Dos empresarios espiados con Pegasus ratifican en el juzgado la querella contra el CNI y la Guardia Civil

Dos de los cinco empresarios tecnológicos supuestamente espiados con los programas Pegasus y Candiru han ratificado este miércoles ante una magistrada de Barcelona su querella contra los fabricantes, el CNI y la Guardia Civil. Los querellantes aportarán sus dispositivos electrónicos, como móviles, ordenadores y discos duros, para que los Mossos d'Esquadra realicen una pericial forense. Además, la magistrada ha pedido a la Audiencia Nacional que le envíe los autos que autorizaron el espionaje, para comprobar si se ajusta a las fechas, motivos y ámbitos por los que fueron vigilados. Por último, la magistrada ha solicitado la traducción de la querella al francés y al hebreo para notificarla a los directivos de NSO Group y Candiru en Luxemburgo e Israel.

Hace unos días, tal y como había pedido la fiscalía, la magistrada anuló la investigación contra Félix Vicente Azón, ex director general de la Guardia Civil y actualmente magistrado de la sala de lo social del Supremo, lo que lo convierte en aforado en este mismo tribunal. Azón dirigió la Guardia Civil de 2018 a 2020, y su sucesora de 2020 a 2023, María Gámez, también está investigada en esta causa. El mismo expediente investiga a la exdirectora del CNI Paz Esteban, ya investigada por otros juzgados por el espionaje a independentistas, así como a cinco directivos o exdirectivos de NSO, la empresa israelí creadora de Pegasus, y de Candiru, otro software espía israelí. Es la primera vez que la justicia española investiga a exresponsables de la Guardia Civil por este tipo de espionaje.

Los cinco querellantes —Joan Arús y Jordi Baylina, que han declarado este miércoles, y Joan Matamala, Pau Escrich y Xavier Vives, que lo harán el lunes— comparten un perfil profesional común: son empresarios y desarrolladores de protocolos de código abierto para gobernanza descentralizada, votación digital anónima e identidad digital soberana. Sentinel Alliance sostiene que el espionaje fue dirigido contra los querellantes por su actividad profesional.

La querella documenta que las autoridades españolas alegaron el desarrollo de las herramientas de voto digital de código abierto de los querellantes como justificación del espionaje: consideraron que el uso potencial futuro de estas herramientas por terceros constituía una amenaza para la “seguridad nacional”. Sus identidades e información confidencial de sus proyectos empresariales —extraídas con software espía— fueron filtradas ilegalmente a medios de comunicación, algo que Sentinel Alliance considera un intento deliberado de perjudicar comercialmente a sus empresas tecnológicas y su reputación. Ninguno de los querellantes fue nunca investigado en ningún procedimiento penal y, por tanto, en ningún momento tuvieron posibilidad de defenderse. Las investigaciones que les afectaban fueron archivadas sin cargos.

Durante dos años, desde 2019, sus dispositivos fueron atacados con Pegasus y Candiru, software espía de grado militar capaz de extraer chats, correos, contraseñas, archivos y fotografías, y de activar remotamente el micrófono y la cámara. Citizen Lab documentó al menos 78 ataques contra los querellantes y su entorno, incluidos familiares. Entre las personas de su entorno directo que fueron espiadas se encuentra Elies Campo, asesor de los querellantes, y directivo de Telegram y de WhatsApp y autor del informe de Citizen Lab sobre el ‘Catalangate’.

Campo fue atacado con Candiru. El 5 de diciembre de 2019, antes de viajar desde Silicon Valley a Catalunya por las fiestas de Navidad, recibió un correo electrónico malicioso diseñado para infectar sus dispositivos con Candiru. Agentes de paisano de la Guardia Civil le esperaban en la zona de llegadas del aeropuerto de Barcelona el 17 de diciembre de 2019. Sabían el vuelo y la hora y lo fotografiaron.

Según la querella, la Unidad Central Especial (UCE3) de la Guardia Civil vigiló sus movimientos durante toda la estancia: del aeropuerto al hotel, en una visita al Departamento de Políticas Digitales, en un coworking de Gràcia, en una reunión en Vallvidrera. Ese mismo día, el móvil de su madre fue infectado con Pegasus. El día anterior lo había sido el de su hermana. Al día siguiente, el de su padre. La madre recibió siete infecciones más entre el 19 de diciembre y el 9 de enero. La hermana, tres infecciones más hasta el 14 de enero. Ninguno de ellos era objeto de ninguna investigación judicial. Ninguna autorización judicial reconocida incluye a familiares.

La querella documenta una coincidencia temporal entre el seguimiento físico de la UCE3 y las infecciones con Pegasus y Candiru. El 10 de enero de 2020, Elies Campo se reunió con tres de los querellantes. Ese mismo día se produjeron intentos de infección con Candiru contra Xavier Vives y Pau Escrich.

Las infecciones con Candiru están documentadas forénsicamente por Citizen Lab. El Gobierno español nunca ha reconocido la adquisición ni el uso de este software. Fue la detección de una infección activa de Candiru en uno de los querellantes lo que permitió a Microsoft lanzar una actualización de seguridad que protegió a más de 1.300 millones de dispositivos en todo el mundo