ÚLTIMO INFORME SOBRE PEGASUS (la punta de un iceberg)
DICTAMEN
Notas sobre el problema de Pegasus (y otros) descubiertos por el Catalangate.
Septiembre 2022
Aspertic es una asociación profesional registrada como grupo de presión (lobby), en el registro de transparencia de la UE con el número 880143435725-46, donde es auditada semestralmente; y con el número 1 7482, en la Generalitat y el conjunto de las administraciones públicas, en el apartado jurídico y tecnológico.
Aspertic se encuentra sujeta a los siguientes marcos normativos y legislativos:
Responsabilitat Social Seguretat i Privacitat de la Informació – Esquema Nacional d’Interoperabilitat – Anti-soborn – Esquema Nacional de Seguretat – Membres del col·legi d’advocats de Barcelona – Sistemes de gestió Compliance – Protecció de Dades (RGPD) – Promotors de programari lliure i opensource
EL PROBLEMA DE PEGASUS Y OTROS PROGRAMAS ESPÍA
a) Pegasus:
El software Pegasus no es más que la constatación empírica de la desconfianza que demuestran los actores estatales, por implementar y extender sus labores de inteligencia al dominio cibernético, incluso a riesgo de compartir la información obtenida con actores privados patrocinados por estados extranjeros, cuyos objetivos políticos se desconocen. Pero también, y esta es una de las conclusiones que podemos sacar, la desconfianza de élites funcionariales y extractivas contra los propios políticos y contra sus propias élites competidoras.
En España se identifican claramente cuatro grupos, que son en este orden, el CNI, la Guardia Civil, la Policía Nacional y el lobby de los grandes bancos y empresas. Y las víctimas, pocas son terroristas y autores de delincuencia grave; las víctimas son activistas, periodistas, abogados, funcionarios de todos los niveles y adversarios políticos, entre los que se cuentan también los propios miembros del gobierno, compañeros de partido y la oposición.
Pegasus es un malware/spyware creado por la compañía israelí NSO Group Technologies, dedicada a la creación de software de intrusión y monitorización, y que es vendido de forma “legal” a los estados, como una herramienta destinada a combatir el terrorismo y el crimen organizado. Sin embargo, tal y como se ha demostrado a través de los distintos escándalos de espionaje estatal que ha protagonizado –y que han trascendido al público–, las víctimas potenciales de Pegasus no se limitan únicamente al mundo del hampa o de terroristas acreditados; éstos son, como se ha dicho, precisamente, los menos.
La forma de infección mediante Pegasus es relativamente simple, una vez seleccionada la víctima por parte del emisor, con lo que el estado de Israel y la mitad de las empresas de inteligencia del mundo saben que es un “sujeto de interés” (1), éste envía un mensaje con un enlace infeccioso camuflado en un contenido aparentemente legítimo, el cual permite descargar de forma inadvertida el software malicioso una vez que la víctima accede al mismo. Desde este momento, el spyware permite al comprador y usuario de Pegasus, recopilar la información almacenada en el dispositivo y monitorizar de forma constante la actividad del terminal, ya que, dado su carácter modular el malware permite al atacante adquirir un control total del dispositivo, permitiéndole leer mensajes, acceder a sus cuentas personales, conocer las contraseñas empleadas, activar las cámaras y el micrófono del dispositivo, etc. O dicho de otro modo, Pegasus permite tener un acceso total a la intimidad digital de la víctima, su agenda, sus contactos y su entorno, mediante la recopilación y actualización de una cantidad ingente de datos.
Pegasus es un programa propiedad de NSO GROUP
Galgalei ha-Plada St 22,
Herzliya, Israel
Tel +972-774341292
https://www.nsogroup.com/
1) Pegasus no está diseñado como un sistema de escucha telefónico sino como un arma que ataca, en este caso, a los terminales telefónicos en su integridad, permitiendo no solo el acceso a las comunicaciones del afectado sino a todo el contenido de su teléfono, así como al conjunto del entorno de dicho terminal (y del sujeto espiado), mediante la posibilidad de activar el micrófono y la cámara del aparato afectado, pudiendo grabar todo lo que sucede en su entorno; también puede introducir, extraer y modificar (incriminar mediante pruebas falsas) aquellos archivos que se contengan en la memoria del aparato en cuestión. El manual de funcionamiento de Pegasus se puede encontrar en este enlace. De ello que la primera idea que podemos extraer confirma la primera evidencia, que es que, judicialmente, NO ES VALIDA ninguna prueba que haya sido obtenida de un móvil que haya sido atacado por PEGASUS, ni de ningún móvil u ordenador que haya podido estar vinculado, ni que sea aleatoriamente, con un teléfono que haya sido infectado por Pegasus. Cualquier sistema que haya conectado a un equipo infectado por Pegasus o su homónimo para ordenadores Candiru (2) o el que parece que va a ser la moda de esta temporada, la marca novedad de 2022, Sourgum, que es susceptible de comprometer a terceros. Los tres nombres pertenecen a empresas cibermercenarias israelíes. De Predator y otros, hablaremos más tarde.
En el específico caso de Pegasus, se ha desarrollado un programa de detección e identificación que cualquiera se puede descargar y que encontraremos en este enlace. Si no se tienen suficientes conocimientos, existen diversas empresas y tiendas que saben como hacerlo. Como dato curioso, existe una cadena de tiendas de nombre “La Tienda del Espía”, con sede en las principales capitales españolas, que además te hacen un certificado si han encontrado trazas.
Pegasus permite hacer de forma remota lo que la ley contempla como diferentes medidas de investigación, todas ellas revestidas de la necesidad de autorización judicial individualizada, y sometidas, entre otras, al principio de necesidad que, al ser un espionaje masivo, nunca se cumpliría, ni siquiera acudiendo al fraude de ley de pedir las autorizaciones una a una.
De ello que:
2) Tanto Pegasus como Candiru no son operados por funcionarios españoles sino por empleados de una empresa privada extranjera y, aunque solo sea por ello, jamás podrían ser escuchas (en este caso espionaje) legales conforme al derecho español. Por otra parte, el resultado del espionaje ni tan siquiera sería de la exclusiva titularidad del cliente, sino que la empresa prestadora del servicio, NSO, ya que nos centramos en Pegasus, se quedaría con una copia del resultado del espionaje por lo que, además y por esta vía, también se estaría incumpliendo la legalidad.
El software espía Pegasus está clasificado por el gobierno de Israel, como los otros, como un arma de Israel, y cualquier exportación de la tecnología debe ser aprobada por él. Dicho lo anterior, algunas estructuras han conseguido tener un servidor propio de Pegasus, y parece que la Guardia Civil tiene uno. El precio y la cantidad de información a recaudar son los factores determinantes. Y precisamente el blanqueo del pago pasaría a ser uno de los indicadores de compra que acaban saliendo a superficie, mostrando dónde se está utilizando y por quién.
3) De entrada, la compra se organiza en una ilegalidad previa: entregar los datos personales, sujetos a protección, de los titulares de los terminales afectados. Se trata de un traslado masivo de datos de unas bases europeas a una empresa extra comunitaria, con lo que ello representa en materia de protección de datos, delitos recogidos en los Arts. 197 a 200 del Código Penal, que ciertamente quienes han contratado Pegasus han cometido.
4) Además, han sido espiados tanto aforados (que gozan de inmunidad) como abogados, Andreu Van den Eynde, Josep Costa o Gonzalo Boye, ejercitando el derecho de defensa. Durante el periodo de tiempo en que fueron espiados contaban con las inmunidades que reconocen el artículo 44.2 del Reglamento de Procedimiento del Tribunal de Justicia de la Unión Europea (TJUE) y el 53.2 del Reglamento de Procedimiento del Tribunal General de la Unión Europea (TGUE).
5) Pero es importante decir aquí, que el espionaje no se centra solo en los “pinchados”. Aquél que ha contactado con un “pinchado”, también ha sido espiado, y sus datos, imagen, voz y textos recopilados y manipulados quedaron en manos del “pinchador” y de NSO u otras esas empresas israelitas, pudiendo haber cedido sus datos, seguidamente, a otros terceros países y empresas, sin capacidad de control alguno de la privacidad del afectado.
