Cinco empresarios catalanes del sector tecnológico han denunciado a dos ex directores generales de la Guardia Civil, a la exdirectora del CNI Paz Esteban y las empresas israelíes fabricantes de los software espía Pegasus y Candiru por el espionaje del que fueron objeto en sus teléfonos móviles. Se les acusa de los delitos de descubrimiento y revelación de secretos y acceso ilegal a sistemas informáticos. La denuncia, coordinada por la asociación de víctimas Sentinel Alliance, se investiga en el Juzgado de Instrucción 2 de Barcelona.

Este nuevo procedimiento se suma a la media docena de causas que se siguen en otros juzgados por idénticos hechos, en el entorno independentista catalán. Precisamente este lunes ha vuelto a declarar como imputada Paz Esteban, exdirectora del Centro Nacional de Inteligencia (CNI). En esta ocasión, por el espionaje a los diputados de Esquerra Republicana de Catalunya (ERC) Josep Jové y Diana Riba, en 2019 y 2020. Esteban ha negado que alguno de los dos fuera espiado por parte del CNI. 

El Grupo Universitario The Citizen Lab, de la Universidad de Toronto, Canadá, ha constatado en varios informes que al menos 65 personas en España habían sido infectadas o sufrido intentos de infección en sus teléfonos móviles y portátiles desde el año 2015 hasta el año 2021 por dos programas de spyware denominados Pegasus y Candiru, desarrollados por empresas tecnológicas israelíes. Desde Carles Puigdemont, Quim Torra y Pere Aragonés, expresidentes de la Generalitat de Catalunya, hasta los letrados de varios de ellos, como Gonzalo Boye o Andreu Van der Eynde fueron espiados con dicha tecnología. También, el presidente del Gobierno, Pedro Sánchez, y los ministros del Interior y Defensa; y el periodista especializado en Magreb Ignacio Cembrero.

Paz Esteban, en su comparecencia en la Comisión de Secretos Oficiales del Congreso de los Diputados, el 5 de mayo de 2022, reconoció que el CNI había utilizado el software Pegasus para investigar con orden judicial a 25 personas, de las cuales solo identificó a 18 con nombres y apellidos.

Los cinco empresarios que han presentado una nueva denuncia pueden ser parte de los no identificados en aquella ocasión, indican fuentes jurídicas.

El ‘paciente cero’

Uno de los denunciantes resultó ser el ‘paciente cero’ de las infecciones con el software espía Candiru, sobre el que el Gobierno español no ha admitido si lo adquirió o no. Joan Matamala, al frente de la Fundación Librería Les Voltes, del ámbito catalanista, amigo de Puigdemont, detenido con él en Alemania cuando el expresident huyó a raíz del 1-O, «fue el primero al que se le pudo detectar una infección en vivo de este spyware, en julio de 2021. No obstante, además de Candiru, Matamala fue objeto de ataques informáticos exitosos con Pegasus en, al menos, 16 ocasiones entre el 7 de agosto de 2019 y el 13 de julio de 2020″, consta en la denuncia, a la que ha podido acceder Público. 

«Gracias a esa detección precoz y en directo, la propia Microsoft pudo desarrollar el software necesario para cerrar, por un tiempo, la brecha de seguridad en su sistema operativo que había permitido la infección de más de 100 terminales de víctimas en varios países del mundo», con Candiru, según dice la denuncia, que es la primera que se dirige expresamente contra este programa espía israelí, desarrollado por la sociedad israelí Saito Tech Ltd. 

Desarrolladores tecnológicos

Jordi Baylina, otro de los denunciantes, es desarrollador jefe y cofundador de Polygon, una conocida plataforma digital. También es asesor en proyectos relacionados con el voto digital y en proyectos de descentralización y de privacidad. Fue ampliamente atacado con Pegasus, recibiendo al menos 26 infecciones exitosas, según acreditó The Citizen Lab.

«Entre otras formas de ser infectado, Baylina recibió un SMS falso que fingía ser el enlace a una tarjeta de embarque de un vuelo internacional de las aerolíneas suizas (Swissair), que había comprado previamente. Esto indica que el propio spyware podría haber tenido acceso ante al Registro de nombres de pasajeros (PNR) de Swissair u otra información similar del transportista», advierte la denuncia.

