PEGASUS, l’herència d’un règim autoritari
Al nostre país, parlar de Pegasus és sinònim d’estupidesa referent als serveis d’intel·ligència, encara que en aquest cas ens preguntem si tractar-los d’intel·ligents és excessiu. Pegasus és, sense cap dubte, el potiner resultat de mantenir una cúpula policial hereva cultural del feixisme, de la qual molts països del tercer món se sentirien avergonyits.
Seguidament publiquem íntegrament l’Informe Pegasus, realitzat per l’Associació Mediterrània de Perits de les TIC “ASPERTIC”, de la qual el nostre company Josep Jover és el seu president.
EL PROBLEMA DE PEGASUS I ALTRES PROGRAMES ESPIA
A) Pegasus
El programari Pegasus no és més que la constatació empírica de la desconfiança que demostren els actors estatals per implementar i estendre la feina de casa d’intel·ligència al domini cibernètic, fins i tot a risc de compartir la informació obtinguda amb actors privats patrocinats per estats estrangers els objectius dels quals es desconeixen. Però també, i aquesta és una de les conclusions que podem treure, la desconfiança d’elits funcionarials i extractives contra els propis polítics i contra les seves pròpies elits competidores. A Espanya s’identifiquen clarament quatre, que són en aquest ordre, el CNI, la Guàrdia Civil, la Policia Nacional i el lobby dels grans bancs i empreses. I les víctimes, poques són terroristes i autors de delinqüència greu; les víctimes són activistes, periodistes i adversaris polítics, adversaris entre els quals es compten també els propis membres del govern i l’oposició.
Pegasus és un malware/*spyware creat per la companyia israeliana NSO Group Technologies, dedicada a la creació de programari d’intrusió i monitoratge, i que és venut de manera “legal” als estats com una eina destinada a combatre el terrorisme i el crim organitzat. No obstant això, tal com s’ha demostrat a través dels diferents escàndols d’espionatge estatal que ha protagonitzat –i que han transcendit al públic–, les víctimes potencials de Pegasus no es limiten únicament al món de l’hampa o de terroristes acreditats; aquests són, precisament, els menys.
La forma d’infecció mitjançant Pegasus és relativament simple, una vegada seleccionada la víctima per part de l’emissor, (amb el que l’estat d’Israel i la meitat de les empreses d’intel·ligència del món saben que és un “subjecte d’interès” ( 1), aquest envia un missatge amb un enllaç infecciós camuflat en un contingut aparentment legítim, el qual permet descarregar de manera inadvertida el programari maliciós una vegada que la víctima accedeix a aquest.
Des d’aquest moment, el spyware permet al comprador i usuari de Pegasus recopilar la informació emmagatzemada en el dispositiu i monitorar de manera constant l’activitat del terminal, ja que, donat el seu caràcter modular el malware permet a l’atacant adquirir un control total del dispositiu, permetent-li llegir missatges, accedir als seus comptes personals, conèixer les contrasenyes emprades, activar les càmeres i el micròfon del dispositiu, etc. O dit d’una altra manera, Pegasus permet tenir un accés total a la intimitat digital de la víctima i el seu entorn, mitjançant la recopilació i actualització d’una quantitat ingent de dades.
Pegasus és un programa propietat de NSO GROUP
Galgalei ha-Plada St 22,
Herzliya, Israel
Tel +972-774341292
https://www.nsogroup.com/
1 – Pegasus no està dissenyat com un sistema d’escolta telefònic sinó com una arma que ataca, en aquest cas, als terminals telefònics en la seva integritat, permetent no sols l’accés a les comunicacions de l’afectat sinó a tot el contingut del seu telèfon, així com al conjunt de l’entorn d’aquest terminal (i del subjecte espiat) mitjançant la possibilitat d’activar el micròfon i la càmera de l’aparell afectat, podent gravar tot el que succeeix en el seu entorn; també pot introduir, extreure i modificar (incriminar mitjançant proves falses) aquells arxius que es continguin en la memòria de l’aparell en qüestió. El manual de funcionament de Pegasus es pot trobar en: https://ia801005.us.archive.org/1/items/nso-pegasus/nso-pegasus.pdf
D’això que la primera idea que podem extreure confirma la primera evidència, que és que, judicialment, NO ÉS VALGUDA cap prova que hagi estat obtinguda d’un mòbil que hagi estat atacat per PEGASUS, ni de cap mòbil o ordinador que hagi pogut estar vinculat, ni que sigui aleatòriament, amb un telèfon que hagi estat infectat per Pegasus. Qualsevol sistema que hagi connectat a un equip infectat per Pegasus o el seu homònim per a ordinadors Candiru o el que sembla que serà la moda d’aquesta temporada, la marca novetat de 2022, Sourgum, que és susceptible de comprometre a tercers. Els tres noms pertanyen a empreses cibermercenaries israelianes. De Predator parlarem més tard.
En l’específic cas de Pegasus, s’ha desenvolupat un programa de detecció i identificació que qualsevol es pot descarregar i que trobarem en: https://github.com/mvt-project/mvt.
Si no es tenen suficients coneixements, existeixen diverses empreses i botigues que saben com fer-ho. Com a dada curiosa, existeix una cadena de botigues de nom “la botiga de l’espia”, amb seu en les principals capitals espanyoles, que a més et fan un certificat, si han trobat traces.
Pegasus permet fer el que la llei contempla com a diferents mesures de recerca, totes elles revestides de la necessitat d’autorització judicial individualitzada, i sotmeses, entre altres, al principi de necessitat que, a l’ésser un espionatge massiu, mai es compliria, ni tan sols acudint al frau de llei de demanar les autoritzacions una a una.
D’això que:
2 – Tant Pegasus com Candiru (2) no són operats per funcionaris espanyols sinó per empleats d’una empresa privada estrangera i, encara que només sigui per això, mai podrien ser escoltes (en aquest cas espionatge) legals conforme al dret espanyol.
D’altra banda, el resultat de l’espionatge ni tan sols seria de l’exclusiva titularitat del client, sinó que l’empresa prestadora del servei, NSO, ja que ens centrem en Pegasus, es quedaria amb una còpia del resultat de l’espionatge pel que, a més i per aquesta via, també s’estaria incomplint la legalitat.
El programari espia Pegasus està classificat pel govern d’Israel, com els altres, com una arma per Israel i qualsevol exportació de la tecnologia ha de ser aprovada pel govern.
Dit l’anterior, algunes estructures han aconseguit tenir un servidor propi de Pegasus, i sembla que la Guàrdia Civil té un. El preu i la quantitat d’informació a recaptar són els factors determinants. I precisament el blanqueig del pagament passaria a ser un dels indicadors de compra que acaben sortint a superfície, mostrant on s’està utilitzant i per qui.
3 – D’entrada, s’ha comès una il·legalitat prèvia: lliurar les dades, subjectes a protecció, de dades personals dels titulars dels terminals afectats. S’ha tractat d’un trasllat massiu de dades d’unes bases europees, a una empresa extra comunitària, amb el que això representa en matèria de protecció de dades, delictes recollits en els Arts. 197 a 200 del Codi Penal, que certament els qui han contractat Pegasus han comès.
4 – A més, han estat espiats tant aforats (que gaudeixen d’immunitat) com a advocats, Andreu Van den Eynde, Josep Costa o Gonzalo Boye. Durant el període de temps en què van ser espiats comptaven amb les immunitats que reconeixen l’article 44.2 del Reglament de Procediment del Tribunal de Justícia de la Unió Europea (TJUE) i el 53.2 del Reglament de Procediment del Tribunal General de la Unió Europea (TGUE).
5 – Però és important dir aquí, que l’espionatge no se centra només en els “punxats”. Aquell que ha contactat amb un “punxat”, ha estat espiat, i les seves dades, imatge, veu i textos recopilats i manipulats per aquestes empreses israelites, podent haver cedit les seves dades a tercers països i empreses, sense capacitat de cap control.
6 – El Suprem ja ha dit que a ells no els consta que autoritzessin tantes escoltes irregulars, encara que un magistrat del Tribunal Suprem SÍ QUE és el que ha d’autoritzar actualment aquestes escoltes per al CNI. El seu nom és Pablo Lucas, i mancant ell, Andrés Martínez Arrieta. En cas d’haver-se produït a través d’ell, seria responsable dels anteriors delictes. Aquí és on ha de dir-se que aquest i només aquest és el camí que pot utilitzar el CNI o els serveis antiterroristes.