6) El Supremo ya ha dicho que a ellos no les consta que autorizaran tantas escuchas irregulares, aunque un magistrado del Tribunal Supremo SÍ es el que debe autorizar actualmente dichas escuchas para el CNI. Su nombre es Pablo Lucas Murillo de la Cueva, y a falta de él, Andrés Martínez Arrieta. En caso de haberse producido el espionaje con su anuencia, sería responsable de los recogidos en nuestro código penal de los artículos 197 a 200, con la agravante de quien los comete es funcionario público. Aquí es donde debe de decirse que éste y solo éste es el camino que puede utilizar el CNI o los servicios anti terroristas. Las policías, la Guardia Civil o la Audiencia Nacional NO PUEDEN UTILIZAR PEGASUS, pues no es un sistema de escuchas (3). Hacerlo, invalidaría los resultados de la investigación, y quienes la pidieran o intervinieran cometerían diversos delitos. Pero el espiar es tentador, de ello que el gobierno de Israel, ante lo que podríamos calificar de alud de peticiones de licencias por parte de España, pidió aclaraciones sobre quien tenia que comprar Pegasus; si la Policía Nacional o la Guardia Civil además del CNI, al no caer en que la Guardia Civil es un cuerpo militar policial.
7) El «En España» se ha acreditado no solo la utilización de dichos programas por parte de los servicios de inteligencia, sino también por parte de las diversas policías, e incluso de entidades privadas. En Madrid, tenemos actualmente un procedimiento penal entre los herederos de los grandes almacenes “El Corte Inglés”, donde se denuncian los unos a los otros de haber utilizado Pegasus para espiarse. La propia Policía española, a través de los servicios del Comisario Villerejo “arrendaba”, con sus servicios al IBEX35, la utilización de estos programas a las grandes empresas españolas, las llamadas IBEX35. Prueba de ello es que los servicios de inteligencia de España han reconocido solamente quince escuchas, cuando en realidad han aparecido ya más de un millar de afectados, entre los que está el propio Presidente de Gobierno y varios ministros. También altos cargos a los que se intervino agresivamente su móvil. Pero la plaga se ha extendido tanto, que han resultado afectados activistas y sindicalistas, acreditando los peritajes desgraciadamente que muchos de ellos son simples interinos, vulnerando además los derechos fundamentales más básicos al haberse realizado sin control legal alguno. Es aquello del “Primero espía, y si sale algo, ya pedimos el mandamiento judicial. Y si no, sabremos sus debilidades”. Y vale para todos, mossos también o la mismísima policía de Israel. Posiblemente, lo más sorprendente cuando analizas la plataforma de compras del Estado es constatar que el Ministerio de Hacienda y la CNMC han comprado también esos programas espía (Cellebrite), o el Gobierno Vasco.
8) La filosofía y quién está detrás de Pegasus está descrito en este artículo:
Podemos decir que Pegasus es de una empresa israelí vinculada directamente al Mossad, como Cytrox o Emtam, de la que abajo efectuamos un análisis de por dónde podría venir el pago de la factura de las escuchas e intervenciones.
9) NSO es una empresa israelí, si bien con alguna conductas y datos curiosos, queriendo dar la imagen de “honorabilidad”, como puede ser el hacer una declaración de apoyo a los “whistleblowers”, derechos humanos, transparencia o responsabilidad social; documentos donde podemos encontrar frases demoledoras y farisaicas como “Help governments protect innocents from terror and crime by providing them with the best intelligence technology of its kind”.
Si bien NSO tiene un procedimiento de compliance, que aparece en su web, obligatorio para poder trabajar en los procedimientos anglosajones, NSO pasa y prescinde de cualquier tipo de ética, incluso frente a demandas de Amnistía Internacional y grupos ciudadanos parecidos donde vemos, en la propia web, como por parte de los demandantes se pide a diversos juzgados que cese su actividad por haber sido su sistema utilizado para detectar, geoposicionar y ejecutar activistas.
10) El fondo de capital riesgo «Europeo» Novalpina Capital, compró una participación mayoritaria en NSO en febrero de 2019. NovalPina tiene sede en Luxemburgo y está sujeto a las normas de la Unión Europea.
NOVALPINA CAPITAL MANAGEMENT INTERNATIONAL LLP (OC417109)
15 Boulevard Friedrich Wilhelm Raiffeisen,
Grand Duchy Of Luxembourg, Luxembourg, L-2411
11) Si bien el gran partícipe de NSO es Novalpina, NSO, como grupo tiene asimismo una empresa subsidiaria con la que opera en Europa, que es su imagen pública dentro de la Unión es:
OSY Technologies SARL
2 Rue Edward Steichen
Luxembourg
https://littlesis.org/org/371797-OSY_Technologies_SARL
Trabaja con Credit Suisse AG, Cayman Islands Branch facturando 265,000,000 USD desde Nov de 2014.
12) En este momento tiene NSO una macrodemanda de APPLE que, sumados a todos los problemas que han ido cayendo, ha hecho dimitir a su director.
WhatsApp también ha interpuesto otra demanda contra NSO Group en Estados Unidos, por usar su sistema para atacar a los espiados.
Como maniobra defensiva, NSO Group ha presentado recientemente demanda de quiebra de la empresa. Otra cosa es que el estado israelí sea responsable, a la par que el gran beneficiado de Pegasus, Predator, Candiru y Sourgum.
13) Realmente estamos delante de un “deja vu” pues idéntico problema se suscitó en Panamá por la compra del gobierno Martinelli del programa Pegasus y su utilización, y los beneficios que del mismo obtuvo Israel a través de NSO. Exactamente el mismo problema se ha detectado en Chile, Argentina o con jefes de estado europeo, como Emmanuel Macron.
https://www.laestrella.com.pa/nacional/220201/220131-the-new-york-times-revela-detalles-compra-pegasus-martinelli
https://www.prensa.com/impresa/panorama/martinelli-pegasus-a-cambio-de-votos-en-la-onu/
https://www.prensa.com/politica/martinelli-habria-comprado-pegasus-a-cambio-de-votos-a-favor-de-israel-en-la-onu-segun-the-new-york-times/
https://interferencia.cl/articulos/prensa-internacional-revela-espionaje-con-software-pegasus-dirigentes-sociales-politicos-y
https://www.pagina12.com.ar/356092-pegasus-espionaje-global-a-jefes-de-estado_
https://www.laestrella.com.pa/nacional/220201/expresidente-varela-niega-haber-participado-compra-pegasus
En fin, una empresa “farisaica” y aprovechada a medida de unos “estados”, empresas y élites con sus mismos valores.
La pregunta que no podemos dejarnos de hacer es, si temas como el reconocimiento la soberanía de Marruecos sobre el Sahara occidental, ha sido fruto de un chantaje de Marruecos, ahora que el reino Alahuita es socio preferente de Israel y Estados Unidos.
14) Dentro del “deja vu” nos encontramos con que el tema de Pegasus y España están unidos en los Leaks de las acciones más oscuras de nuestra democracia. Aparecen las acciones de los servicios secretos españoles usando Pegasus en WikiLeaks y Hacking Team. Al malogrado Assange se le ha acusado de todo, menos de mentir.
Las gestiones de compra y liderazgo de la operación las lleva un responsable cuyo nombre en clave es “don Aquiles”, del que hemos hablado ya alguna vez, usando una empresa pantalla del CNI, “Areatec” y “Cenyt”, cuyo administrador continua siendo el famosísimo comisario Villarejo o Beloso Baker & asociados, s.l. donde es partícipe. Estas empresas pantallas es otra de las formas de obtener extraordinarias ganancias, en “b” principalmente, con la cobertura del Estado, teniendo como clientes a partidos, bancos y grandes empresas. Y mediante esas empresas se efectuaba un control de togas que ha sido muy efectivo durante años. Y es que el código deontológico del CNI es el propio de un servicio de inteligencia o policía predemocráticos.
Se aporta de Documento n.º 1 (4) la relación de correos extraídos de las citadas bases de datos, donde salen relacionados también ínclitos personajes como Villarejo.
Name : Jason Statan
Email: jose.villarejo@cenyt.com
Address: ES; Spain; ESP; Madrid; Hiszpania; Madrid
Phone: 652910492
B) No existe una única compra de Pegasus sino, al menos, tres paquetes de licencias.
De las propias declaraciones de los implicados y de la documentación a la que hemos accedido, se puede afirmar que nos encontramos con tres fuentes bien diferenciadas de utilización de Pegasus. La primera fuente, cuyo gestor es el único que legítimamente podría tenerlo, es el Ministerio de Defensa, de quien depende el CNI. El procedimiento es el indicado más arriba, sólo ellos pueden usar Pegasus a través de una autorización del correspondiente magistrado del Tribunal Supremo. Ellos y solo ellos. Y esas intervenciones, y sólo esas, son las que, en caso necesario deben explicarse en la Comisión de Secretos Oficiales.
