ANÁLISIS

Desmontando el Catalangate

Catedrático de Ciencias de la Computación (jubilado) de la Universitat de València | 21·05·22 | 23:47

1
Noticia guardada en tu perfil
Ver noticias guardadas

I.- EL INFORME QUE NO NOS MERECIAMOS

El 18 de Abril, el CitizenLab de la Universidad de Toronto, dejo atónito a medio mundo al publicar, simultaemente a un articulo muy crítico con la democracia española en el The New Yorker (firmado por Ronald Farrow hijo de Mia Farrow y Wody Allen, muy conocido por su seguimiento del caso de Harvey Weinstein) el informe CatalanGate: Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru. Tan impactantesy radicales fueron las conclusiones de los canadienses que obligo a algunas personas del campo de las TIC (Tecnologías de la Información y las Comunicaciones) a preguntarse hasta donde estaba llegando el manoseo de una forma de hacer política, usando áreas de conocimiento que habían practicado y enseñado durante años. Afortunadamente, no solo los profesionales de las TIC reaccionaron. Recordar que hace un mes, todos ignorábamos que el Gobierno iba a declararse espiado por Pegasus, por lo que iba a inmolar a la directora del CNI tras reconocer que, con orden judicial, había espiado a 18 independentistas. Por sorprendentes que todavía resulten estas decisiones, en nada impactan en la reflexión que sigue, aunque puede que ayude a ubicarlas.

La forma y fondo del Catalangate, y de su uso de las TIC, sorprendió tanto de España como de otros lugares, unos tuvimos e las TIC que tuvo la ocasión de expresarlo en Levante-EMV, otros de fuera lo hicieron digitalmente (https://github.com/jonathandata1/Pegasus-CatalanGate-False-Positives). Además el 11 de mayo supimos de la carta de miembros del Parlamento Europeo dirigida a la Universidad de Toronto comunicándole “la creación de comisión parlamentaria para investigar la ciberseguridad y, en concreto, la utilización del programa espía Pegasus contra líderes políticos y activistas” añadiendo que “la mayor parte de las gravísimas acusaciones vertidas contra el Gobierno español se basan en el informe que Citizen Lab ha publicado, de acuerdo con lo que dirigentes secesionistas catalanes y algunos de los autores del informe han declarado en prensa, televisión, radio y redes sociales”. Adjuntas la misiva figuraban mas de treinta preguntas relacionadas con aspectos políticos y administrativos del contenido del CATALANGATE. La Universidad contestó dos días después por medio del director de Citizen Lab, el profesor Deibert (escrito que compartió públicamente en Twitter y por tanto accesibles para interesados). El pasado viernes 20, desde Bruselas se contestó a la universidad canadiense con una veintena de folios que necesariamente incementa la carga argumental ya con nuevos datos relevantes disponibles públicamente, y planteando otras preguntas y observaciones, con el animo de compartirlas con las principales partes interesadas en la Universidad, el Parlamento Europeo y más allá, que hemos resumidos en la sección V.

De forma natural, y que nadie piense en oscuras conexiones achacables a intereses inconfesable, acababan de aparecer dos frentes de defensa, ajenos a un Gobierno que nada ha dicho sobre el informe; el primero mas modesto, en Valencia, solo tecnológico, accesible en las paginas de Levante y otro mas formal e institucional nacido en Bruselas. Antes de entrar en ellos es imprescindible recalar en tres sujetos del relato.