Les policies o Guàrdia Civil o l’Audiència Nacional NO PODEN UTILITZAR PEGASUS, perquè no és un sistema d’escoltes (3). Fer-lo, invalidaria els resultats de la recerca, i els qui la demanessin o intervinguessin cometrien diversos delictes. D’això, que el govern d’Israel, davant el que podríem qualificar d’allau de peticions de llicències, va demanar aclariments sobre qui tènia que comprar Pegasus; si la Policia Nacional o la Guàrdia Civil a més del CNI, al no caure en què la Guàrdia Civil és un cos militar policial.
7 – El plantejament d’estratègia dels independentistes el trobem en: https://www.vilaweb.cat/noticies/catalangate-querelles-nso-cni-pegasus/.
No parlem de res diferent del que no es publiqui en la premsa. Les escoltes ho són només amb animo de perjudicar personalment, el que es busca és assabentar-se d’accions que puguin suposar eines d’extorsió o de calúmnia. Poder sobre els ciutadans “rebels”.
8 – La filosofia i qui està darrere de Pegasus està descrit en: https://www.lavanguardia.com/tecnologia/20220420/8207201/esta-detras-nso-group-empresa-creadora-pegasus.html
Podem dir que Pegasus és d’una empresa israeliana vinculada directament al Mossad, com Cytrox o Emtam, de la qual a baix efectuem una anàlisi de per on podria venir el pagament de la factura de les escoltes i intervencions.
9 – NSO és una empresa israeliana, si bé amb alguna conductes i dades curioses, volent donar la imatge de “honorabilitat”, com pot ser el fer una declaració de suport als “whistleblowers” (4), drets humans (5), transparència (6) o responsabilitat social (7); documents on podem trobar frases demolidores i farisaiques com “Help governments protect innocents from terror and crime by providing them with the best intelligence technology of its kind”.
Si bé NSO té un procediment de compliance, que apareix en el seu web, obligatori per a poder treballar en els procediments anglosaxons, NSO passa i prescindeix de qualsevol mena d’ètica, fins i tot enfront de demandes d’Amnistia Internacional i grups ciutadans semblants (8) on veiem, en la pròpia web, com per part dels demandants es demana a diversos jutjats que cessi la seva activitat per haver estat el seu sistema utilitzat per a detectar, geoposicionar i executar activistes.
10 – El fons de capital de risc «Europeu» Novalpina Capital, va comprar una participació majoritària en NSO al febrer de 2019. NovalPina té seu a Luxemburg i està subjecte a les normes de la Unió Europea.
https://www.haaretz.com/israel-news/business/.premium-*israeli-*cyberattack-*firm-*nso-*bought-*back-*by-*founders-*at-*1b-*company-*value-1.6937457
NOVALPINA CAPITAL MANAGEMENT INTERNATIONAL LLP (OC417109)
15 Boulevard Friedrich Wilhelm Raiffeisen,
Grand Duchy Of Luxembourg, Luxembourg, L-2411
11 – Si bé el gran partícip de NSO és Novalpina, NSO, com a grup té així mateix una empresa subsidiària amb la qual opera a Europa, que és la seva imatge pública dins de la Unió, és:
OSY Technologies SARL
2 Rue Edward Steichen
Luxembourg
https://littlesis.org/org/371797-osy_technologies_sarl
Treballa amb Credit Suisse AG, Cayman Islands Branch, facturant 265.000.000 USD des de Novembre de 2014.
12 – En aquest moment té NSO una macrodemanda d’APPLE que, sumats a tots els problemes que han anat caient, ha fet dimitir al seu director.
https://hipertextual.com/2022/01/*nso-*group-els-creadors-del-*spyware-*pegasus-es-queden-sense-director
WhatsApp també ha interposat una altra demanda contra NSO Group als Estats Units, per usar el seu sistema per a atacar als espiats.
Com a maniobra defensiva, NSO Group ha presentat recentment demanda de fallida de l’empresa. Una altra cosa és que l’estat israelià sigui responsable, al mateix temps que el gran beneficiat de Pegasus, Predator, Candiru i Sourgum.
13 – Realment estem davant d’un “deja vu” perquè idèntic problema es va suscitar a Panamà per la compra del govern Martinelli del programa Pegasus i la seva utilització i els beneficis que del mateix va obtenir Israel a través de NSO. Exactament el mateix problema s’ha detectat a Xile, l’Argentina o amb caps d’estat europeu, com Emmanuel Macron.
https://www.laestrella.com.pa/nacional/220201/220131-the-new-york-times-revela-detallescompra-pegasus-martinelli
https://www.prensa.com/impresa/panorama/martinelli-pegasus-a-cambio-de-votos-en-la-onu/https://www.prensa.com/politica/martinelli-habria-comprado-pegasus-a-cambio-de-votos-a-favor-de-israel-en-la-onu-segun-the-new-york-times/
https://interferencia.cl/articulos/prensa-internacional-revela-espionaje-con-software-pegasus-dirigentes-sociales-politicos-y
https://www.pagina12.com.ar/356092-pegasus-espionaje-global-a-jefes-de-estado
https://www.laestrella.com.pa/nacional/220201/expresidente-varela-niega-haber-participado-compra-pegasus
En fi, una empresa “farisaica” i aprofitada a mesura d’uns “estats”, empreses i elits amb els seus mateixos valors.
La pregunta que no podem deixar-nos de fer és si temes com el reconeixement la sobirania del Marroc sobre el Sàhara occidental, ha estat fruit d’un xantatge del Marroc, ara que el regne Alahuita és soci preferent d’Israel i els Estats Units.
14 – Dins del “deja vu” ens trobem que el tema de Pegasus i Espanya estan units en els Leaks de les accions més fosques de la nostra democràcia. Apareixen les accions dels serveis secrets espanyols usant Pegasus en Wikileaks i Hacking Team. Al malmès Assange se li ha acusat de tot, menys de mentir.
Les gestions de compra i lideratge de l’operació se l’emporta un responsable el nom en clau del qual és “don Aquiles”, del qual hem parlat ja alguna vegada https://diario16.com/quien-es-don-aquiles/ , usant una empresa pantalla del CNI, “areatec” i “Cenyt” (9), l’administrador contínua del qual sent el famosíssim comissari Villarejo o Beloso Baker & associats (10), s.l. on és partícip. Aquestes empreses pantalles és una altra de les maneres d’obtenir extraordinaris guanys, en “b” principalment, amb la cobertura de l’Estat, tenint com a clients a partits, bancs i grans empreses. I mitjançant aquestes empreses s’efectuava un control de togues que ha estat molt efectiu durant anys. I és que el codi deontològic del CNI és el propi d’un servei d’intel·ligència o policia predemocràtics (11).
S’aporta de Document núm. 1 (12) la relació de correus extrets de les citades bases de dades, on salin relacionats també ínclits personatges com Villarejo.
Name : Jason Statan
Email: jose.villarejo@cenyt.com
Address: ÉS;Spain;ESP;Madrid;Hiszpania;Madryd
Phone: 652910492
(1) Amb l’agreujant que comporta de “fitxa prèvia” com a “sospitós” perquè “piqui”, recopilació i cessió incontrolada de dades de la qual no té coneixement.
(2) Candiru és un programari bessó a Pegasus, però pensat per a ordinadors.
(3) Tot així, per informacions rebudes, però sense fefaciència, estaríem per la compra de tres paquets de Pegasus i tres paquets de Candiru de cinquanta llicències cada paquet. Mitjançant el pagament de 50.000 €, NSO canviava el destinatari de l’atac. No seria doncs forassenyat afirmar que el número d’infectats se situaria sobre els 1.000 atacats directes per cadascun d’aquests programes, als quals hauria de sumar-se els contactes dels atacats i el Big Data que s’aprofita dels més de deu programes d’intervenció de telecomunicacions diferents que s’han adquirit.