Las intervenciones que parece que ha efectuado por un lado la Guardia Civil, y por el otro la Policía Nacional, sencillamente son una extralimitación, y como tal anula cualquier procedimiento a los que se aporten dichas informaciones o actuaciones, correspondiéndose a un delito de intervención de las comunicaciones por parte de los funcionarios que intervengan en ellas. Es decir, Policía y Guardia Civil no pueden usar, bajo ningún concepto, Pegasus o Candiru. Es una prerrogativa exclusiva de los servicios de inteligencia, del Ministerio de Defensa, en caso de tenerla.
Y sin embargo “eppur si muove”, como nos diría Galileo. Si por algo se ha caracterizado el “deep state” policial, con sus policías patrióticas y sus militares salvadores de España, es en considerar a los poderes democráticos unos enemigos. A resultas de esa realidad, desde siempre, unos cuerpos y otros se han controlado entre si, y todos ellos, a los políticos salidos de las urnas. De ello que no podamos descartar que parte de las intervenciones recientemente denunciadas, cuyas víctimas son altísimos cargos del gobierno, no correspondiesen a “fuego amigo”. Este último punto, habrá de ser investigado y se llegará a una solución, si a los israelís les interesa contarlo. Así es de ver en el artículo en referencia a un caso en el que eran los propios agentes del CNI los espiados por la Policía Nacional, lógicamente sin mandamiento judicial. El caso NICOLAY confirma la compra de esta tecnología, o muy parecida, a los israelíes, quienes después utilizan los conocimientos adquiridos en su interés.
Prueba de que tanto la Policía Nacional como la Guardia Civil tienen sistemas de escucha autónomos y diferentes de SITEL, la encontramos en una doble licitación (21M149 y 21M 148) para Suministro de una ampliación de la plataforma de almacenamiento, que presta servicio a los sistemas de interceptación legal de las telecomunicaciones y conservación de datos de la Dirección General de la Guardia Civil. ( Secretaría de Estado de Seguridad. Ministerio del Interior ) y una idéntica para la Policía Nacional. Cada uno de ellos por la misma cantidad de 2.479.338,84 €. Es tanto más curioso cuanto que aún se estaba cumpliendo el contrato de suministro de plataformas de almacenamiento, entre otros bienes adquiridos, por valor de 800.000.000 de Euros.
Por lo que hace a las licencias de Pegasus para la Policía Nacional, el director adjunto operativo (DAO) de la Policía durante el Gobierno de Mariano Rajoy, Eugenio Pino, comunicó el 17 de diciembre de 2014 a varios agentes subordinados que había «autorizado» el pago a una empresa israelí que suministraba software para espiar teléfonos y otros dispositivos móviles.
C) SILC, que nadie conoce pero que es clavadito a PEGASUS
El sistema oficial de escuchas en España se llama SITEL. SITEL es un sistema de escuchas telefónicas del Ministerio de Interior de España utilizado por la Policía Nacional y la Guardia Civil que comparte los equipos electrónicos con el Centro Nacional de Inteligencia. Este sistema incluiría tanto las llamadas, como SMS, Fax, así como los metadatos de dichas comunicaciones, como pueden ser del geoposicionamiento.
En 2007, el desarrollo del sistema fue encargado a la compañía danesa ETI A/S por 9.825.975€. y en estos momentos nos viene a costar unos 15 millones de euros al año, que vienen en los presupuestos generales del Estado.
El proceso legal de interceptación se lleva a cabo a partir de la solicitud que un agente de Policía Judicial, en el curso de la investigación de un delito grave, realiza al Juzgado de Guardia, la solicitud debe estar motivada y explicar las razones de la solicitud de interceptación. El Juez de Instrucción examina la solicitud y si la encuentra ajustada a derecho procede a la apertura de diligencias previas, y dentro de estas acuerda por Auto motivado la interceptación solicitada. Este Auto es escaneado por el Agente solicitante y, en el caso de la Guardia Civil, a través de la intranet corporativa accede al sistema “GAITA”, por el que transmite la solicitud y la copia escaneada del Auto a la central donde se encuentra el agente facultado. Éste, revisa la base de datos “GAITA” y reenvía a la compañía operadora, a través de un canal seguro administrativo los datos de la interceptación adjuntando la copia del Auto. La persona legalmente autorizada de la compañía operadora examina la petición y procede a efectuar físicamente la interceptación y a comunicar, por el canal administrativo, al agente facultado que la interceptación está realizada. Pero se estimó que, con el advenimiento de las grandes multinacionales de las comunicaciones y las redes sociales (Whatsapp, Telegram, Zoom, Facebook, Twitter, Linked-in y servicios de valor añadido de Amazon o Google) sería necesario algo más potente. Y para eso se creó SILC ya en 2008. La “plataforma SILC”, se encarga de que la monitorización incluya, además de las tradicionales llamadas, las que se realizan mediante aplicaciones de mensajería instantánea como WhatsApp, Telegram o Signal.
De documento n.º 2 aporto pliego técnico de SILC (5)
La gran diferencia es que NO es un sistema para infectar móviles ni tiene que ver con Pegasus. Es un sistema de análisis de trafico de internet y redes de telefonía móvil. Es decir, desde fuera y sin tocar los dispositivos. Esta característica, como se ha indicado anteriormente, es de extrema relevancia cuando, dentro de la legalidad, se están recogiendo pruebas para aportar posteriormente a un procedimiento judicial.
Es también un analizador de tráfico para ver por donde está navegando un sospechoso como por ejemplo gente que busca pornografía con menores en internet. Actualmente, también recoge SMS por la simple razón de que los SMS no salen por la red móvil, si no que los enrutan por la red de datos para ahorrarle costes a la operadora.
Pero parece ser que para la Guardia Civil ni SITEL ni SILC son suficientes y planea adquirir en exclusiva un sistema de monitorización de redes móviles, y para ello va a dedicado más de un millón de euros, según se puede leer en este artículo.
Pero veamos, antes que nada, cual es el monto genérico que nos cuesta a los españoles.
Finalmente, tanto el Centro Criptológico Nacional, como el Ministerio del Interior tienen una consolidada relación con el grupo EXCEM. El tema es, de nuevo, que no es EXCEM , sino EXCEM-VERINT, multinacional israelí especializada en interceptación de comunicaciones.
Y es que cada día nos viene la noticia de una nueva compra de herramientas para espiar e interceptar comunicaciones, Para espiar, parece que la chequera es inagotable. La última noticia que tenemos es otra adjudicación directa a la empresa inglesa Bae Systems Applied Intelligence A/S, de un programa de interceptación de comunicaciones llamado Evident X-Stream, que además tiene fama de ser bastante malo. Pues por ese programa hemos pagado 11.434.500,00 €. Y no es que sea malo, es que no hace cosas diferentes a las de productos que ya se han adquirido.
Hablamos pues, siendo conservadores de una inversión en espiar al vecino de más de un centenar de millones de Euros, de lo que se puede explicar; aquí faltaría la parte de fondos reptiles y opacos utilizados. Y es que aquí somos así.
Lo cierto es que si alguien se presenta a los servicios de inteligencia española con un zapatófono, y afirma que eso espía, se lo compran sin mirar nada más. Por malo que sea, se compra todo lo que sale, sin medida y con la convicción de que nadie pedirá cuentas.
D) Los maletines de Verint, la relación viene de lejos.
La primera vez que en sede parlamentaria se habló de Verint, fue, cómo no, para denunciar espionaje ilegal del “Deep State” español en una pregunta del Diputado Sr. Ricardo Sixto Iglesias, del grupo EUPV -Els Verds, el 29 de abril de 2014. Sin embargo, las herramientas de intervención de comunicaciones, como complemento ideal de SILC vienen desde el inicio de SITEL. Además existe constancia que dichas herramientas fueron también adquiridas por multinacionales y grandes empresas y también compañías de seguridad.
Y es que, realmente, todas las empresas privadas dedicadas al espionaje, están cortadas por el mismo patrón; la tecnonogía de Verint, así como la de NSO, están dando soporte a las violaciones de derechos humanos en toda Latinoamérica.
Resulta que Verint, por otra parte, también es conocida por colocar “backdoors” (o puertas traseras, en la jerga informática) en su software (lisa y llanamente espionaje) y también por crear virus. Tanto es así, que el virus Stuxnet fue diseñado por esta empresa para ser usado por el Mossad contra el proyecto de energía nuclear pacífico de Irán. Un acto de sabotaje terrorista (otro más de Israel) que violaba claramente el derecho internacional, según expertos jurídicos independientes.
