Donncha Ó Cearbhail: "Les proves que el dany de Pegasus és generalitzat són molt clares"
Cap del Laboratori de Seguretat Tecnològica d'Amnistia Internacional
BarcelonaAmnistia Internacional ha creat un Laboratori de Seguretat que ha obtingut proves forenses irrefutables sobre com Pegasus, el programa espia que l'empresa israeliana NSO Group ven als estats, ha estat utilitzat per vigilar periodistes, activistes i membres de la societat civil. També ha desenvolupat eines per protegir-se. En parlem amb Donncha Ó Cearbhail, un irlandès de 23 anys que dirigeix des de Berlín el laboratori.
Quin paper ha jugat Amnistia Internacional en el cas del Catalangate? ¿I en general, en el seguiment de l'ús de Pegasus al món?
— La nostra investigació sobre NSO Group va començar l'any 2018, quan vam descobrir que Pegasus s'havia utilitzat per espiar un dels companys d'Amnistia Internacional, que investigava la situació dels drets humans a l'Aràbia Saudita. Amb investigacions forenses posteriors, hem arribat a tenir una comprensió tècnica detallada de com funciona aquest programa espia i on s'utilitza al món. Pel que fa al cas dels catalans, ens va demanar que analitzéssim de manera independent una mostra de dispositius que Citizen Lab havia identificat com a objectius de Pegasus durant la seva investigació. Vam obtenir les dades forenses dels quatre afectats que van acceptar una verificació independent. Amnistia Internacional va poder confirmar que els quatre dispositius analitzats havien estat efectivament compromesos amb Pegasus. I hem corroborat que els rastres trobats en els últims casos catalans coincideixen amb els que hem vist als telèfons infiltrats amb Pegasus en altres països.
Què ha canviat des que vau publicar les primeres denúncies contra NSO?
— Des de la publicació de Pegasus Project l'estiu passat és evident que el dany és massiu. Pegasus no és l'únic: la indústria de cibervigilància ha provocat una crisi sistèmica de drets humans i cal urgentment una regulació internacional adequada, transparència i responsabilitat. Els governs no estan fent prou. Probablement, encara estem veient la punta de l'iceberg. Potser hi ha més abusos que encara no hem descobert perquè sempre les empreses que creen programes espia intenten fer-ho en secret. És un joc del gat i la rata, però les proves que el dany és generalitzat són molt clares. No hauria de ser responsabilitat dels petits equips d'investigadors d'entitats de la societat civil demanar compte a aquesta indústria. Els governs han de prendre mesures urgents.
¿Es pot introduir un programa espia en un telèfon sense deixar-ne cap rastre?
— Nosaltres hem creat les eines per confirmar que un mòbil ha estat infectat amb un programa com Pegasus. Però lamentablement és impossible demostrar que un aparell no hagi sigut objectiu d'un programari espia.
Des d'Amnistia heu desenvolupat una eina de verificació de mòbils (MVT) per detectar la intrusió de Pegasus. ¿La pot fer servir tothom i en qualsevol mòbil?
— MVT està dissenyat com una eina de triatge per a tecnòlegs que tenen algunes habilitats tècniques però que no són necessàriament experts en programari espia o forenses digitals. L'eina funciona tant en dispositius Android com en iPhone. Sabem que NSO Group ha desenvolupat tecnologies que es coneixen com a atac de zero clic, i que estan a disposició dels governs que són els seus clients des de fa anys. Amb aquests atacs no cal que l'usuari faci res per ser infectat. És un tipus d'atac insidiós, del qual és molt difícil que algú pugui defensar-se. El nostre laboratori està a disposició de la societat civil.
¿Es pot saber qui hi ha al darrere de l'espionatge d'un telèfon? I quina informació se n'ha extret i quan? ¿Creu que les autoritats espanyoles tenen capacitat tècnica per saber qui va infiltrar els telèfons de Pedro Sánchez i Margarita Robles?
— Sovint és difícil determinar quin operador en concret hi ha darrere d'un atac, però de vegades podem confirmar que diferents atacs van ser fets pel mateix client. Amb l'anàlisi forense de vegades no podem saber exactament quina informació va recopilar el programari espia.