¿Qué sabemos y qué no sabemos del espionaje a Roger Torrent?

Varios políticos catalanes han estado bajo vigilancia. Al menos entre abril y mayo del 2019, el presidente del Parlament, Roger Torrent; el 'conseller' de Polítiques Digitals, Jordi Puigneró; el líder de ERC en el Ayuntamiento de Barcelona, Ernest Maragall y la exdiputada de la CUP Anna Gabriel fueron víctimas de una trama de espionaje mediante el programa Pegasus, una tecnología israelí que solo utilizan gobiernos y fuerzas y cuerpos de seguridad.

Así lo confirma una investigación de los diarios 'El País' y 'The Guardian’ en base a datos de Citizen Lab, un grupo de ciberseguridad de la Universidad de Toronto. Lejos de aclararse, el escándalo aún deja muchas incógnitas por resolver.

¿Cómo fueron atacados?

Pegasus, propiedad de la compañía israelí NSO Group, aprovechó una brecha de seguridad de Whatsapp para colarse en los dispositivos de sus víctimas. A través de mensajes de texto o llamadas perdidas, los estados que utilizan esta herramienta pudieron instalar un 'malware', un virus malicioso, que les permitía tener acceso a todos los documentos del móvil, así como activar el micrófono interno y la cámara para convertirlo en un dispositivo de espionaje.

¿Quién está detrás del ataque?

Es la mayor incógnita del caso. Torrent y Maragall han señalado como mano negra al Estado y han anunciado su intención de querellarse contra el exdirector del Centro Nacional de Inteligencia (CNI), Félix Sanz Roldán, por un presunto caso de espionaje político. "Tenemos indicios que nos hacen pensar que es su responsabilidad", explicó el presidente del Parlament.

NSO Group ha reiterado que solo vende esta herramienta de ciberespionaje a gobiernos y fuerzas de seguridad, como ejércitos y cuerpos de policía, hecho que requiere la aprobación del Gobierno israelí. "Debido a las limitaciones de confidencialidad, no podemos confirmar ni negar que dichas autoridades utilizan nuestra tecnología", explica su portavoz.

La investigación de Citizen Lab reveló que el CNI había utilizado una herramienta similar de la compañía italiana Hacking Team hasta el 2015. Sin embargo, varias fuentes citadas por 'El País' sostienen que la inteligencia española es cliente de NSO desde entonces, algo que el Ministerio del lnterior niega.

Aun así, es muy difícil conocer la identidad de quién decidió colarse en los móviles de los políticos catalanes afectados. "La ingeniería inversa de Citizen Lab apunta a que se utilizaron infecciones con este 'malware' en España, pero no se sabe quién lo hizo ni qué motivaciones había detrás", explica Enric Luján, politólogo de la UB y experto en ciberseguridad. "Hay correlación, pero no causalidad", añade.

¿Qué responsabilidad tiene NSO?

La compañía israelí no ha dudado en contradecir públicamente sus versiones. Mientras que sus portavoces han reiterado que desconocen y se desentienden del uso que sus clientes hacen de Pegasus, su director ejecutivo, Shalev Hulio, también ha dicho que documentan y almacenan en sus servidores el uso de esas herramientas de espionaje. ¿Sabían, pues, que se espió a los políticos catalanes? ¿O que Arabia Saudí 'hackeó' el móvil de Jeff Bezos para silenciar el asesinato del periodista disidente Jamal Khashoggi?

¿Es legal espiar a rivales políticos en España?

En el 2015, el Gobierno del PP impulsó una reforma de la ley de enjuiciamiento criminal en la que se introdujo la legalidad de espiar a alguien siempre que se cuente con autorización y supervisión judicial. "Tiene que haber una sospecha fundada sobre la persona, si no se trataría de una caza de brujas", señala David Maetzu, abogado socio de 451.legal.

De contar con una autorización legal, el Estado podría recurrir legalmente a herramientas como Pegasus para investigar casos como la sedición, uno de los más graves del Código Penal.

¿Qué dice la legislación europea?

La jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) establece que el 'hackeo' de teléfonos móviles solo puede justificarse en casos especialmente graves, como el terrorismo. Sin embargo, Maetzu asegura que la legislación española no aplica los mismos principios y tiene otros criterios más laxos. "El margen se ha ampliado a procedimientos civiles. España va un poco a su aire, se admiten cosas que a nivel europeo no se aceptarían. Por eso después hay tantas sentencias críticas desde Bruselas señalando esos abusos", afirma.

¿Puede el caso abrir un conflicto diplomático en la UE?

Las investigaciones apuntan a que el director técnico del Consell per la República, Sergi Miquel, fue espiado estando en Bélgica, algo que abre nuevos interrogantes. De haberse utilizado con una autorización judicial, se entiende que habría una cooperación de las autoridades belgas con el autor de los ataques. De no tener un amparo legal, esas acciones podrían suponer un choque de legalidades, según Maetzu.

Los expertos ven con preocupación el uso de estas opacas técnicas de espionaje. "La UE tiene que lidiar con el 'hackeo' de sus ciudadanos. Las leyes deben frenar las continuas violaciones de derechos gracias al grupo NSO", tuiteó Marietje Schaake, directora internacional de política del Cyber Policy Center de Stanford y exeurodiputada.

¿Qué pasa con los datos robados?

Citizen Lab ha apuntado que, de no haber sido ya destruidos, los clientes de Pegasus contarían con un registro con la localización de sus víctimas. Desde la Autoritat Catalana de Protecció de Dades señalan que, a pesar de vulnerarse el derecho a la privacidad, las autoridades de esta índole no pueden intervenir, pues "debe aplicarse la preferencia de la orden jurisdiccional penal".

Luján remarca la dificultad de conocer detalles de una empresa opaca como NSO que va adaptando sus tecnologías para imposibilitar su rastreo. "No sabemos a ciencia cierta ni cuánto tiempo hace que existe Pegasus", apunta.

Suscríbete para seguir leyendo