Y hay quien va más lejos y señala a esta empresa israelí como las creadora de las falsas llamadas que se realizaron el 11-S por “pasajeros” de los aviones “secuestrados” a sus “familiares” y que luego fueron utilizadas por los conspiradores para hacer más creíble el secuestro de los falsos terroristas. A este respecto solo hay que leer qué tipo de tecnología ofrece Verint en su página de Internet: “Verint Security Intelligence Solutions help government and commercial organizations around the globe protect people and property and neutralize terro rand crime. Our solutions generate Actionable Intelligence™ through the analysis of voice, video, and unstructured text.” (6)
Y como apunte final señalar que esta empresa del Mossad, Verint, también se hizo cargo de la seguridad del Metro de Valencia un año antes de ocurrir el accidente que ocasionó la muerte de 43 personas, hecho ocurrido en 2006. El dato de Verint está totalmente confirmado y es accesible. Con esto no quiero afirmar nada, solamente cabría preguntarse si esa seguridad de Verint alcanzaba tanto al control de viajeros como a los sistemas de seguridad propia de los trenes del Metro.
Los sistema Verint habrían sido desplegados en las manifestaciones para identificar e individualizar a los manifestantes, Son desplegados, aunque lógicamente se negó por parte de la policía a preguntas de la anterior diputada y actual presidenta Sra. Meritxell Batet.
Finalmente no debemos olvidar a Mollitiam Industries: el Pegasus español, desarrollado con dinero público español y que compite en todos los aspectos, incluso los morales, con Verint o NSO.
La empresa española Mollitiam Industries es uno de los 20 depredadores digitales de la libertad de prensa de la lista publicada por Reporteros sin Fronteras (RSF), que le acusa de haber vendido sus programas de vigilancia al ejército colombiano que los utilizó para prácticas de espionaje ilegales. RSF, que presenta esta lista con ocasión del Día Mundial de Lucha contra la Cíbercensura el 12 de marzo, incluye a Mollitiam dentro de una categoría de empresas autoras de prácticas de espionaje y de vigilancia.
E) El pago del Catalangate – RAMON
Nos quedaría saber cómo pagaron a los israelitas, de una forma total o parcial. Y para ello hemos hecho el seguimiento de algunos contratos fuera de lo normal, que vincularían empresas israelitas similares a NSO Group o que tuvieran objetivos parecidos.
De todos los contratos y licitaciones analizados, se deduce que uno de los casos más probables sea el concurso y adjudicación de una compra de unas pistolas de la marca RAMON (7) a Israel.
1) Ramon es una pistola absolutamente desconocida en internet, no hay reseñas de esta arma anteriores a la fecha de la compra por la guardia civil, salvo que fue comprada, según dice la prensa española, que habla de la misma entre grandes elogios, una partida de 1.700 por la policía tailandesa, cosa que nada indica, mas que fue pagada esta partida por uno de los países más represores de oriente, y que usa programas espía para controlar a su población. Y no consta, aunque se blanquee por la prensa española, que el ejército o la policía israelí haya comprado cantidades ni siquiera significativas de esta arma.
2) Tampoco es un arma conocida en Youtube. Hay muy pocos videos, cosa que es absolutamente ilógica. Haciendo una búsqueda profunda se han encontrado cuatro, uno de los cuales es de un año antes de la compra, siendo de un señor disparando un pre-proyecto del arma; dos videos referidos a la compra, siendo uno de ellos de un guardia civil poniendo el arma a caldo, y un tercero de un entrenador de Paraguay, un año posterior, es decir 2022. No hay más videos.
Sólo estos cuatro videos frente a cientos o miles de las otras marcas, incluso las más pequeñas, donde constan análisis, montaje y desarme, comparativas o presentaciones en los centenares de ferias, concursos y congresos, que por todo el mundo se celebran (8).
La policía y el ejército israelí usan las pistolas Glock 17 y 19 o la IWI Jericho 941 como dotación oficial.
3) En cuanto al análisis externo del arma, parece una falsificación de una Glock 19 a la que le han modificado la empuñadura y añadido algún detalle estético; esta costumización la puede efectuar cualquier artesano o uno de los pequeños talleres, de los cientos que preparan e individualizan armas.
A mayor abundamiento, las 6000 pistolas con sus fundas, se permite que sean entregadas a futuro hasta el 2023, a razón de dos mil cada año. Por lo que habrían de estar distribuidas, en este momento, al menos, dos mil. Esta condición aceptada para un cuerpo de 75.000 agentes, que usan todos Beretta, dice muy poco sobre la capacidad de fabricación y almacenaje del fabricante.
4) Si la valoración en el concurso estaba rompiendo la barrera de la baja temeraria, esta se asegura al añadir la cartuchera gratis, valorada en unos 80 Euros, la más barata, a cada pistola, más dos cargadores y equipo de limpieza. Y eso sin contar la nula experiencia del producto presentado, y que no hemos visto en ningún lado que lleve la marca E de importaciones a la Unión Europea.
5) Otro tema es que siendo un arma nueva , presuntamente diferente a las habituales que había contratado la Guardia Civil, (Glock, Beretta, HK) no se tenga en cuenta la formación debida a los maestros armeros y su correspondiente stock de piezas de recambio. Lo mismo que los instructores de tiro. Son hechos que reafirman que estamos delante de la falsificación o una costumización de una Glock, no apareciendo la marca en ningún ranking de proveedores reconocidos de armas a policías o ejércitos (9).
6) De la propia información que ha ofrecido la empresa en los medios y en su web, en parte de la publicidad que se ha leído, se justifica el nombre de Ramon por el primer astronauta israelí Ilan Ramon fallecido en el accidente del transbordador Challenger, pero por otra parte se hace también mediante una referencia al antiguo testamento.
7) Tanto la pistola Ramón como Pegasus son considerados armas por el Ministerio del Defensa israelí; siendo armas las dos, podemos decir que dependen de la misma administración y departamento autorizar y controlar la venta a terceros.
8) Ramón es producida por EMTAN KARMIEL LTD ©
P O B 273, Postal Code 2192202, Karmiel, Israel
Tel: +972-4-9987531 Fax: +972-4-9988981
info@emtan.co.il
Por lo que se deduce de su web, tiene una licencia de fabricación/customización del fusil de asalto M16 y de la carabina M4. No acredita, en cambio, tener una licencia de patentes de Glock o de alguna otra fábrica de los que ha copiado mecanismos y seguro.
https://www.emtan.co.il/about.html
https://www.emtan.co.il/images/pdf/EMTAN—-RAMON_CAT_24082020.pdf
La delegación en España de Emtam es la empresa:
GUARDIAN SPAIN HOMELAND SECURITY
SAN ENRIQUE, 20 28020 MADRID, SPAIN.
Telf 911 852 861
Fax 911 852 862
info@guardianspain.com
www.guardianspain.com
Perteneciente al grupo:
GUARDIAN HOLDINGS LTD
29, Hacarmel Street Zur Igaal 44862 Israel
00 972 39778538
00 972 543369624
Ilan@guardianspain.com
www.guardianspain.com
Guardian Spain Homeland describe en su web cuatro especialidades:
A) Productos militares y policiales
Asegura que está inscrita en Nato (Namsa), en el Ministerio de Defensa y tiene licencia de exportación del Ministerio de defensa de Israel.
B) Bomberos y Unidades de Emergencia
Incluye el sistema Camero de visión a través de las paredes
C) Formación en combate y herramientas de Inteligencia
Cursos de tiro y combate en zonas de alto riesgo.
Cursos de protección de personas, seguimientos y contra-vigilancia.
Cursos de Combate en zona urbana y entrada a inmuebles.
Curso de protección de barcos en zonas de alto riesgo.
Cursos de defensa personal (Krav Maga).
Cursos de información e inteligencia.
Recopilación de información.
Seguimiento peatonal y motorizado.
Observaciones y Vigilancia.
Descubrimiento de seguimientos y contra-vigilancia.
Cuentos de cobertura.
Interrogatorio telefónico.
Creación de contactos y fuentes de información.
Tecnología y ocultación Audio y Video.
Cerrajería.
Identificación de rostros.
D) Seguridad e inteligencia
Hardware y software para la misma.
Poco podemos añadir que la actividad se acerca más a la actividad de inteligencia que a la importación, y sobretodo mantenimiento de armas cortas.
9) Por la información del concurso recogida en este artículo y en este otro, podemos decir que el concurso público lanzado por el cuerpo para la compra «de un mínimo de 6.000 pistolas semiautomáticas, calibre 9mm. Parabellum para dotar a personal de diversas Unidades de la Guardia Civil», se había presupuestado en 2,99 millones de euros.
