las largas conclusiones del informe, nos vamos a restringir a la corta parte relacionada con las TIC: “Este informe detalla la extensa vigilancia dirigida contra la sociedad civil catalana y el gobierno utilizando un software espía mercenario. Según NSO Group, Pegasus se vende exclusivamente a gobiernos, y encontrar una operación de este tipo implica inevitablemente a un gobierno. Aunque actualmente no atribuimos esta operación a entidades gubernamentales específicas, las pruebas circunstanciales sugieren un fuerte nexo con el gobierno de España, incluyendo la naturaleza de las víctimas y los objetivos, el momento y el hecho de que se informa que España es un cliente gubernamental de NSO Group”. Nos remitimos al escrito anterior. Ninguna de las afirmaciones tiene el rigor correspondiente a la toma de decisiones parlamentarias en un país como España. No hay demostración alguna, solo las citadas inferencias, desafortunadamente nada científicas.

               A modo de resumen e insistiendo en lo ya publicado, términos propios de la argumentación técnica, no se puede achacar al gobierno español un espionaje masivo basado en la supuesta solidez técnica del informe sobre el que algunos políticos y medios de comunicación basan esta acusación concreta de espionaje. Otra cosa distinta es defender otras decisiones políticas y la confianza dada a determinados grupos, pero esto no esta en el ámbito de informática.