Otra forma utilizada por Pegasus para espiar a este empresario fue fingir mensajes de Hacienda y la Seguridad Social, bajo los títulos de «AEAT y Segsocial», los cuales «hasta recogían parcialmente el DNI del Sr. Baylina para ofrecer más veracidad al engaño. Igualmente recibió varios SMS fingiendo ser invitaciones al Mobile World Congress«, indica la denuncia. Baylina habría sido espiado mientras se encontraba en Suiza, por lo que su denuncia adquiere una dimensión internacional, dicen fuentes jurídicas.

Otro de los denunciados es Xavier Vives, cofundador de Vocdoni, una aplicación para votaciones seguras. Vives fue atacado por Candiru a través del envío de mails y de SMS que simulaban ser avisos del Gobierno de España relacionados con novedades y recomendaciones sobre la pandemia de la covid 19. Así, fue atacado hasta cinco veces entre el 10 de enero y el 17 de febrero de 2020. Y una vez más en octubre de 2020.

El cuarto denunciante es Pau Escrich es también cofundador de Vocdoni y experto en desarrollo de código abierto. Escrich fue atacado por Candiru hasta en cinco ocasiones entre el 10 de diciembre de 2019 y el 4 de abril de 2020, mediante mails falsos que simulaban ser entradas para el Mobil World Congress, al que acude cada año. «El hecho de que tanto Escrich como Baylina sufrieran un ataque tan similar sugiere que los autores criminales son los mismos», dice la denuncia.

El quinto denunciante es Joan Arús es empresario tecnológico y cofundador del proyecto Vocdoni junto con Xavier Vives y Pau Escrich, así como impulsor y desarrollador de software de gobernanza digital y participación política. Todos ellos fueron investigados por la Audiencia Nacional en el marco del movimiento Tsunami Democràtic, investigación que se cerró sin imputaciones para estos empresarios.

La denuncia advierte de que «aunque no consta su nombre en el Informe de The Citizen Lab ni poseemos evidencias forenses de la infección de su terminal, ya que le sustrajeron el terminal poco antes de que The Citizen Lab comenzara a examinar los terminales de las víctimas, existen indicios que apuntan a que sí lo fue».

La Guardia Civil

Hasta ahora, la media docena de procesos judiciales abiertos en los juzgados de Barcelona por Pegasus implican solo al CNI, no a la Guardia Civil, pero ahora esta denuncia pone el foco en este cuerpo y pide que se tome declaración a Félix Azón y María Gámez, ex directores generales de la Guardia Civil. Fuentes jurídicas indican que si bien la Guardia Civil ha negado haber usado Pegasus, no se ha pronunciado sobre Candiru. Y añaden que es «muy sospechoso» que las fechas de infecciones con Candiru coincidan con las fechas señaladas en informes de la  Guardia civil que indicaban que algo podía suceder. 

Los denunciantes piden que se practiquen periciales en sus teléfonos móviles para descubrir a través de los archivos infectados de dónde vinieron las infecciones. «Tu vida privada está en tus terminales y a todo eso han tenido acceso de manera ilegítima los que ordenaron el espionaje», dicen fuentes cercanas a estos cinco empresarios.

Organización criminal

La denuncia recoge el presunto delito de pertenencia a organización criminal para los denunciados, porque consideran los denunciantes que pudieron actuar en «connivencia» el CNI y la Guardia Civil para espiar sin autorización judicial mediante estos software espías.

La denuncia pide que se localice y se tome declaración a los  directivos de NSO Group (Shalev Hulio y Omri Lavie), creadores de Pegasus, y de Saito Tech Ltd (Isaac Zack), de Candiru; así como que se emitan órdenes europeas de investigación a Luxemburgo, sede de los filiales de Pegasus, y comisiones rogatorias a Israel para obtener documentación y testigos. También se solicita que se requiera a la Audiencia Nacional la remisión de las actuaciones de las causas Tsunami Democràtic y Judas, en las cuales los denunciantes fueron investigados.

Joan Arús es presidente de la Asociación Sentinel Alliance. Ante la admisión a trámite de la denuncia, transmitió a los medios estas declaraciones: «La querella no solo busca una reparación individual, sino que pretende exponer las herramientas con que se degrada la democracia desde dentro. La admisión a trámite abre un debate inaplazable sobre cómo se fiscaliza el Estado. Necesitamos garantías judiciales previas que sean efectivas y una rendición de cuentas posterior que sea real, dos cosas imposibles bajo una Ley de secretos oficiales de 1968 que es una reliquia antidemocrática. No hay Estado de derecho sin una correcta fiscalización del poder público».

Publicado en Público