II.- EL SÓRDIDO MUNDO DE PEGASUS

Pegasus (el otro programa Candiru es mas reciente y tiene mucho menos eco mediático sin que su papel altere la naturaleza de lo ocurrido). A estas alturas del año, sin duda el lector ya sabe que es un software espía desarrollado por la empresa israelí de ciberarmas NSO Group que puede instalarse de forma encubierta en teléfonos móviles y en otros dispositivos; sus escasos conocedores afirman que hoy Pegasus es capaz de leer mensajes de texto, rastrear llamadas, recopilar contraseñas, rastrear la ubicación, acceder al micrófono y la cámara del dispositivo de destino y recopilar información de las aplicaciones de cualquier móvil. Un virus de tipo troyano que puede enviarse "volando por el aire" (de aquí su nombre cogido del caballo volador de la mitología griega) para infectar teléfonos móviles, cosa que afecta plenamente el duopolio de las aplicaciones de mensajería: Apple con i-Message y Whatsapp tan popular en los teléfonos Android que involucran a otras BigTech: Mega (antigua Facebook hoy su propietaria); Microsoft (muchas son las máquinas Windows, sobre las que se usa la web de la aplicación) y Alphabet (actual denominación de Google, propietaria de Android). Obviamente los dos sistemas compiten y entre otros argumentos esgrimen que el suyo es el más seguro. Sin embargo se enfrentan a un enemigo muy eficiente, por deleznable e inmoral que consideremos su misión. Pegasus es tan diabólicamente bueno para espiar que ninguno de los dos sistemas de mensajería han conseguido controlarlo, por muchos parches y versiones que han venido incorporando a respectivos sistemas operativos. Además el grupo NSO, basándose en su primer gran éxito mediático (la captura de El Chapo en Méjico) siguen proclamando que solo venden licencias a los gobiernos de estados democráticos para luchar contra el terrorismo y la gran delincuencia. Un lema tan eficaz como falso. Incluso la Administracion Biden se lo ha recriminado poniéndoles en su lista negra. En estos momentos, salvo la emprea, nadie esta en condiciones de decir cuantas licencias existen en el mundo, ni cuantas están en manos de instituciones privadas o no gubernamentales. No obstante la mayoría de medios ha comprado este relato, de forma que si alguien, con pruebas sólidas, o sin ellas, dice haber sido espiado, el culpable se busca inmediatamente entre estados, supuestamente usuarios únicos de la herramienta. Una larga lista de sospechosos ha ido apareciendo: Arabía Saudi, Mejico, Marruecos,…, España (con Cataluña y Euskadi como fuente de espionaje) etc.

III.- CITIZEN LAB y EL SUPUESTO PROGRESISMO

Este es un think tank interdisciplinar que funciona desde 2001. con sede en la Munk School of Global Affairs & Public Policy de la Universidad de Toronto, que se autodefine como centrado en la investigación, el desarrollo y la política estratégica de alto nivel y el compromiso legal en la intersección de las TIC, los derechos humanos y la seguridad global; dice utilizar un enfoque de "métodos mixtos" para la investigación “combinando prácticas de la ciencia política, el derecho, la informática y los estudios de área, que incluye: investigar el espionaje digital contra la sociedad civil, documentar el filtrado de Internet y otras tecnologías y las prácticas que afectan a la libertad de expresión “on líne”, analizar la privacidad, la seguridad y los controles de información de las aplicaciones populares, y examinar los mecanismos de transparencia y rendición de cuentas pertinentes a la relación entre las empresas y los organismos estatales en relación con los datos personales y otras actividades de vigilancia”. Todo ello muy respetable y valioso si se hiciera con rigor.

El cruce del laboratorio con Pegasus se produjo en agosto de 2016, después de que se informará de un posible intento fallido de instalación en el iPhone de un activista de derechos humanos. Una investigación, obviamente no oficial y un tanto anónima, reveló detalles sobre Pegasus, sus capacidades y vulnerabilidades de seguridad que explotaba. La noticia del programa espía tuvo una gran repercusión en los medios de comunicación. Fue calificado com ”exploit” (en la jerga un software , un fragmento de datos o una secuencia de comandos que se aprovecha de un error o vulnerabilidad para causar daños no deseados o imprevistos) que utilizó un “jailbreaking”, magnifico vocablo que en la jerga designa al proceso de explotar los defectos de un dispositivo bloqueado para poder instalar software distinto al que el fabricante ha puesto, esto es, liberar a los usuarios de la «cárcel» de limitaciones para obtener un acceso sin restricciones, en este caso era de un iPhone.

Desde entonces la actividad de Citizen ha consistido en informar a WhatsApp y a Apple de posible debilidades de sus sistemas y de lanzar a la prensa internacional una veintena de grandes anuncios, basados en el principio ideológico que los estados utilizan las TIC para controlar a sus opositores. Una idea sugerente que no puede suplir la falta de rigor. Sin ninguna referencia significativa en lo científico, Citizen Lab, ocupa grandes espacios en multitud de medios prestigiosos, nacionales y extranjeros, que tácitamente han decidido que lo que diga el laboratorio de Toronto es una especie de “verdad científica” suficientemente consagrada que no merece ningún tipo confirmación. En el trabajo científico-técnico es muy difícil simultanear la calidad propia de los “journals” profesionales, con lo titulares de los grandes periódicos, los primeros conducen a carreras discretas pero sólidas, los segundos “famas” efímeras que exigen contactos mediáticos. La celebridad en ciencia es importante, siempre que haya algo sólido y repetible detrás de ella. En la sociedad del conocimiento, no son los medios los encargados de adjudicar veracidad y calidad a productos. Citizen Lab ha optado por la segunda vía.