(10). Sin embargo, la empresa Israelí logró hacerse con el contrato gracias a la presentación de una oferta por 1,95 millones de euros, un tercio por debajo de lo presupuestado por el Estado, según consta en el proceso de licitación, regalando además las cartucheras. Se trata del precio más bajo por el que jamás se han vendido estas pistolas ya que, según la propia documentación remitida por la empresa israelí, vendió 1.700 pistolas Ramon a la Policía Tailandesa, pero sin incluir las pistoleras de seguridad antirrobo, que en el mercado minorista cuestan entre 65 y 85 euros por unidad.
El arma puede equiparse de forma opcional con un compensador y un silenciador. Asimismo, puede equiparse con dos tipos de gatillos: uno estándar y uno de acción rápida que se acciona al ejercer una presión menor. En resumen unas características nada policiales para una marca que surgió de la nada, sin historial y con una baja temeraria.
De ser este el pago indirecto a NSO a través de este concurso de seis mil pistolas, no sólo nos encontraríamos delante de un concurso con baja temeraria, sino delante de una falsedad en documento público, y una adjudicación delictiva.
A la vista de las últimas declaraciones del ministro portavoz, en la sin duda, maniobra evasiva el pago que podría suponer el tema de las pistolas RAMON, podría bien resultar, por el tiempo, un pago al chivato, al espiador o al “facilitador”; y, de todas maneras, actividad delictiva.
Porque hay que renovarse, la Guardia Civil abrió un proceso para buscar una empresa que se encargue de la actualización de un sistema de monitorización remota de terminales móviles. El programa en cuestión tiene por nombre “Aqueos». Y curiosamente está efectuando otra compra a Emptam, en este caso, de una variante de fusiles automáticos M16, pero fabricados en Israel.
Aunque compiten los diversos proveedores, todos ellos venden los productos de todos; estaríamos pues delante de una falsa competencia. De ello que se utilicen intermediarios como el israeli de Pegasus, Martian Caspy, que facilitó un sistema de espionaje a las ‘cloacas’ policiales de Rajoy.
F) El pago del Catalangate – SILC
Si sorprendente es el caso de las pistolas RAMON, más sorprendente aún es el caso de las adjudicaciones de la plataforma SILC. Analizaremos los dos últimos concursos conocidos, los importantes, los de 2018 y 2021 y dejaremos de lado otros concursos menores. El primero de 5.148.000 € y el segundo de 5.000.000 €, en total DIEZ MILLONES CIENTO CUARENTA Y OCHO MIL EUROS, más el IVA correspondiente.
El concurso de 2018
El concurso de 2021
Vemos que ambos son contratos de la clase “negociados sin publicidad” donde se “invita” privadamente y se adjudica, SIN MÁS, a la empresa DARS TELECOM, S.l. el software de la plataforma SILC. Además, a diferencia del procedimiento de la Guardia Civil que formalmente es escrupuloso, en ésta se ha omitido cualquier otra cosa que no sea el acuerdo de adjudicación.
Pero la sorpresa aparece de nuevo cuando se accede a la página web de dicha sociedad, página que no cumple con ninguna normativa sobre internet, cookies o protección de datos. No da ninguna información sobre la empresa, como la que daría una empresa de informática cualquiera. Ni tan siquiera la dirección física, que inicialmente fue la de Av. del Cardenal Herrera Oria, 383, 28035 Madrid 911 73 11 10 y su web es: http://www.dars.es/. Pero lo que sí sabemos, es que el dinero con que se paga viene de la Unión Europea, por lo cual debe quedar sujeto a sus controles.
Actualmente, Dars Telecom, está domiciliada en Ps. Pintor Rosales Nº 44 Piso 3 Pta. D (28008), siendo sus administradores José Sánchez García Román y Michele Tomba, y su capital social 4.808,0 euros. Entre los directivos de Dars Telecom destacan Michele Tombа y Alberto Chiappino, ambos mencionados en la filtración de WikiLeaks, debido a su conexión con la trama de espionaje de la firma italiana Hacking Team a favor de Berlusconi. Esta última había sido contratada por el CNI para espiar teléfonos móviles y ha sido proveedor de la Ertzaintza. En los datos de WikiLeaks figura también que el socio local de Hacking Team es Galea Electricuna, empresa vasca manejada por la familia responsable de la obra del edificio del Archivo Histórico del Nacionalismo de Artea.
Por el rastreo efectuado, presentó cuentas anuales y se actualizó semanas antes de que se les adjudicase a dedo el segundo contrato.
Digamos solo eso de entrada; cualquier pequeño empresario y autónomo, firmaría que se le diese un contrato en estas condiciones; negociado sin publicidad y de 5.000.000.- a una empresa de 4.808,- euros de Capital social, radicada en una vivienda, y cuyos administradores no son nada conocidos, tampoco en el mundo informático. Y además se paga con dinero de la Unión, saltándose las garantías de publicación europeas. Tampoco se especifica qué avales de garantía se han pedido.
En el documento 4 (11) se observa que no se habían presentado cuentas anuales después del 2018, pero no es cierto, Dars Telecom se actualizó semanas antes de que se le adjudicara el segundo contrato. Pero aún así, ¿qué hace Dars Telecom, S.L., cuando no cumple con ese sustancioso y privilegiado contrato? ¿Cómo y con qué capital social puede responder a tan enormes compromisos económicos?
G) Adenda Europea
Según Reuters, la Unión Europea encontró pruebas de que los teléfonos inteligentes utilizados por algunos de sus funcionarios fueron comprometidos por el software de espionaje de una empresa israelí, al acceder a un documento oficial de la Comisión.
En una carta enviada el 25 de julio a la legisladora europea Sophie in ‘t Veld, el Comisario de Justicia de la UE, Didier Reynders, dijo que Apple le había dicho en 2021 que sus teléfonos iPhone posiblemente habían sido vulnerados utilizando Pegasus, una herramienta desarrollada y vendida a clientes gubernamentales por la empresa de vigilancia israelí NSO Group.
1) Pegasus y todos los demás sistemas aquí citados, ha Incumplido y sigue incumpliendo, la legislación europea de protección de datos. Los datos los sigue teniendo en su poder, sin control, una empresa privada de fuera de la UE. Pueden pedirse responsabilidades tanto al fondo de Capital riesgo NOVALPINA como a OSY Technologies o GUARDIAN SPAIN HOMELAND SECURITY
2) Pegasus ha espiado ilegalmente a eurodiputados que tienen INMUNIDAD parlamentaria y los datos los posee sin control, una empresa privada fuera de la UE, vinculada al Mossad.
3) Pegasus ha espiado abogados que tienen INMUNIDAD del TJUE y los datos los tiene en su poder, una empresa privada fuera de la UE vinculada al Mossad.
4) Y no vale decir que es un asunto interno español. La legislación de protección de datos es de la UE y la Comisión es la responsable.
5) Todos los datos policiales y antiterroristas, a partir de la DIRECTIVA (UE) 2016/680 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, son responsabilidad europea, debiendo estar alojados o en Eu-Lisa o en Europol, instituciones ante las que los afectados pueden ejercer sus derechos de acceso. Es decir España no puede recabar datos de carácter de seguridad sin comunicarlos a estas instituciones, quienes realizan el control de calidad.
De ello que las funciones de investigación policial a alto nivel, vayan pasando a Europol, y que se prodiguen sentencias del TJUE que anulan la firmeza de numerosas sentencias nacionales (12).
Finalmente España ha olvidado que las competencias para decir quién puede ser considerado terrorista y quién no, ya no son suyas. Esto es a partir de la DIRECTIVA (UE) 2017/541 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 15 de marzo de 2017, relativa a la lucha contra el terrorismo, que nos dice qué acciones son consideradas terrorismo y qué características deben cumplir los grupos terroristas. Y el independentismo pacífico, no cumple con los requisitos.
El subdirector ejecutivo de la Europol, Jean-Philippe Lecouffe, en su intervención en el comité de la Eurocámara que investiga el uso de Pegasus en la UE, ha manifestado que ésta nada sabía del uso de estos programas por parte de los estados. Lecouffe ha confirmado que por ahora no han pedido a ningún país que investigue el espionaje con el software desarrollado por NSO, aunque el nuevo reglamento da a la agencia la iniciativa para pedir investigaciones a los estados, que después son los que tienen que decidir si las hacen o no. Según el director ejecutivo de la Europol, todavía están «evaluando» si pedir investigaciones a los estados donde se ha espiado con Pegasus.