(4) https://www.nsogroup.com/wp-content/uploads/2019/09/external-whistleblowing-policy_september19.pdf
(5) https://www.nsogroup.com/wp-content/uploads/2019/09/nso-human-rights-policy_september19.pdf
(6) https://www.nsogroup.com/wp-content/uploads/2019/09/transparency-statement-of-principles_september19.pdf
(7) https://www.nsogroup.com/wp-content/uploads/2021/06/reportbooklet.pdf
(8) https://www.nsogroup.com/wp-content/uploads/2019/09/ph-opinion-6-sep19-1.pdf
(9) https://drive.google.com/file/d/1wk1ql6bjg1f2gcblx-srcohrxatdk9_m/view?usp=sharing
(10) https://drive.google.com/file/d/1f97643jlzml5aheftvrgjdzfnlrq-vk8/view?usp=sharing
(11) https://drive.google.com/file/d/1h6pzunnpxy1hyu4u3j6ki_ezv5qrb4dv/view?usp=sharing
(12) Correus de referència extractats de wikileaks i Hackhing team
https://drive.google.com/file/d/17paczlkuyy_g7lvhuecedkqghjd_0wf6/view?usp=sharing
B) No existeix una única compra de Pegasus sinó, almenys, tres paquets de llicències.
De les pròpies declaracions dels implicats, i de la documentació a la qual hem accedit, es pot afirmar que ens trobem amb tres fonts ben diferenciades d’utilització de Pegasus.
La primera font, el gestor de la qual és l’únic que legítimament podria tenir-ho, és el Ministeri de Defensa, de qui depèn el CNI. El procediment, és l’indicat més amunt, només ells poden usar Pegasus a través d’una autorització del corresponent magistrat del Tribunal Suprem. Ells i només ells. I aquestes intervencions, i només aquestes, són les que, en cas necessari han d’explicar-se en la Comissió de Secrets Oficials.
Les intervencions que sembla que ha efectuat d’una banda la Guàrdia Civil, i per l’altre la Policia Nacional, senzillament són una extralimitació, i consegüentment anul·la qualsevol procediment als quals s’aportin aquestes informacions o actuacions, corresponent-se a un delicte d’intervenció de les comunicacions per part dels funcionaris que intervinguin en elles. És a dir, Policia i Guàrdia Civil, no poden usar, en cap concepte, Pegasus o Candiru. És una prerrogativa exclusiva dels serveis d’intel·ligència, del Ministeri de Defensa, en cas de tenir-la.
I no obstant això “eppur si muove”, com ens diria Galileu. Si per alguna cosa s’ha caracteritzat el “deep state” policial, amb les seves policies patriòtiques i els seus militars salvadors d’Espanya, és a considerar als poders democràtics uns enemics. A resultes d’aquesta realitat, des de sempre, uns cossos i altres s’han controlat entre si, i tots ells, als polítics sortits de les urnes. D’això que no puguem descartar que part de les intervencions recentment denunciades, les víctimes de les quals són altíssims càrrecs del govern no corresponguessin a “foc amic”. Aquest últim punt, haurà de ser investigat i s’arribarà a una solució, si als israelians els interessa explicar-ho. Així és de veure en l’article: https://www.moncloa.com/2022/05/06/caso-nicolay-agentes-cni-espionaje/ en referència a un cas en el qual eren els propis agents del CNI els espiats per la Policia Nacional, lògicament sense manament judicial. El cas NICOLAY confirma la compra d’aquesta tecnologia, o molt semblant molt semblant als israelians, els qui després utilitzen els coneixements adquirits en el seu interès.
Prova que tant la Policia Nacional com la Guàrdia Civil tenen sistemes d’escolta autònoms i diferents de SITEL (13), la trobem en una doble licitació (21M149 i 21M148) per a Subministrament d’una ampliació de la plataforma d’emmagatzematge que presta servei als sistemes d’intercepció legal de les telecomunicacions i conservació de dades de la Direcció General de la Guàrdia Civil. (Secretaria d’Estat de Seguretat. Mº de l’Interior)
https://contrataciondelestado.és/wps/portal/!*ut/p/*b0/04_*Sj9CPykssy0xPLMnMz0vMAfIjU1JTC3Iy87KtUlJLEnNyUuNzMpMzSxKTgQr0w_*Wj9KMyU1zLcvQjS_*zSvI3CVQ3cstz8M129isKCCnPyKx1tbfULcnMdAbTDW7s!/
i una idèntica per a la Policia Nacional. Cadascun d’ells per la mateixa quantitat de 2.479.338,84 €
(14). És tant més curiós quant que encara s’estava complint el contracte de subministrament de subministrament de plataformes d’emmagatzematge, entre altres béns adquirits, per valor de 800.000.000 d’Euros
https://contrataciondelestado.es/wps/portal/!ut/p/*b0/04_*Sj9CPykssy0xPLMnMz0vMAfIjU1J
TC3Iy87KtUlJLEnNyUuNzMpMzSxKTgQr0w_*Wj9KMyU1zLcvQjC02DwzKNnbTzfb0jAsM
Mwl3NcyIDym1t9Qtycx0B31MAzA!!/
(13) https://mpr21.info/la-policia-tiene-un-sistema-de-control/
(14) Sense aprofundir, un dels adjudicataris és NEMEX, amb fortes vinculacions en xinesa tant en productes com en personal
https://www.linkedin.com/in/liangjing-sun-a433b29/
C) SILC, que ningú coneix però que és clavadet a PEGASUS
El sistema oficial d’escoltes a Espanya es diu SITEL. SITEL és un sistema d’escoltes telefòniques del Ministeri d’Interior d’Espanya utilitzat per la Policia Nacional i la Guàrdia Civil que comparteix els equips electrònics amb el Centre Nacional d’Intel·ligència. Aquest sistema inclouria tant les crides, com SMS, Fax, així com les metadades d’aquestes comunicacions, com poden ser del geoposicionament.
En 2007, el desenvolupament del sistema va ser encarregat a la companyia danesa ETI A/S per 9.825.975€. i en aquests moments ens ve a costar uns 15 milions d’euros a l’any, que venen en els pressupostos generals de l’Estat.
El procés legal d’intercepció es duu a terme a partir de la sol·licitud que un agent de Policia Judicial, en el curs de la recerca d’un delicte greu, realitza al Jutjat d’Instrucció de Guàrdia, la sol·licitud ha d’estar motivada i explicar les raons de la sol·licitud d’intercepció.
El Jutge d’Instrucció examina la sol·licitud i si la troba ajustada a dret procedeix a l’obertura de diligències prèvies i dins d’aquestes acorda per Acte motivat la intercepció sol·licitada. Aquest Acte és escanejat per l’Agent sol·licitant i, en el cas de la Guàrdia Civil, a través de la intranet corporativa accedeix al sistema ‘GAITA’ pel qual transmet la sol·licitud i la còpia escanejada de l’Acte a la central on es troba l’agent facultat. Aquest, revisa la base de dades ‘GAITA’ i reenvia a la companyia operadora, a través d’un canal segur administratiu les dades de la intercepció adjuntant la còpia de l’Acte.
La persona legalment autoritzada de la companyia operadora examina la petició i procedeix a efectuar físicament la intercepció i a comunicar, pel canal administratiu, a l’agent facultat que la intercepció està realitzada. Però es va estimar que, amb l’adveniment de les grans multinacionals de les comunicacions i les xarxes socials (Whatsapp, Telegram, Zoom, Facebook, Twitter, Linked-*in i serveis de valor afegit de Amazon o Google) seria necessari una mica més potent. I per a això es va crear SILC ja en 2008. La “plataforma SILC”, s’encarrega que el monitoratge inclogui, a més de les tradicionals anomenades, les que es realitzen mitjançant aplicacions de missatgeria instantània com WhatsApp, Telegram o Signal. De document núm. 2 aporto plec tècnic de SILC (15).
La gran diferència és que NO és un sistema per a infectar mòbils ni té a veure amb Pegasus. És un sistema d’anàlisi de trafico d’internet i xarxes de telefonia mòbil. És a dir, des de fora i sense tocar els dispositius. Aquesta característica, com s’ha indicat anteriorment, és d’extrema rellevància quan, dins de la legalitat, s’estan recollint proves per a aportar posteriorment a un procediment judicial. És també un analitzador de trànsit per a veure per on està navegant un sospitós com per exemple gent que busca pornografia amb menors en internet. Actualment, també recull SMS per la simple raó que els sms no surten per la xarxa mòbil, si no per la xarxa de dades per a estalviar-li costos a l’operadora.
Però sembla ser que per a la Guàrdia Civil ni SITEL ni SILC són suficients i planeja adquirir en exclusiva un sistema de monitoratge de xarxes mòbils, i per a això va a dediqueu més d’un milió d’euros, segons es pot llegir en:
https://www.elconfidencialdigital.com/articulo/seguridad/maxima-reserva-guardia-civil-nuevo-sistema-monitorizacion-redes-moviles/20211025174309293859.html
Però vegem, primer de tot, com és la suma genèrica que ens costa als espanyols.