Las Bigtech han decidido que pueden prescindir del Estado. Este párrafo sacado de una nota de Apple a sus clientes, explica mucho de lo que esta ocurriendo: “Las notificaciones de amenazas de Apple están diseñadas para informar y ayudar a los usuarios que pueden haber sido atacados por atacantes patrocinados por el estado. Estos usuarios son seleccionados individualmente por quiénes son o qué hacen”. Ellos deciden, lo hacen sin que les importe lo que haya decidido un Juez.

Cualquiera que sea el método usado para espiar un dispositivo móvil basado en Internet, se requiere una dirección donde mandar el resultado y en particular para confirmar que se ha instalado el virus, para ello se debe contar con una URL (Uniform Resource Locator) la dirección única y específica de cada página o recurso y que en estos casos están inmersas en nubes complejas y en lo que se ha venido en llamar “Internet profunda”. Obviamente estas URL cambian, en particular en cada versión, aunque cabe pensar que se usan otros métodos para que tengan vidas mas cortas, cosa no siempre fácil. Por razones que no hay ahora espacio para explicar, el conjunto de nombres y claves para acceder de tales URL “sospechosas” figuran en una especie de base de datos, que contiene los IOC (indicadores de compromiso en inglés) donde se pretende encontrar las URL maliciosas absolutamente confirmadas. Los millones de direcciones procedentes de las copias de seguridad de Apple o de Android (de dudoso valor jurídico ya que son fácilmente modificables por parte de los ordenadores centrales que soportan las aplicaciones de mensajeria se comparan con ellas, momento en el cual un teléfono se declara como “potencialmente atacado”. Ya hemos dichos que las BigTech han decidido decidir. Hablamos de números telefónicos, mas complicado es poner nombres de personas a las posibles víctimas, cosa que Citizen dice hacer para poder elaborar sus acusaciones.

Ante la derrota frente a Pegassus, primero Whatsapp y luego Apple decidieron emprender la via judicial en EEUU, un camino realmente complejo ya que estamos en una situación análoga a la de intentar procesar a un fabricante de escopetas (La empresa ONR por Pegasus) que ha vendido muchos de sus rifles a no se sabe muy bien quien (estados, democráticos o no, policías, empresas particulares, etc.) con las cuales han cometido ciertos delitos (espionajes difíciles de demostrar) sobre determinadas personas supuestos usuarios de teléfonos. Por si fuera poco, lo “robado” son bienes de naturaleza no material con gran dificultad para identificar con certeza a la víctima. No es necesario insistir en las consecuencias económicas y de otro orden que puede tener para el estado de Israel, que ha decidido acoger a NSO y a su producto como una herramienta de su política exterior, una sentencia contra Pegasus por parte de la Justicia USA.

IV DE METODOLOGIA y DE FALSOS POSITIVOS

Las criticas científicaS que hemos hecho al trabajo de Citizen Lab en el caso de CATALANGATE es ampliables a muchas de sus denuncias mediáticas en dos sentidos:

a) Desde hace años en el marco de la TIC se ha venido desarrollando una ingeniería conocida como “análisis forense” sobre cuya metodología se han ido estableciendo consensos universales a través de las dos grandes instituciones científico- educativas y profesionales: ACM ( Association for Computing Machinery, 1947) y IEEE (Institute of Electrical and Electronics Engineers- Computer Society, 1963). El análisis forense digital se define como el uso de métodos científicamente analizados y probados para la conservación, recopilación, validación, identificación, análisis, interpretación y presentación de pruebas digitales. El reto de preservar y gestionar la evidencia existente en los dispositivos móviles ha motivado la creación de métodos y soluciones para gestionar la evidencia de forma adecuada. ACM y IEEE han consensuado implícitamente foros científicos de referencia y metodologías para afrontar este aspecto de la ciberseguridad que es el espionaje de teléfonos móviles digitales. Todo informe debe: a) Contar con políticas y procedimientos para un análisis forense; b) Evaluar las posible pruebas para detectar el ciberdelito; c) Obtención delas prueba, con información registrada y preservada; d) Examen de las pruebas que supone contar con procedimientos fiables de recuperación, copia y almacenamiento de las misma; e) Documentación y elaboración de informes con la metodología y resultados demostrados. No busquen nada de ello en el texto del CATALANGATE.