El 24 de Mayo la Comisión Europea, envió cartas a Hungría, Polonia, España y Grecia para que diese cuentas del uso de Pegasus, y España no ha contestado aún. Todo así NSO tiene actualmente contactos con 12 estados de la Unión.
Naciones unidas en boca de su Alta Comisionada en funciones para los Derechos Humanos, Nada Al-Nashif. “Las tecnologías digitales aportan enormes beneficios a las sociedades. Pero la vigilancia omnipresente tiene un alto coste, ya que socava los derechos y frena el desarrollo de democracias dinámicas y plurales“, afirmó la Alta Comisionada en funciones para los Derechos Humanos, Nada Al-Nashif. En resumen, el derecho a la privacidad está más en peligro que nunca”, subrayó y destacó que “por eso es necesario actuar y hacerlo ahora”.
Amnistía Internacional señala que el programa de espionaje se sigue usando ahora mismo para espiar «en países como El Salvador, Israel y los Territorios Palestinos Ocupados, Polonia y España».
H) El ridículo de la AEPD y otros
Todos estamos de acuerdo en que el CNI está blindado a las investigaciones de la Agencia Española de Protección de Datos, y ciertamente, sobre esos 18 «controlados» que reconoce el CNI, no se puede investigar las interioridades del procedimiento. Pero, ¿qué ocurre con todos los demás?. En lo que a ellos se refiere, es responsabilidad de la Directora de la Agencia Española de Protección de Datos, la Sra. Mar España, proceder al pronto esclarecimiento de quiénes les ha espiado, porque todos ellos, los hasta ahora más de setenta, han sido «controlados» y su intimidad vulnerada y agredida sin control judicial. Y no es que no conociera el tema, ya en 2019 la Asociación Apedánica denunció ante este órgano los hechos que ya se conocían, remitiendo ésta a la Directora de la Agencia de Protección de Datos de Irlanda el marrón del que ahora quiere evadirse de nuevo. Evadirse a pesar que el supervisor europeo de Protección de Datos ha sido muy claro respecto al tema. Y no olvidemos que para cada uno de los espiados, se reenvió un “dossier” a los israelitas.
Por parte del Gobierno del Estado de Andorra, e independientemente del procedimiento judicial que se sigue por la actuación de la policía patriótica, la Agencia de Protección de datos Andorrana ha abierto sendos – procedimientos por el tema del espionaje.
Está bien que se reconozca que el CNI dispone del software Pegasus desde 2016, ya que fue adquirido bajo el mandato de Rajoy, teniendo a Maria Dolores de Cospedal como Ministra de Defensa. Pero es más importante reconocer que no solo en CNI es el que está dotado de estas herramientas. El CNI debe poder espiar, es necesario que el Estado disponga de un servicio de inteligencia que funcione bien para garantizar el orden constitucional. Nadie lo discute.
Espiar para garantizar los intereses y el orden constitucional, que no implica un modelo ideológico de estado. Si hay una agencia del gobierno que debe garantizar que los ciudadanos puedan, libremente, cambiar la constitución cuando lo consideren oportuno, o incluso ejercer el derecho a separarse del estado si mayoritariamente así se desea, es precisamente el CNI. Y proteger la privacidad de todos, incluso de los espiados, es misión de la Agencia de Protección de Datos. Y en este caso también se ha fallado; muy posiblemente porque la AEPD ha actuado como una sucursal del CNI.
En relación con Pegasus, que hasta sabemos ya el importe de la “factura” por espiar al Presidente Aragonés, y con el material que se ha aportado en este informe, solo nos queda claro que ni los mismos responsables funcionales, en el CNI, la Guardia Civil o la Policía Nacional, controlan lo que pasa, y sobretodo no controlan ni castigan las conductas desviadas, que no pueden ni tan siquiera enderezar. Y es que los miembros y cuerpos de seguridad del estado están, incluso el CNI ,obligados por el artículo 5 de la Ley Orgánica que los regula (13). Y dice cosas muy diferentes a lo que hemos descubierto.
Hemos olvidado que los servicios policiales y los de información tienen por obligación garantizar los derechos de todos los ciudadanos españoles, incluso los de los espiados. Si las peticiones de autorización judicial han sido 18 y el número de lo realmente efectuado parece que ya supera los 80, hace pensar que el Estado profundo ha actuado más allá de la norma, velando por sus propios intereses, no los de la comunidad.
La prueba del nueve ha sido el espionaje de ministros y del presidente de gobierno, como si fueran agentes extranjeros. Ciertamente Marruecos nos sirve como excusa absolutoria, no es un vecino de fiar; pero si ha llegado donde ha llegado, en caso de que sea él, ha contado con la complicidad por activa o por pasiva de un “deep state” que considera como enemigos a todo aquél que no comulgue con su modelo de estado.
Si en el primer caso es un problema por actuar, en el segundo lo es por no hacerlo (garantizar la seguridad). Las circunstancias de uno y otro caso deben conducir a que los responsables dimitan, y se procese y eche a los funcionarios implicados. Y ahí debe incluirse a los magistrados del Tribunal Supremo que lo avalaron. Y más si la intervención fue entre abogados y sus clientes. Y aún más, si se tiene en cuenta a todos aquellos que por contactar con los espiados han visto como su privacidad ha sido depositada en manos de empresas extranjeras, de estados extranjeros y que nadie garantiza la protección de su intimidad sea utilizada por éstos. No olvidemos que, teniendo en cuenta la lista de personas potencialmente espiadas, estos terceros incluirán, con toda certeza además, a ciudadanos y autoridades europeos y extranjeros.
Todo ello solo es muestra de que algunos se consideran por encima de la ley.
Esto es tanto más grave porque el art. 11 de la Carta de los Derechos Fundamentales de los ciudadanos de la Unión Europea, carta que han firmado TODOS los estados que conforman la Unión dice:
1.- Toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad de opinión y la libertad de recibir o comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras.
Lógicamente las policías no tendrían de tener acceso ni utilizar estos programas, porque al permitir la monitorización completa del móvil o ordenador, pueden añadir, alterar o eliminar fotos, videos, mensajes y rastros de las llamadas.
Con casos como Predator o Pegasus, el problema del espionaje y las escuchas se ha vuelto más complejo. Las policías tiene un ámbito de actuación estatal, pero se ha espiado los móviles de personas residentes en otros países, de organizaciones no residentes en los países agresores.
En Bruselas ha explotado ya el caso de simples sindicalistas o estudiantes latinoamericanos y brasileños espiados por sus gobiernos siendo residentes en la Unión Europea, y también de funcionarios y trabajadores de la Comisión espiados impunemente por grandes multinacionales. Y aquí es donde entra en vigor el Art. 11 de la Carta de los Derechos Fundamentales de los ciudadanos de la Unión. Es decir, se usan dichos programas para vulnerar los derechos a la privacidad y las comunicaciones reconocidos también por otras jurisdicciones, además de los tratados firmados por el país.
Y finalmente mencionar que tanto Predator como Pegasus son licencias de empresas israelitas, que necesitan la autorización de su Ministerio de Defensa para vender las cesiones de uso de dichos programas, cesiones de uso que comportan que toda la información recaudada, junto con todos los datos personales obtenidos, quede en manos de Israel, quien puede utilizarlos sin control alguno.
Vergonzosamente, ninguna autoridad de control estatal o agencia europea ha establecido procedimiento de investigación solvente sobre dicho problema, a pesar de que los datos de los afectados, ciudadanos europeos o residentes en Europa, han llegado a manos de terceros países sin control. De ello que la propia Naciones Unidas ha llegado a poner el grito en el cielo y afirmar que estos programas se utilizan para perseguir disidentes y periodistas, en lugar de ser utilizados para perseguir terroristas y grandes delincuentes.
I) El nuevo Pegasus llamado Predator
Hay un nuevo programa y es de la empresa Cytrox. Esta empresa menos conocida que NSO apareció en una investigación conjunta encabezada por Citizen Lab, con sede en Canadá, pero también por Meta (Facebook).
Cytrox comenzó como una startup de Macedonia del Norte, pero los documentos revisados y aportados por Citizen Lab sugieren que tiene presencia en Israel y Hungría. Su descripción en Crunchbase dice que proporciona a los «gobiernos una solución cibernética operativa», bastante vaga. Según los informes, la compañía es parte de Intexella (14), una alianza que quiere sustituir al Grupo NSO. Cytrox es una empresa de seguridad con sede en Macedonia del Norte e Israel. Su fundador es Tal Dillian (15), y es conocido por estar involucrado con una serie de operaciones que proporcionan software de vigilancia.