Finalment, tant el Centro Criptológico Nacional, com el Ministeri de l’interior tenen una consolidada relació amb el grup EXCEM (16), El tema és, de nou, que no és EXCEM, sinó EXCEM-*VERINT (17), multinacional israeliana especialitzada en intercepció de comunicacions (18).
I és que cada dia ens ve la notícia d’una nova compra d’eines per a espiar i interceptar comunicacions (19), Per a espiar, sembla que la xecera és inesgotable.
L’última notícia que tenim és una altra adjudicació directa a l’empresa anglesa Bae Systems Applied Intelligence A/S, d’un programa d’intercepció de comunicacions anomenat Evident X-Stream, que a més té la fama de ser bastant dolent (20). Perquè per aquest programa hem pagat 11.434.500,00 €. I no és que sigui dolent, és que no fa coses diferents a les de productes que ja s’han adquirit.
Parlem perquè, sent conservadors, d’una inversió a espiar al veí de més d’un centenar de milions d’Euros, del que es pot explicar; aquí faltaria la part de fons de rèptils i fons opacs utilitzats. I és que aquí som així.
La veritat és que si algú es presenta als serveis d’intel·ligència espanyols amb un sabatòfon, i afirma que això espia, li ho compren sense mirar res més. Per dolent que sigui. Es compra tot el que sali, sense mesura i amb la convicció que ningú demanarà comptes.
(15) Plec tècnic de SILC on s’indica al final que és finançat pels pressupostos de la UE, i per tant queda subjecte a la Directiva 2019/1937 de protecció als denunciants del dret de la Unió.
https://drive.google.com/file/d/1ydmkzhblqj5faqzv4v_mxkaxkbehx8gu/view?usp=sharing
(16) https://www.boe.es/boe/dias/2014/07/25/pdfs/boe-b-2014-26821.pdf
(17) https://www.ccn-cert.cni.es/xiijornadas-ultima-hora/6939-excem-y-verint-se-unen-a-las-xii-jornadas-ccn-cert-como-patrocinador-gold.html
(18) https://cryptome.org/isp-spy/verint-spy.pdf
(19) https://www.moncloa.com/2022/05/09/interior-software-espionaje-millones/
(20) https://www.internautas.org/print/9088.html
D) Els maletins de Verint, la relació ve des de lluny.
La primera vegada que en seu parlamentària es va parlar de Verint, va ser, com no, per a denunciar espionatge il·legal del “Deep State” espanyol en una pregunta del Diputat Sr. Ricardo Sixto Iglesias del grup EUPV -Els Verds el 29 d’abril de 2014 (21). No obstant això, les eines d’intervenció de comunicacions, com a complement ideal de SILC venen des de l’inici de SITEL. A més existeix constància que aquestes eines van ser també adquirides per multinacionals i grans empreses i també companyies de seguretat (22-23). I és que, realment, estan totes les empreses privades dedicades a l’espionatge, tallades pel mateix patró; la tecnología de Verint, així com la de NSO estan donant suport a les violacions de drets humans en tota latinoamérica (24).
Resulta que Verint, d’altra banda, també és coneguda per col·locar “backdoors” (o portes posteriors, en l’argot informàtic) en el seu programari (senzillament espionatge) i també per crear virus. Tant és així, que el virus Stuxnet va ser dissenyat per aquesta empresa per a ser usat pel Mossad contra el projecte d’energia nuclear pacífic de l’Iran. Un acte de sabotatge terrorista (un altre més d’Israel) que violava clarament el dret internacional, segons experts jurídics independents.
I hi ha qui va més lluny i assenyala a aquesta empresa israeliana com les creadora de les falses crides que es van realitzar el 11S per “passatgers” dels avions “segrestats” als seus “familiars” i que després van ser utilitzades pels conspiradors per a fer més creïble el segrest dels falsos terroristes. Referent a això només cal llegir quin tipus de tecnologia ofereix Verint en la seva pàgina d’Internet: “Verint Security Intelligence Solutions help government and commercial organizations around the globe protect people and property and neutralize terror and crime. Our solutions generate Actionable Intelligence™ through the analysis of voice, vídeo, and unstructured text” (25).
I Com a anotació final assenyalar que aquesta empresa del Mossad, Verint, també es va fer càrrec de la seguretat del Metre de València un any abans d’ocórrer l’accident que va ocasionar la mort de 43 persones, fet ocorregut en 2006. La dada de Verint està totalment confirmat i és accessible (26).
Amb això no vull afirmar res, solament caldria preguntar-se si aquesta seguretat de Verint aconseguia tant al control de viatgers com als sistemes de seguretat pròpia dels trens del Metre.
Els sistema Verint haurien estat desplegats en les manifestacions per a identificar i individualitzar als manifestants, són desplegats encara que lògicament es va negar per part de la policia a preguntes de l’anterior diputada i actual presidenta Sra. Meritxell Batet (27).
Finalment no hem d’oblidar a Mollitiam Industries (28): el Pegasus espanyol (29), desenvolupat amb diners públics espanyols i que competeix en tots els aspectes, fins i tot els morals, amb Verint o NSO.
L’empresa espanyola Mollitiam Industries és un dels 20 depredadors digitals de la llibertat de premsa de la llista publicada per Reporters sense Fronteres (RSF), que l’acusa d’haver venut els seus programes de vigilància a l’exèrcit colombià que els va utilitzar per a pràctiques d’espionatge il·legals. RSF, que presenta aquesta llista en ocasió del Dia Mundial de Lluita contra la Cíbercensura el 12 de març, inclou a Mollitiam dins d’una categoria d’empreses autores de pràctiques d’espionatge i de vigilància.
(25) «Verint Security Intelligence Solutions ajuda als governs i empreses de tot el món amb l’objectiu de protegir persones o béns i, d’aquesta manera, neutralitzar el terrorisme i la delinqüència. Les nostres solucions generen a través de Actionable Intelligence ™ anàlisis de veu, vídeo i text no estructurat»
(26) https://en.globes.co.il/en/article-1000022331
(27) https://www.infolibre.es/politica/interior-niega-tecnologia-realizar-escuchas-masivas-manifestaciones_1_1103161.html https://www.europapress.es/nacional/noticia-interior-niega-tener-tecnologia-realizar-escuchas-masivas-manifestaciones-20140713111344.html
(28) https://www.mollitiamindustries.com/
(29) https://www.elsaltodiario.com/espionaje/mollitiam-industries-pegasus-espanol-depreda-libertad-prensa-colombia-medra-dinero-publico
https://www.lavanguardia.com/politica/20200311/474086914489/la-espanola-mollitiam-en-la-lista-de-depredadores-de-la-prensa-de-rsf.html
E) El pagament del Catalangate – RAMON
Ens quedaria saber com van pagar als israelites, d’una forma total o parcial. I per a això hem fet el seguiment d’alguns contractes fora del normal que vincularien empreses israelites similars a NSO Group o que tinguessin objectius semblants.
De tots els contractes i licitacions analitzats, es dedueix que un dels casos més probables sigui el concurs i adjudicació d’una compra d’unes pistoles de la marca RAMON (30) a Israel.
1 – Ramon és una pistola absolutament desconeguda en internet no hi ha ressenyes d’aquesta arma anteriors a la data a la compra per la guàrdia civil, tret que va ser comprada, segons diu la premsa espanyola (31), que parla de la mateixa entre grans elogis, una partida de 1.700 per la policia tailandesa, cosa que res indica, més que va ser pagada aquesta partida per un dels països més repressors d’orient i que usa programes espia per a controlar a la seva població. I no consta, encara que es blanquegi per la premsa espanyola, que l’exèrcit o la policia israeliana hagi comprat quantitats ni tan sols significatives d’aquesta arma.
2 – Tampoc és una arma coneguda en Youtube. Hi ha molt pocs vídeos, cosa que és absolutament il·lògica; fent una cerca profunda s’han trobat quatre, un dels quals és anterior a la compra, sent d’un senyor disparant un pre-projecte de l’arma, d’un any abans; dos vídeos referits a la compra, sent un d’ells d’un guàrdia civil posant l’arma a brou, i un tercer d’un entrenador de Paraguai, un any posterior, és a dir 2022. No hi ha més vídeos. Només aquests quatre vídeos enfront de centenars o milers de les altres marques, fins i tot les més petites, on consten anàlisis, muntatge i desarmament, comparatives o presentacions en els centenars de fires, concursos i congressos, que per tot el món se celebren (32).
