Tarjetas de embarque, tickets, mensajes de Hacienda: así eran los 'sofisticados' cebos para espiar al independentismo catalán

Tarjetas de embarque, tickets, notificaciones de Hacienda, la Seguridad Social, el registro mercantil, avisos de paquetería, enlaces de noticias… Todos estos mensajes eran falsos, cebos para que sus destinatarios abrieran un vínculo adjunto que instalaba un programa de espionaje en su ordenador o teléfono móvil.

Fueron enviados, y en más de una ocasión, a 65 líderes sociales y políticos del independentismo, a sus amigos, familiares y colaboradores cercanos, a periodistas y abogados, a expertos informáticos y a empresarios en lo que -según Citizen Lab- es la mayor operación de espionaje digital desvelada por este centro de investigación canadiense vinculado a la Universidad de Toronto.

La mayor parte de los ataques digitales revelados por esta organización tuvieron lugar dos y tres años después del momento álgido del procés, en octubre de 2017, ya con Pedro Sánchez en el Gobierno.

No descartan que hubiera muchos más y en otros momentos porque sus herramientas 'forenses' funcionan mejor con el sistema iOS de Apple que con el Android, predominante en Cataluña.

"Sospechamos que el número total de víctimas es mucho mayor", escriben. "Nuestra investigación es una ventana que se asoma hacia lo que probablemente es una operación mayor para tener bajo vigilancia durante varios años a una porción significativa de la sociedad civil catalana"

La operación fue tan vasta que los investigadores canadienses dudan de que contara con el control judicial que exige la ley española y sospechan, además, que se emplearon otras formas de espionaje, además de la infiltración digital en los equipos personales de los investigados.

Quien quiera que los enviara tenía un conocimiento tan preciso de sus objetivos que “indica el uso probable de otras formas de vigilancia”, según los investigadores. “La sofisticación y personalización de los mensajes [...] refleja un conocimiento detallado de los hábitos, intereses, actividades y preocupaciones del objetivo”, señalan.

Aunque Citizen Lab no llega a atribuir la operación al Estado español, cree que hay "toda una serie de evidencias circunstanciales que apuntan a un fuerte nexo con una o más entidades dependientes del Gobierno español". Entre otras razones porque las personas investigadas eran de "obvio interés" para el Ejecutivo español y porque usaron como cebo contenido que sugiere un acceso a la información personal de sus objetivos".

Jordi Baylina, desarrollador informático experto en blockchain y voto digital, fue víctima de 26 ataques de Pegasus. Al menos en ocho ocasiones, entre octubre de 2019 y julio de 2020, sus equipos fueron infectados por el software espía.

Baylina recibió un SMS con una falsa tarjeta de embarque de un vuelo de Swiss International Air Lines que había comprado. El mensaje muestra que el operador de Pegasus tenía acceso al registro de nombres de pasajeros de la línea aérea.

Los espías también recurrieron al envío de falsas notificaciones de la administración tributaria (AEAT) y de la seguridad social. En el caso de Baylina, los operadores de Pegasus se la envían con su NIF. A Jordi Sánchez le envían una notificación para acceder al sistema Cl@ve que permite operar telemáticamente con Hacienda.

David Bonvehí, exdiputado de CiU y Junts pel Si y actual presidente del PDeCat, recibió un aviso sobre el envío de un paquete con un vínculo al programa espía Pegasus.

Muchos de los mensajes que portaban el vínculo malicioso al software espía se enviaban como enlaces de noticias de interés para el objetivo, como estos seleccionados por Citizen Lab y dirigidos al abogado de Puigdemont, Gonzalo Boye; Josep Lluís Alay, colaborador Puigdemont; y Sergi Sabrià, exportavoz parlamentario de ERC

Además de Pegasus, el espionaje al independentismo catalán ha recurrido al envío de mensajes por correo electrónico utilizando el programa espía Candiru, también de origen israelí. A principios de febrero de 2020 Xavier Vives y Pau Escrich, expertos en votación digital, recibieron un falso correo encabezado por el logo del Ministerio de Sanidad con un vínculo adjunto sobre las recomendaciones de “actuación frente a casos de infección por el nuevo coronavirus”. Al pincharlo, se introducía el programa espía.

Pau Escrich también recibió un falso correo con ticktes para el Mobile World Congress (MWC), la gran feria mundial de móviles con sede en Barcelona. Si hubiera abierto el vínculo, su ordenador se habría infectado con el programa espía Candiru.

Elies Campo, ingeniero e inversor catalán afincado en California que ha trabajado para Whatsapp y Telegram, recibió un correo falso del Registro Mercantil de Barcelona. El mensaje estaba muy bien trabajado: le avisaban de que una compañía de Panamá tenía el mismo nombre de otra verdadera en la que él sí había figurado como administrador.

“Este tipo de mensaje indica un alto grado de conocimiento de las actividades de Campo y habría generado probablemente un click”, señala el informe de Citizen Lab, un centro con el que Campo, por cierto, dice colaborar, según su cuenta de Twitter.

El espionaje con Pegasus no se limitó a números de teléfono españoles. El móvil suizo de Marta Rovira, una de las caras más visibles del procés huida de la justicia española a Suiza, también recibió falsos mensajes de organizaciones del país alpino.

La amplia lista de espiados pone en cuestión, según Citizen Lab, que se hayan respetado "los principios de necesidad y proporcionalidad". Los investigadores canadienses también dudan de que una operación de espionaje de semejante calibre haya sido autorizada judicialmente, tal y como exige la legislación española: "Es difícil concebir cómo un mecanismo de supervisión que funcione bien permitiría un hackeo tan extenso y, en algunos casos, temerario de numerosos cargos oficiales en un momento tan delicado".