Cytrox ofrece su propio programa rival de Pegasus llamado Predator que espía en el teléfono de la víctima. La firma también ofrece algunos productos específicos para Esfinge, una empresa de ciberespionaje dirigida a personas ubicadas en Egipto y países vecinos, en un acuerdo entre Israel y régímenes autoritarios como las monarquías del Golfo o el propio Marruecos. Predator ha sido utilizado por el Gobierno de Grecia para espiar a la oposición del Pasok.
La investigación realizada por Citizen Lab empezó al encontrar a dos ciudadanos egipcios que eran el objetivo de Predator: Ayman Nour, el líder de un partido de oposición en el país, y un periodista, exilado ahora, que era un presentador de un programa de noticias popular. Más allá de Whatsapp, la puerta de entrada habitual de Pegasus, Predator utiliza para infectarse cualquier red social, como Facebook o LinkedIn. En particular, el software espía funciona tanto en Android como en iOS; pero los objetivos fueron pirateados, en particular, por un error presente en iOS 14.6 en junio de 2021. Además, supuestamente vendió el acceso a cuatro fallos de seguridad de día cero en el navegador Chrome, así como uno en el sistema operativo Android. Sus clientes eran “actores de amenazas” vinculados al gobierno en varios países extranjeros, que utilizaron los exploits para realizar campañas de piratería con el spyware invasivo. Google también ha elaborado herramientas para controlar los agujeros de seguridad descubiertos y vendidos en la Dark Web. Los analistas de Google detectaron tres campañas de infección en agosto, septiembre y octubre de ese año en España, con la misma estrategia, pero técnicas ligeramente diferentes. Con el objetivo de espiar, se enviaban correos electrónicos que invitaban a la víctima a clicar un enlace que descargaba, sin que se diera cuenta, el malware para infectar el teléfono.
Por que sí, los que fabrican estos programas están en connivencia con los que dicen perseguir. Son los principales clientes de estos delincuentes. Todo así, se continúan prefiriendo enlaces de aspecto inofensivo en WhatsApp; estos requieren un solo clic para activar el software espía en cuestión.
Nour sospechó que había sido víctima de un ataque de software espía cuando notó que su teléfono se estaba calentando demasiado. Además, la investigación reveló que su teléfono fue atacado tanto por Predator como por Pegasus. Como en Pegasus, el enlace real va a un dominio similar falso al que se clica.
Uno de los aspectos más importantes del software espía es que puede sobrevivir al reinicio de un iPhone, un proceso que puede borrar la mayor parte del software espía de su memoria.
En la carga útil de Android, los investigadores encontraron varias referencias a componentes de grabación de audio que pueden registrar sus conversaciones. También enumeraron los gobiernos que podrían ser clientes de Cytrox:
Armenia, Egipto, Grecia, Indonesia, Madagascar, Omán, Arabia Saudita y Serbia en un primer momento.
Meta publicó meses más tarde, un nuevo informe sobre operaciones de pirateo por contrato. La compañía aseveró haber eliminado 300 cuentas relacionadas con Cytrox de Facebook e Instagram. Google también ha informado que Predator ha sido utilizado en España (16).
En sus investigaciones, la red social señaló que Cytrox usó una red de dominios «para falsificar entidades de noticias legítimas en los países de su interés e imitar servicios legítimos de redes sociales y acortamiento de URL». Meta también bloqueó las cuentas de otras seis entidades de piratería informática con sede en EE. UU., India, Israel y China.
Amnistía Internacional, una organización centrada en los derechos humanos, dijo que está dispuesta a ayudar cualquier activista que crea que ha sido un objetivo. También publicó una biblioteca de GitHub de indicadores que podrían ayudar a los investigadores a encontrar el software espía Predator en los teléfonos. El detector de Amnistía Internacional ha sido utilizado por el propio CNI para detectar infecciones.
Además de los sistemas Pegasus y Predator, existen muchos otros programas spyware con las mismas ventajas. Está, por ejemplo, Reign, de la empresa israelí QuaDream, rival de NSO Group y cuya existencia se reveló sorpresivamente al mismo tiempo que Pegasus, durante el año 2021. QuaDream es una empresa israelí más pequeña y menos conocida que NSO, su competidor, pero que también desarrolla herramientas de piratería de teléfonos inteligentes para clientes gubernamentales.
El año pasado, Reign desarrolló la misma capacidad para acceder de forma remota a los iPhone de Apple, sin que el propietario tenga que abrir un enlace malicioso. Se llama ‘cero-clic’ y fue utilizado por ambas compañías a través del mismo esquema: ‘ForcedEntry’, considerado como ‘uno de los técnicamente más sofisticados jamás detectado por investigadores de seguridad.
Predator siguió a Pegasus, y éste, a su vez, será sustituido por otro. Y siempre será así, mientras haya dinero oscuro y desviado para pagar la obsesión de control (17) dejando de lado la deontología profesional de los funcionarios intervinentes. El descontrol de las escuchas se soluciona con la intervención estricta y pública de los fondos dedicados a las Fuerzas y Cuerpos de Seguridad del Estado y sanciones ejemplares.
Para finalizar este punto, es conocido que la UPM tiene conexiones directas con el Centro Nacional de Inteligencia CNI y especialmente con su Centro Criptológico Nacional CCN, como puede comprobarse muy fácilmente en el dominio de Internet www.ccn.cni.es. También es un hecho que la UPM recibe grandes cantidades de dinero como resultado de gestiones ante la Unión Europea para proyectos extremadamente sensibles. Íñigo Méndez de Vigo, tanto como ministro de Educación como anteriormente en la Secretaría de Estado para la Unión Europea, así como la Consejería de Educación y la Cámara de Cuentas de la Comunidad de Madrid, o el Tribunal de Cuentas (en el que están documentadas muy diversas corruptelas en la UPM), pueden informar de las cuantías invertidas y gastadas en ciertos proyectos europeos, entre los que participó y se financió la trama SGAE en la Politécnica Empresas de Microgénesis vivían de la institución pública.
Existen Agrupaciones Europeas de Interés Económico AEIE participadas por la UPM que posibilitan todo y más sin, al parecer, control alguno, en los que empresas controladas por funcionarios y cargos de dirección de la UPM se han beneficiado desde hace tiempo, entre los que destace el Programa Iberoamericano de Ciencia y Tecnología para el Desarrollo (CYTED).
Las relaciones de la Universidad Politécnica de Madrid UPM, con el CNI, ha escapado de los procedimientos de transparencia y probablemente ése sea muy distinto a otros convenios del CNI, porque no aparece en donde se mencionan los demás, y también es probable que la UPM haya dado un trato muy diferenciado al CNI respecto a cualquier otra institución. Al menos, cabe hacer sobre ese convenio las siguientes preguntas:
¿Para qué se ha utilizado ese convenio que pueda beneficiar personalmente a funcionarios de la UPM?
¿Cuánto han cobrado del CNI las empresas ilegales de funcionarios públicos como la SICAV del vicerrector de Relaciones Internacionales de la UPM, por cierto, catedrático en la ETSI deTelecomunicación, u otras empresas administradas por funcionarios de la UPM uotras entidades como asociaciones o alguna AIE-AEIE?
J) El problema probatorio
De la experiencia que tenemos en el caso del periodista Ignacio Cembero, se puede acreditar que te han espiado, pero muy difícilmente quién te ha metido “el bicho” en el teléfono, y de eso se aprovecha el “deep state”. Estos casos acaban, con gran satisfacción de los agresores, sin condena posible.
1) Una vez analizada la parte más mediática del tema, éste presenta diversos temas probatorios de suma importancia.
En primer lugar, adjuntamos el link del programa Pegasus decompilado, así como su recompilación que encontramos en GitHub por si interesa hackear el mismo.
2) En segundo lugar, las herramientas de análisis rápido que se han realizado, dan en los teléfonos de APPLE falsos positivos y problemas con los navegadores. Es preciso, pues, para que tengan valor judicial lo hallado en el teléfono, que se genere una férrea cadena de custodia por un perito habilitado, y ésta se certifique por una institución independiente o un canal de denuncias de la Directiva 2019/1937.
3) Se presenta finalmente como Documento n.º 5 informe técnico sobre la actuación y afectados acreditados del programa Pegasus y su gemelo “CANDIRU” a fecha 15 de abril (18). Y de Documento n.º 6 copia de la Querella firmada por G. Boye por dichos espionajes (19).