La policia i l’exèrcit israelià usen les pistoles Glock 17 i 19 o la IWI Jericho 941 com a dotació oficial.
3 – Quant a l’anàlisi externa de l’arma, sembla una falsificació d’una Glock 19 a la qual li han modificat l’empunyadura i afegit algun detall estètic; aquesta costumització és cosa que pot efectuar qualsevol artesà o un dels petits tallers, dels centenars que cal preparen i individualitzen armes.
Per si no fos prou, les 6000 pistoles amb les seves fundes, es permet que siguin lliurades a futur fins al 2023 a raó de dos mil cada any. Pel que haurien d’estar distribuïdes, en aquest moment, almenys, dos mil. Aquesta condició acceptada per a un cos de 75.000 agents, que usen tots Beretta, diu molt poc sobre la capacitat de fabricació i magatzematge del fabricant.
4 – Si la valoració en el concurs estava trencant la barrera de la baixa temerària, aquesta s’assegura en afegir la cartutxera gratis, valorada en uns 80 Euros, la més barata, a cada pistola, més dos carregadors i equip de neteja. I això sense comptar la nul·la experiència del producte presentat i que no hem vist en cap costat que porti la marca E d’importacions a la Unió Europea.
5 – Un altre tema és que sent una arma nova , presumptament diferent a les habituals que havia contractat la Guàrdia Civil, (Glock, Beretta, HK) no es tingui en compte la formació deguda als mestres armers i el seu corresponent estoc de peces de recanvi. El mateix que els instructors de tir. Són fets que reafirmen que estem davant de la falsificació o una costumització d’una Glock, no apareixent la marca en cap rànquing de proveïdors reconeguts d’armes a policies o exèrcits (33).
6 – De la pròpia informació que ha ofert l’empresa en els mitjans i en el seu web, en part de la publicitat que s’ha llegit, es justifica el nom de Ramon pel primer astronauta israelià Ilan Ramon mort en l’accident del transbordador Challenger, però d’altra banda es fa també mitjançant una referència a l’antic testament.
7 – Tant la pistola Ramón com Pegasus són considerats armes pel Ministeri del Defensa israelià; sent armes les dues, podem dir que depenen de la mateixa administració i departament autoritzar i controlar la venda a tercers.
8 – Ramón és produïda per EMTAN KARMIEL LTD ©
P O B 273, Postal Code 2192202, Karmiel, Israel
Tel: +972-4-9987531 Fax: +972-4-9988981
info@emtan.co.il
Pel que es dedueix del seu web, té una llicència de fabricació/costumització del fusell d’assalt M16 i de la carabina M4. No acredita, en canvi, tenir una llicència de patents de Glock o d’alguna altra fàbrica dels quals ha copiat mecanismes i assegurança.
https://www.emtan.co.il/about.html
https://www.emtan.co.il/images/pdf/emtan—-ramon_cat_24082020.pdf
La delegació a Espanya de Emtam és l’empresa:
GUARDIAN SPAIN HOMELAND SECURITY
SANT ENRIC, 20 28020 MADRID, SPAIN.
Telf 911 852 861
Fax 911 852 862
info@guardianspain.com
www.guardianspain.com
Pertanyent al grup GUARDIAN HÒLDINGS LTD
29, Hacarmel Street Zur Igaal 44862 Israel
00 972 39778538
00 972 543369624
Ilan@guardianspain.com
www.guardianspain.com
Guardian Spain Homeland descriu en el seu web quatre especialitats:
A) Productes militars i policials:
Assegura que està inscrita en Nat (Namsa), en el Ministeri de Defensa i té llicència d’exportació del Ministeri de defensa d’Israel
B) Bombers i Unitats d’Emergència:
Inclou el sistema Camero de visió a través de les parets
C) Formació en combat i eines d’Intel·ligència
Cursos de tir i combat en zones d’alt risc.
Cursos de protecció de persones, seguiments i contra-vigilància.
Cursos de Combat en zona urbana i entrada a immobles.
Curs de protecció de vaixells en zones d’alt risc.
Cursos de defensa personal (Krav Maga).
Cursos d’informació i intel·ligència.
Recopilació d’informació.
Seguiment per als vianants i motoritzat.
Observacions i Vigilància.
Descobriment de seguiments i contra-vigilància.
Contes de cobertura.
Interrogatori telefònic.
Creació de contactes i fonts d’informació.
Tecnologia i ocultació Àudio i Vídeo.
Serralleria.
Identificació de rostres.
D) Seguretat i intel·ligència
Maquinari i programari per a la mateixa
Poc podem afegir que l’activitat s’acosta més a l’activitat d’intel·ligència que a la importació, i sobretot manteniment d’armes curtes.
9 – Per la informació del concurs recollida en:
https://www.elmundo.es/tecnologia/gadgets/2021/07/28/60fff68321efa0b2688b467d.html
i
https://www.infodefensa.com/texto-diario/mostrar/3111056/guardia-civil-adquiere-pistola-ramon-israeli-emtan
Podem dir que el concurs públic llançat pel cos per a la compra “d’un mínim de 6.000 pistoles semiautomàtiques, calibre 9mm. Parabellum per a dotar a personal de diverses Unitats de la Guàrdia Civil”, s’havia pressupostat en 2,99 milions d’euros (34).
No obstant això, l’empresa Israeliana va aconseguir fer-se amb el contracte gràcies a la presentació d’una oferta per 1,95 milions d’euros, un terç per sota del pressupostat per l’Estat, segons consta en el procés de licitació regalant a més les cartutxeres. Es tracta del preu més baix pel qual mai s’han venut aquestes pistoles ja que, segons la pròpia documentació remesa per l’empresa israeliana, ja va vendre 1.700 pistoles Ramon a la Policia Tailandesa, però sense incloure les pistoleres de seguretat antirobatori, que en el mercat minorista costen entre 65 i 85 euros per unitat.
L’arma pot equipar-se de manera opcional amb un compensador i un silenciador. Així mateix, pot equipar-se amb dos tipus de gallets: un estàndard i un d’acció ràpida que s’acciona en exercir una pressió menor. En resum unes característiques gens policials per a una marca que va sorgir del no-res, sense historial i amb una baixa temerària.
De ser aquest el pagament indirecte a NSO a través d’aquest concurs de sis mil pistoles, no sols ens trobaríem davant d’un concurs amb baixa temerària, sinó davant d’una falsedat en document públic, i una adjudicació delictiva.
A la vista de les últimes declaracions del ministre portaveu, en la sens dubte, maniobra evasiva (35) el pagament que podria suposar el tema de les pistoles RAMON, podria bé resultar, pel temps, un pagament a l’acuseta, a qui espia o al “facilitador”; i, de tota manera, activitat delictiva.
(30) Vídeo d’1 minut explicant que és RAMON https://youtu.be/eutn9sxsjek
(31) https://www.elmundo.es/tecnologia/gadgets/2021/07/28/60fff68321efa0b2688b467d.html
(32) Té deu vegades més vídeos en Youtube l’artesà «SPS» que fabrica pistoles costumitzades a Ripollet (Barcelona) https://www.youtube.com/results?search_query=sps+pistol
(33) https://www.youtube.com/watch?v=2li5j8x0fe8
(34) Carpeta amb el concurs d’adjudicació de RAMON
https://drive.google.com/drive/folders/15j7wveu3ydl5-oclkdblzf2fmt4tjepu?usp=sharing
(35) https://www.lavanguardia.com/politica/20220502/8236884/moncloa-anuncia-presidente-sanchez-ministra-robles-han-sido-espiados-pegasus.html
F) El pagament del Catalangate – SILC
Si sorprenent és el cas de les pistoles RAMON, més sorprenent encara és el cas de les adjudicacions de la plataforma SILC. Analitzarem els dos últims concursos coneguts, els importants, els de 2018 i 2021 i deixarem de costat altres concursos menors. El primer de 5.148.000 € i el segon de 5.000.000 €, en total DEU MILIONS CENT QUARANTA-VUIT MIL EUROS, més l’IVA corresponent.