Sin embargo existen otros programas que se tiene la certeza de que han sido utilizados además del sistema de escuchas SITEL, que sería el oficial, el nombre de Sprinter ya salió a la luz en octubre de 2017 a raíz de una denuncia que presentó el ex-jefe de Asuntos Internos de la Policía, Marcelino Martín Blas, en el marco de la investigación por la grabación y difusión de un encuentro entre agentes del CNI y de la mencionada unidad por la operación contra el pequeño “Nicolás“. La defensa de este comisario aportó entonces documentación, que apuntaría a que el entonces director adjunto Eugenio Pino, y su jefe de Gabinete, José Ángel Fuentes Gago, habrían tenido contactos con Matan Caspi, dueño de Rayzone Group, creador de Sprinter, para su adquisición. Un hecho que no se ha seguido por la vía judicial. Este empresario es un personaje “clave“, ya que, según la prensa de Israel, habría colaborado con los desarrolladores de Pegasus para su venta a gobiernos extranjeros.
La estructura policial y de seguridad europea la podemos encontrar en este dictamen, dedicado a la asunción de competencias de seguridad pública por Europa. Finalmente recordar la recentísima sentencia del Tribunal de Justicia de la Unión Europea de 5 de abril de 2022 donde pone freno, precisamente a esa obsesión de recaudación eterna de datos por parte de los estados en la Sentencia en el asunto C-140/20, donde El Tribunal de Justicia confirma que el Derecho de la Unión se opone a una conservación generalizada e indiferenciada de los datos de tráfico, y de localización en el sector de las comunicaciones electrónicas con fines de lucha contra la delincuencia grave. Es por ello que se estima que es altamente recomendable que, siendo como es, unas competencias transferidas totalmente a la Unión Europea las de, tanto la gestión y control de los datos personales, como la de los datos personales recaudados por las administraciones para temas de seguridad, como las de la lucha contra el terrorismo y las bandas organizadas, existiese una agencia única europea para proceder a tramitar y efectuar las intervenciones telefónicas. Y la creación y funcionamiento de programas espías europeos que no obliguen a que empresas extranjeras manipulen datos de los europeos.
Este camino ya ha sido puesto en marcha el con la aprobación por parte del Parlamento Europeo en Mayo de 2022, validando el acuerdo con la Comisión para dar ese poder a Europol.
Y es que no estamos delante de un problema de independentistas si o no, estamos delante de que no todo vale, puesto que han sido seguidos, según fuentes de Amnistía Internacional, activistas y periodistas, nada cómplices del independentismo catalán y ahora, por simpatía hasta el Presidente de Gobierno o la Ministra de Defensa.
________________________________________________________________________________
(1) Con el agravante que comporta de “ficha previa” como “sospechoso” para que “pique”,
recopilación y cesión incontrolada de datos de la que no tiene conocimiento.
(2) Candiru es un software gemelo a Pegasus, però pensado para ordenadores.
(3) Todo así, por informaciones recibidas, pero sin fehaciencia, estaríamos por la compra de tres paquetes de Pegasus y tres paquetes de Candiru de cincuenta licencias cada paquete. Mediante el pago de 50.000 €uros, NSO cambiaba el destinatario del ataque. No sería pues descabellado afirmar que el número de infectados se situaría sobre los 1.000 atacados directos por cada uno de dichos programas, a los que habría de sumarse los contactos de los atacados y el Big Data que se aprovecha de los más de diez programas de intervención de telecomunicaciones diferentes que se han adquirido.
(4) Correos de referencia extractados de wikileaks y Hackhing team
(5) Pliego técnico de SILC donde se indica al final que está financiado por los presupuestos de la UE, y por tanto queda sujeto a la Directiva 2019/1937 de protección a los denunciantes del derecho de la Unión.
(6) «Verint Security Intelligence Solutions ayuda a los gobiernos y empresas de todo el mundo con el objetivo de proteger a personas o bienes y, de este modo, neutralizar el terrorismo y la delincuencia. Nuestras soluciones generan a través de Actionable Intelligence ™ análisis de voz, vídeo y texto no estructurado».
(7)Vídeo de 1 minuto explicando que es RAMON
(8) Tiene diez veces más videos en Youtube el artesano «SPS» que fabrica pistolas customizadas en Ripollet (Barcelona)
(10) Carpeta con el concurso de adjudicación de RAMON
(11) Seguimiento Registro Mercantil de Dars Telecom, S.L. como Documento nº 4
(12) Sentencias C-600/19 y C-569/20.
(13) Artículo quinto.
Son principios básicos de actuación de los miembros de las Fuerzas y Cuerpos de Seguridad los siguientes:
1.- Adecuación al ordenamiento jurídico, especialmente:
a) Ejercer su función con absoluto respeto a la Constitución y al resto del ordenamiento jurídico.
b) Actuar, en el cumplimiento de sus funciones, con absoluta neutralidad política e imparcialidad y, en consecuencia, sin discriminación alguna por razón de raza, religión u opinión.
c) Actuar con integridad y dignidad. En particular, deberán abstenerse de todo acto de corrupción y oponerse a él resueltamente.
d) Sujetarse en su actuación profesional, a los principios de jerarquía y subordinación. En ningún caso, la obediencia debida podrá amparar órdenes que entrañen la ejecución de actos que manifiestamente constituyan delito o sean contrarios a la Constitución o a las Leyes.
e) Colaborar con la Administración de Justicia y auxiliarla en los términos establecidos en la Ley.
2.- Relaciones con la comunidad. Singularmente:
a) Impedir, en el ejercicio de su actuación profesional, cualquier práctica abusiva, arbitraria o discriminatoria que entrañe violencia física o moral.
b) Observar en todo momento un trato correcto y esmerado en sus relaciones con los ciudadanos, a quienes procurarán auxiliar y proteger, siempre que las circunstancias lo aconsejen o fueren requeridos para ello. En todas sus intervenciones, proporcionarán información cumplida, y tan amplia como sea posible, sobre las causas y finalidad de las mismas.
c) En el ejercicio de sus funciones deberán actuar con la decisión necesaria, y sin demora cuando de ello dependa evitar un daño grave, inmediato e irreparable; rigiéndose al hacerlo por los principios de congruencia, oportunidad y proporcionalidad en la utilización de los medios a su alcance.
d) Solamente deberán utilizar las armas en las situaciones en que exista un riesgo racionalmente grave para su vida, su integridad física o las de terceras personas, o en aquellas circunstancias que puedan suponer un grave riesgo para la seguridad ciudadana y de conformidad con los principios a que se refiere el apartado anterior.
3.- Tratamiento de detenidos, especialmente:
a) Los miembros de las Fuerzas y Cuerpos de Seguridad deberán identificarse debidamente como tales en el momento de efectuar una detención.
b) Velarán por la vida e integridad física de las personas a quienes detuvieren o que se encuentren bajo su custodia y respetarán el honor y la dignidad de las personas.
c) Darán cumplimiento y observarán con la debida diligencia los trámites, plazos y requisitos exigidos por el ordenamiento jurídico, cuando se proceda a la detención de una persona.
4.- Dedicación profesional.
Deberán llevar a cabo sus funciones con total dedicación, debiendo intervenir siempre, en cualquier tiempo y lugar, se hallaren o no de servicio, en defensa de la Ley y de la seguridad ciudadana.
5.- Secreto profesional.
Deberán guardar riguroso secreto respecto a todas las informaciones que conozcan por razón o con ocasión del desempeño de sus funciones. No estarán obligados a revelar las fuentes de información salvo que el ejercicio de sus funciones o las disposiciones de la Ley les impongan actuar de otra manera.
6.- Responsabilidad.
Son responsables personal y directamente por los actos que en su actuación profesional llevaren a cabo, infringiendo o vulnerando las normas legales, así como las reglamentarias que rijan su profesión y los principios enunciados anteriormente, sin perjuicio de la responsabilidad patrimonial que pueda corresponder a las Administraciones Públicas por las mismas.
(14) https://intellexa.com/
(15) Ex militar y millonario israelí
(16) Curiosamente, fue publicar que en España se había utilizado Predator, que la AEPD le impuso la mayor multa hasta el momento.
(17) El modelo español es bien parecido a la Stassi alemana, nacida del cruce de la KGB y de la Gestapo, https://es.wikipedia.org/wiki/Stasi La Gestapo, es preciso recordarlo también nació en una sociedad que se llamaba a sí misma «plenamente democrática».
(18) Documento 5 sobre la actuación y afectados acreditados a 15 de abril de 2022
(19) Querella de G. Boye.
Firmado en Barcelona y Madrid a 6 de septiembre de 2022
Josep Jover Padró
https://jover.pro/es/about/
PRESIDENTE DE ASPERTIC
2 comentarios