El concurs de 2018:
https://contrataciondelestado.es/wps/portal/!ut/p/*b0/04_*Sj9CPykssy0xPLMnMz0vMAfIjU1JTC3Iy87KtUlJLEnNyUuNzMpMzSxKTgQr0w_Wj9KMyU1zLcvQjTTyjKkL9jcp9CiOdAoKcKqJM8rxUDdJtbfULcnMdARJ_*Gy0!/
El concurs de 2021:
https://contrataciondelestado.es/wps/wcm/connect/7a4bda8a-3d6d-45f9-b6197141f1793c23/doc_can_adj2021-189835.pdf?mod=ajperes
Veiem que els dos contractes són contractes de la classe “negociats sense publicitat” on es “convida” privadament i s’adjudica, SENSE MÉS, a l’empresa DARS TELECOM, S.l. el programari de la plataforma SILC36. A més, a diferència del procediment de la Guàrdia Civil que formalment és escrupolós, en aquesta s’ha omès, qualsevol altra cosa que no sigui l’acord d’adjudicació. Però la sorpresa apareix de nou quan s’accedeix a la pàgina web d’aquesta societat, pàgina que no compleix amb cap normativa sobre internet, cookies o protecció de dades. No dona cap informació sobre l’empresa, com la que podria donar una empresa d’informàtica qualsevol. Ni tan sols l’adreça física que inicialment va ser la de Av. del Cardenal Herrera Oria, 383, 28035 Madrid 911 73 11 10 i el seu web és: http://www.dars.es/# . Però el que sí que sabem, és que els diners amb què es paga ve de la UNIÓ EUROPEA. I per tant ha de quedar subjecte als seus controls.
Actualment, Dars Telecom, està domiciliada en Ps Pintor Rosers Núm. 44 Pis 3 Pta. D (28008), sent els seus administradors José Sánchez García Román i Michele Tomba, i la seva capital social 4.808,0 euros.
Pel rastreig efectuat, va presentar comptes anuals i es va actualitzar setmanes abans que se’ls adjudiqués el segon contracte.
Diguem només això d’entrada; qualsevol petit empresari i autònom, signaria que se’ls donés un contracte és aquestes condicions; negociat sense publicitat de 5.000.000.- a una empresa de 4808,- euros de Capital social, radicada en un habitatge, i els administradors del qual no són gens coneguts, tampoc en el món informàtic. I a més es paga amb diners de la Unió, saltant-se les garanties de publicació europees. Tampoc s’especifica quins avals de garantia s’han demanat. En el document 4 (37) s’observa que no s’havien presentat comptes anuals després del 2018, però no és cert, Dars Telecom es va actualitzar setmanes abans que se li adjudiqués el segon contracte. Però encara així, què fa Dars Telecom, S.L., quan no compleix amb aquest substanciós i privilegiat contracte? Com i amb quina capital social pot respondre a tan enormes compromisos econòmics?
(36) https://elpais.com/politica/2018/11/12/actualidad/1542049645_525466.html
(37) Seguiment Registre Mercantil de Dars Telecom, S.L. com a Document núm. 4
https://drive.google.com/file/d/1ox9hmkxx3j5fzpidx8rfy0fhgpvgnefj/view?usp=sharing
G) Agenda Europea
1 – Pegasus i tots els altres sistemes aquí citats, ha Incomplert i continua incomplint, la legislació europea de protecció de dades. Les dades els continua tenint en el seu poder, sense control, una empresa privada de fora de la UE. Poden demanar-se responsabilitats tant al fons de Capital de risc NOVALPINA com a OSY Technologies o GUARDIAN SPAIN HOMELAND SECURITY
2 – Pegasus ha espiat il·legalment a eurodiputats que tenen IMMUNITAT parlamentària i les dades els posseeix sense control, una empresa privada fos de la UE, vinculada al Mossad.
3 – Pegasus ha espiat advocats que tenen IMMUNITAT del TJUE i les dades els té en el seu poder, una empresa privada fos de la UE vinculada al Mossad.
4 – I no val dir que és un assumpte intern espanyol. La legislació de protecció de dades és de la UE i la Comissió és la responsable.
5 – Totes les dades policials i antiterroristes, a partir de la DIRECTIVA (UE) 2016/680 DEL PARLAMENT EUROPEU I DEL CONSELL de 27 d’abril de 2016 relativa a la protecció de les persones físiques pel que fa al tractament de dades personals per part de les autoritats competents per a fins de prevenció, recerca, detecció o enjudiciament d’infraccions penals o d’execució de sancions penals, i a la lliure circulació d’aquestes dades, les dades de caràcter policial, són responsabilitat europea, havent d’estar allotjats o en Eu-Lisa o en Europol, institucions davant les quals els afectats poden exercir els seus drets d’accés. És a dir Espanya no pot recaptar dades de caràcter de seguretat sense comunicar-los a aquestes institucions, els qui realitzen el control de qualitat.
D’això que les funcions de recerca policial a alt nivell, vagin passant a Europol (38), i que es prodiguin sentències del TJUE que anul·len la fermesa de nombroses sentències nacionals (39).
Finalment Espanya ha oblidat que les competències per a dir qui pot ser considerat terrorista i qui no, ja no són seves. Això és a partir de la DIRECTIVA (UE) 2017/541 DEL PARLAMENT EUROPEU I DEL CONSELL de 15 de març de 2017 relativa a la lluita contra el terrorisme, que ens diu quines accions són considerades terrorisme i quines característiques han de complir els grups terroristes. I l’independentisme pacífic, no compleix amb els requisits.
(38) https://diario16.com/golpe-a-la-corrupcion-europol-podra-iniciar-investigaciones-de-caracter-nacional/
(39) https://curia.europa.eu/jcms/upload/docs/application/pdf/2022-05/cp220089es.pdf
i
https://curia.europa.eu/jcms/upload/docs/application/pdf/2022-05/cp220085es.pdf
H) El ridícul de l’AEPD i altres
Tots estem d’acord que el CNI està blindat a les recerques de l’Agència Espanyola de Protecció de Dades, i certament, sobre aquests 18 «controlats» que reconeix el CNI no es pot investigar les interioritats del procediment. Però, què ocorre amb tots els altres?. En el que a ells es refereix, De tots ells és responsabilitat de la Directora de l’Agència Espanyola de Protecció de Dades, la Sra. Mar España, procedir al ràpid esclariment de qui els ha espiat, perquè tots ells, els fins ara més de setanta, han estat «controlats» i la seva intimitat vulnerada i agredida sense control judicial. I no és que no conegués el tema, ja en 2019 l’Associació Apedánica va denunciar davant aquest òrgan els fets que ja es coneixien, remetent aquesta a la Directora de l’Agència de Protecció de Dades d’Irlanda el marró, marró del qual ara vol evadir-se (40), de nou. Evadir-se a pesar que el supervisor europeu de Protecció de Dades (41) ha estat molt clar respecte al tema. I no oblidem que per a cadascun dels espiats, es va reexpedir un “dossier” als israelites.
Està bé que es reconegui que el CNI disposa del programari Pegasus des de 2016, ja que va ser adquirit sota el mandat de Rajoy, tenint a Maria Dolores de Cospedal com a Ministra de Defensa. Però és més important reconèixer que no sols en CNI és el que està dotat d’aquestes eines. El CNI ha de poder espiar, és necessari que l’Estat disposi d’un servei d’intel·ligència que funcioni bé per a garantir l’ordre constitucional. Ningú el discuteix.
Espiar per a garantir els interessos i l’ordre constitucional, que no implica un model ideològic d’estat. Si hi ha una agència del govern que ha de garantir que els ciutadans puguin, lliurement, canviar la constitució quan ho considerin oportú, o fins i tot exercir el dret a separar-se de l’estat si majoritàriament així es desitja, és precisament el CNI. I protegir la privacitat de tots, fins i tot dels espiats és missió de l’Agència de Protecció de Dades. I en aquest cas també s’ha fallat; molt possiblement perquè l’AEPD ha actuat com una sucursal del CNI.
En relació amb Pegasus i el material que s’ha aportat en aquest informe, només ens queda clar que ni els mateixos responsables funcionals, en el CNI, la Guàrdia Civil o la Policia Nacional controlen el que passa, i sobretot no controlen ni castiguen les conductes desviades, conductes que no poden ni tan sols redreçar. I és que els membres i cossos de seguretat de l’estat estan, fins i tot el CNI, obligats per l’article 5 de la Llei orgànica que els regula (42). I diu coses molt diferents al que hem descobert.
Hem oblidat que els serveis policials i els d’informació tenen per obligació garantir els drets de tots els ciutadans espanyols, fins i tot els dels espiats.
Si les peticions d’autorització judicial han estat 18 i el número del realment efectuat sembla que ja supera els 80 fa pensar que l’Estat profund ha actuat més enllà de la norma, vetllant pels seus propis interessos, no els de la comunitat. La prova del nou ha estat l’espionatge de ministres i del president de govern, com si anessin agents estrangers. Certament el Marroc ens serveix com a excusa absolutòria, no és un veí de fiar; però si ha arribat on ha arribat, en cas que sigui ell, ha comptat amb la complicitat per activa o per passiva d’un “deep state” que considera com a enemics a tot aquell que no combregui amb el seu model d’estat.
Si en el primer cas és un problema per actuar en el segon ho és per no fer-lo (garantir la seguretat). Les circumstàncies d’un i un altre cas han de conduir al fet que els responsables dimiteixin i es processi i tiri als funcionaris implicats. I aquí ha d’incloure’s als magistrats del Tribunal Suprem que el van avalar. I més si la intervenció va ser entre advocats i els seus clients. I encara més, si es té en compte a tots aquells que per contactar amb els espiats han vist com la seva privacitat ha estat dipositada en mans d’empreses estrangeres, d’estats estrangers i que ningú garanteix la protecció de la seva intimitat sigui utilitzada per aquests. No oblidem que, tenint en compte la llista de persones potencialment espiades, aquests tercers inclouran, amb tota certesa, a més, a ciutadans i autoritats europeus i estrangers.
Tot això només és mostra que alguns es consideren per sobre de la llei.
(40) https://www.cita.es/whatsapp-aepd-irlanda.pdf
(41) https://edps.europa.eu/data-protection/our-work/publications/papers/edps-preliminary-remarks-modern-spyware_en
(42) Article cinquè.
Són principis bàsics d’actuació dels membres de les Forces i Cossos de Seguretat els següents:
1. Adequació a l’ordenament jurídic, especialment:
a) Exercir la seva funció amb absolut respecte a la Constitució i a la resta de l’ordenament jurídic.
b) Actuar, en el compliment de les seves funcions, amb absoluta neutralitat política i imparcialitat i, en conseqüència, sense cap discriminació per raó de raça, religió o opinió.
c) Actuar amb integritat i dignitat. En particular, hauran d’abstenir-se de tot acte de corrupció i oposar-se a ell resoltament.
d) Subjectar-se en la seva actuació professional, als principis de jerarquia i subordinació. En cap cas, l’obediència deguda podrà emparar ordres que comportin l’execució d’actes que manifestament constitueixin delicte o siguin contraris a la Constitució o a les Lleis.
e) Col·laborar amb l’Administració de Justícia i auxiliar-la en els termes establerts en la Llei.
2. Relacions amb la comunitat. Singularment:
a) Impedir, en l’exercici de la seva actuació professional, qualsevol pràctica abusiva, arbitrària o discriminatòria que comporti violència física o moral.
b) Observar en tot moment un tracte correcte i acurat en les seves relacions amb els ciutadans, als qui procuraran auxiliar i protegir, sempre que les circumstàncies ho aconsellin o fossin requerits per a això.
En totes les seves intervencions, proporcionaran informació complerta, i tan àmplia com sigui possible, sobre les causes i finalitat d’aquestes.
c) En l’exercici de les seves funcions hauran d’actuar amb la decisió necessària, i sense demora quan d’això depengui evitar un mal greu, immediat i irreparable; regint-se en fer-ho pels principis de congruència, oportunitat i proporcionalitat en la utilització dels mitjans al seu abast.
d) Solament hauran d’utilitzar les armes en les situacions en què existeixi un risc racionalment greu per a la seva vida, la seva integritat física o les de terceres persones, o en aquelles circumstàncies que puguin suposar un greu risc per a la seguretat ciutadana i de conformitat amb els principis a què es refereix l’apartat anterior.
3. Tractament de detinguts, especialment:
a) Els membres de les Forces i Cossos de Seguretat hauran d’identificar-se degudament com a tals en el moment d’efectuar una detenció.
b) Vetllaran per la vida i integritat física de les persones als qui detinguessin o que es trobin sota la seva custòdia i respectaran l’honor i la dignitat de les persones.
c) Donaran compliment i observaran amb la deguda diligència els tràmits, terminis i requisits exigits per l’ordenament jurídic, quan es procedeixi a la detenció d’una persona.
4. Dedicació professional.
Hauran de dur a terme les seves funcions amb total dedicació, havent d’intervenir sempre, en qualsevol temps i lloc, es trobessin o no de servei, en defensa de la Llei i de la seguretat ciutadana.
5. Secret professional.
Hauran de guardar rigorós secret respecte a totes les informacions que coneguin per raó o en ocasió de l’acompliment de les seves funcions. No estaran obligats a revelar les fonts d’informació tret que l’exercici de les seves funcions o les disposicions de la Llei els imposin actuar d’una altra manera.
6. Responsabilitat.
Són responsables personal i directament pels actes que en la seva actuació professional duguessin a terme, infringint o vulnerant les normes legals, així com les reglamentàries que regeixin la seva professió i els principis enunciats anteriorment, sense perjudici de la responsabilitat patrimonial que pugui correspondre a les Administracions Públiques per aquestes.
I) El nou Pegasus anomenat Predator
Hi ha un nou programa i és de l’empresa Cytrox. Aquesta empresa menys coneguda que NSO va aparèixer en una recerca conjunta encapçalada per Citizen Lab, amb seu al Canadà, però també per Meta (Facebook).
Cytrox va començar com una startup de Macedònia del Nord, però els documents revisats i aportats per Citizen Lab suggereixen que té presència a Israel i Hongria. La seva descripció en Crunchbase diu que proporciona als «governs una solució cibernètica operativa», bastant vaga.
Segons els informes, la companyia és part de Intexella (43), una aliança que vol substituir al Grup NSO. Cytrox és una empresa de seguretat amb seu a Macedònia del Nord i Israel. El seu fundador és Tal Dillian (44), i és conegut per estar involucrat amb una sèrie d’operacions que proporcionen programari de vigilància.
Cytrox ofereix el seu propi programa rival de Pegasus anomenat Predator que espia en el telèfon de la víctima. La signatura també ofereix alguns productes específics per a Esfinx, una empresa de ciberespionatge dirigida a persones situades a Egipte i països veïns, en un acord entre Israel i règims autoritaris com les monarquies del Golf o el mateix Marroc.
La recerca realitzada per Citizen Lab va començar en trobar a dos ciutadans egipcis que eren l’objectiu de Predator: Ayman Nour, el líder d’un partit d’oposició al país, i un periodista, exiliat ara, que era un presentador d’un programa de notícies popular. Més enllà de Whatsapp, la porta d’entrada habitual de Pegasus, Predator utilitza per a infectar-se qualsevol xarxa social, com Facebook o LinkedIn.
En particular, el programari espia funciona tant en Android com en iOS. Però els objectius van ser piratejats, en particular, per un error present en iOS 14.6 al juny de 2021. A més, suposadament va vendre l’accés a quatre fallades de seguretat de dia zero en el navegador Chrome, així com un en el sistema operatiu Android (45). Els seus clients eren “actors d’amenaces” vinculats al govern en diversos països estrangers que van utilitzar els exploits per a realitzar campanyes de pirateria amb el spyware invasiu. Google també ha elaborat eines per a controlar els forats de seguretat descoberts i venuts en la Dark Web. Els analistes de Google van detectar tres campanyes d’infecció a l’agost, setembre i octubre d’aquest any a Espanya, amb la mateixa estratègia, però tècniques lleugerament diferents. Amb l’objectiu d’espiar, s’enviaven correus electrònics que convidaven a la víctima a clicar un enllaç que descarregava, sense que s’adonés, el malware per a infectar el telèfon.
Perquè sí, els que fabriquen aquests programes estan de connivència amb els que diuen perseguir. Són els principals clients d’aquests delinqüents.
Tot així, es continuen preferint enllaços d’aspecte inofensiu en WhatsApp; aquests requereixen un sol clic per a activar el programari espia en qüestió.
Nour va sospitar que havia estat víctima d’un atac de programari espia quan va notar que el seu telèfon s’estava escalfant massa. A més, la recerca va revelar que el seu telèfon va ser atacat tant per Predator com per Pegasus. Com en Pegasus, l’enllaç real va a un domini similar fals al que es clica.
Un dels aspectes més importants del programari espia és que pot sobreviure al reinici d’un iPhone, un procés que pot esborrar la major part del programari espia de la seva memòria.
En la càrrega útil d’Android, els investigadors van trobar diverses referències a components d’enregistrament d’àudio que poden registrar les seves converses. També van enumerar els governs que podrien ser clients de Cytrox: Armènia, Egipte, Grècia, Indonèsia, Madagascar, Oman, Aràbia Saudita i Sèrbia en un primer moment.
Meta va publicar mesos més tard (46), un nou informe sobre operacions de piratejo per contracte. La companyia va asseverar haver eliminat 300 comptes relacionats amb Cytrox de Facebook i Instagram. Google també ha informat que Predator ha estat utilitzat a Espanya (47).
En les seves recerques, la xarxa social va assenyalar que Cytrox va usar una xarxa de dominis «per a falsificar entitats de notícies legítimes als països del seu interès i imitar serveis legítims de xarxes socials i escurçament d’URL». Meta també va bloquejar els comptes d’altres sis entitats de pirateria informàtica amb seu als EUA, l’Índia, Israel i la Xina.
Amnistia Internacional, una organització centrada en els drets humans, va dir que és disposat a ajudar qualsevol activista que cregui que ha estat un objectiu. També va publicar una biblioteca de GitHub d’indicadors que podrien ajudar els investigadors a trobar el programari espia Predator en els telèfons.
A més dels sistemes Pegasus i Predator, existeixen molts altres programes spyware amb els mateixos avantatges. Està, per exemple, Reign, de l’empresa israeliana QuaDream, rival de NSO Group i l’existència de la qual es va revelar sorprenentment al mateix temps que Pegasus, durant l’any 2021.
QuaDream és una empresa israeliana més petita i menys coneguda que NSO, el seu competidor, però que també desenvolupa eines de pirateria de telèfons intel·ligents per a clients governamentals. L’any passat, Reign va desenvolupar la mateixa capacitat per a accedir de manera remota als iPhone d’Apple sense que el propietari hagi d’obrir un enllaç maliciós. Es diu ‘zero-clic’ i va ser utilitzat per totes dues companyies a través del mateix esquema: ‘ForcedEntry’, considerat com ‘un dels tècnicament més sofisticats mai detectat per investigadors de seguretat.
Predator va seguir a Pegasus, i aquest, al seu torn, serà substituït per un altre. I sempre serà així, mentre hi hagi diners foscos i diners desviats per a pagar l’obsessió de control (48) deixant de costat la deontologia professional dels funcionaris intervenents. El descontrol de les escoltes se soluciona amb la intervenció estricta i pública dels fons dedicats a les Forces i Cossos de Seguretat de l’Estat i sancions exemplars.
(43) https://intellexa.com/
(44) Ex militar i milionari israelià
https://www.forbes.com/sites/thomasbrewster/2019/08/05/a-multimillionaire-surveillance-dealer-steps-out-of-*the-*shadows-*and-*his-9-*million-whatsapp-*hacking-van/?*sh=*2c64dddf31b7
(45) https://blog.google/*threat-*analysis-*group/*protecting-*android-*users-*from-0-*day-*attacks/
(46) https://about.fb.com/wp-content/uploads/2021/12/threat-report-on-the-surveillance-for-hire-industry.pdf
(47) Curiosament, va ser publicar que a Espanya s’havia utilitzat Predator, que l’AEPD li va imposar la major multa fins al moment.
(48) El model espanyol és ben semblant a la Stassi alemanya, nascuda de l’encreuament del KGB i de la Gestapo, https://es.wikipedia.org/wiki/stasi La Gestapo, cal recordar-lo també va néixer en una societat que es deia a si mateixa «plenament democràtica».
J) El problema probatori
De l’experiència que tenim en el cas del periodista Ignacio Cembero, es pot acreditar que t’han espiat, però molt difícilment qui t’ha ficat “la bestiola” en el telèfon, i d’això s’aprofita el “deep state”. Aquests casos acaben, amb gran satisfacció dels agressors, sense condemna possible.
1 – Una vegada analitzada la part més mediàtica del tema, aquest presenta diversos temes probatoris de summa importància. En primer lloc, adjuntem el link del programa Pegasus descompilat, així com la seva recompilació que trobem en GitHub per si interessa hackear el mateix
https://github.com/jonathandata1/pegasus_spyware.
2 – En segon lloc, les eines d’anàlisi ràpida que s’han realitzat, donen en els telèfons d’APPLE falsos positius i problemes amb els navegadors, https://github.com/thehackpatrol/pegasus_false_positive. Cal, doncs, perquè tinguin valor judicial el trobat en el telèfon, que es generi una fèrria cadena de custòdia per un perit habilitat, i aquesta se certifiqui per una institució independent o un canal de denúncies de la Directiva 2019/1937.
3 – Es presenta finalment com a Document núm. 5 informe tècnic sobre l’actuació i afectats acreditats del programa Pegasus i el seu bessó “CANDIRU” a data 15 d’abril (49). I de Document núm. 6 còpia de la Querella signada per G. Boye per aquests espionatges (50).
No obstant això existeixen altres programes que es té la certesa que han estat utilitzats a més del sistema d’escoltes SITEL, que seria l’oficial, el nom d’Esprintador ja va sortir a la llum a l’octubre de 2017 arran d’una denúncia que va presentar l’excap d’Assumptes Interns de la Policia, Marcelino Martín Blas, en el marc de la recerca per l’enregistrament i difusió d’una trobada entre agents del CNI i de l’esmentada unitat per l’operació contra el ‘petit Nicolás’. La defensa d’aquest comissari va aportar llavors documentació, que apuntaria al fet que el llavors director adjunt Eugenio Pino, i el seu cap de Gabinet, José Ángel Fuentes Gago, haurien tingut contactes amb Matan Caspi, amo de Rayzone Group, creador d’Esprintador, per a la seva adquisició. Un fet que no s’ha seguit per la via judicial. Aquest empresari és un personatge ‘clau’, ja que, segons la premsa d’Israel, hauria col·laborat amb els desenvolupadors de Pegasus per a la seva venda a governs estrangers.
L’estructura policial i de seguretat europea la podem trobar en el dictamen següent dedicat a l’assumpció de competències de seguretat pública per Europa: https://drive.google.com/file/d/1cpr_md6nse37h0paxw_zzeurdwcrh4wi/view?usp=sharing
Finalment recordar la recentíssima sentència del Tribunal de Justícia de la Unió Europea de 5 d’abril de 2022 on posa fre, precisament a aquesta obsessió de recaptació eterna de dades per part dels estats en la Sentència en l’assumpte C-140/20, on El Tribunal de Justícia confirma que el Dret de la Unió s’oposa a una conservació generalitzada i indiferenciada de les dades de trànsit i de localització en el sector de les comunicacions electròniques amb finalitats de lluita contra la delinqüència greu.
És per això que s’estima que és altament recomanable que, sent com és, unes competències transferides totalment a la Unió europea les de, tant la gestió i control de les dades personals, com la de les dades personals recaptades per les administracions per a temes de seguretat, com les de la lluita contra el terrorisme i les bandes organitzades, existís una agència única europea per a procedir a tramitar i efectuar les intervencions telefòniques. I la creació i funcionament de programes espies europeus que no obliguin al fet que empreses estrangeres manipulin dades dels europeus.
Aquest camí ja ha estat posat en marxa l’amb l’aprovació per part del Parlament Europeu (51) al maig de 2022, validant l’acord amb la Comissió per a donar aquest poder a Europol.
I és que no estem davant d’un problema d’independentistes si o no, estem davant de que no tot val, ja que han estat seguits, segons fonts d’Amnistia Internacional, activistes i periodistes, res còmplices de l’independentisme català i ara, per simpatia fins al President de Govern o la Ministra de Defensa.
(49) Document 5 sobre l’actuació i afectats acreditats a 15 d’abril de 2022
https://drive.google.com/file/d/1iwvnsoc_np4_tavzbpoxcugtjr1s5y7s/view?usp=sharing
(50) Querella de G. Boye
https://drive.google.com/file/d/1uzfbjnlwgjtf6qq8b_kfrdezyhodayxk/view?usp=sharing
(51) https://www.europarl.europa.eu/news/es/press-room/20220429IPR28234/el-parlamento-respalda-dar-mayores-poderes-a-europol-pero-con-supervision
Signat a Barcelona i Madrid a 6 de maig de 2022
Josep Jover Padró
https://jover.pro/es/about/
PRESIDENT DE ASPERTIC
Un comentari