b) Con Jonathan Scoot, estudiante de doctorado de Ciencias de la Computación en NorthCentral University de S. Diego, California y de otros profesionales de la seguridad informática hemos podido “escribir” en teléfonos libres de toda sospecha, las URL que Citizen declara haber detectado en teléfonos “presuntamente espiados”. A continuación pudimos ejecutar un software creado por una empresa suiza, que vende sus productos garantizando que detecta los parámetros asociados a un ataque de cualquier índole de Pegasus. Esto es, asumiendo los riesgos que cualquier afirmación de este tipo conlleva, se pueden crear falsos positivos que estarían en la relación de CATALANGATE. Más detalles técnicos sobre Pegasus y sus falsos positivos: https://drive.google.com/file/d/1eIaZGyGWIv6TXRLNSxBmEEg5O6d7rg9U/view.

En otras palabras con la tecnología adecuada puede conseguirse que un teléfono que nunca ha tenido contacto con Pegasus aparezca como infectado siguiendo la metodología de Citizen Lab.

V.- LO QUE SE CONTESTA DESDE EL PARLAMENTO EUROPEO

El último documento del Parlamento europeo, conocido el viernes, señala muchas incoherencias graves y decisiones cuestionables en diferentes etapas de la investigación de Citizen Lab:

- Una variedad de aparentes conflictos de intereses (políticos y económicos), que involucran a los autores del informe y a las personas que colaboran con su trabajo de campo, permanecen sin revelar.

- Según participantes clave, la investigación de Citizen Lab en España buscaba pruebas para alimentar los casos judiciales contra NSO de WhatsApp, Apple y los políticos secesionistas catalanes. El anuncio de Apple de una contribución de 10 millones de dólares a los investigadores por su apoyo en la recopilación de pruebas contra NSO (que menciona explícitamente a Citizen Lab) parece confirmarlo.

- Los hallazgos reportados en este estudio no revisado por pares no son replicables y los autores se niegan a proporcionar muestras que permitan cualquier validación independiente seria.

- Contrariamente a lo que sugiere la literatura sobre análisis forense (y en la mayoría de las disciplinas científicas), el profesor Deibert afirma que sus procesos analíticos son 100% fiables y se niega a considerar la posibilidad de falsos positivos u otros errores. Sin embargo, varias fuentes explican cómo fabricar falsos positivos.

- Hay una falta de transparencia muy inusual en cuanto a la metodología. Los autores se niegan a informar de cuándo, dónde y por quién fueron realizados los análisis forenses digitales. Parece que no se realizó ningún análisis no digital o no remoto para verificar las infecciones.

- Los autores se niegan a informar del número de dispositivos investigados o de la proporción de positivos.

- No hubo grupos de control.

- Los autores de Citizen Lab expresan acusaciones muy graves contra el gobierno español por "espionaje ilegal", basadas en lo que el informe afirma que son "pruebas circunstanciales" (muchas de ellas en entrevistas en los medios de comunicación y en las redes sociales). La mayoría de las pruebas que apuntan a la autoría española del espionaje ilegal son, en el mejor de los casos, extremadamente débiles.

- Mientras tanto, el informe no considera ninguna de las otras hipótesis alternativas plausibles. Resulta sorprendente que ni siquiera se mencione la posibilidad de una vigilancia legalmente sancionada, de falsos positivos o de espionaje por parte de los servicios secretos de Rusia, Marruecos o los países occidentales.

- Es evidente que los participantes y algunos autores intentaban maximizar el número de positivos. La reticencia a presentar muestras para su validación externa parece confirmarlo. No se reconoció ningún conflicto de intereses ni cuestiones relativas a la evidente falta de neutralidad.

- El trabajo de campo fue coordinado por un activista independentista y presunta víctima de espionaje, sin experiencia previa en investigación ni título de educación superior. Este

autor también hizo afirmaciones falsas sobre su situación laboral y no estuvo afiliado a Citizen Lab durante la mayor parte del periodo de investigación. - No se ha explicado por qué se le encomendó un trabajo de campo muy delicado ni si era respetuoso con los protocolos básicos de ética de la investigación.

- Sólo se analizaron los dispositivos de políticos y activistas independentistas. Los autores no explican los criterios utilizados en el muestreo de bola de nieve. Hay indicios muy fuertes que sugieren que los casos sometidos a análisis fueron filtrados por dos partidos políticos.

- Hay muchas contradicciones y preocupaciones éticas sobre cómo comenzó la investigación del trabajo de campo en España en julio de 2020. Luego se lanzó una campaña de comunicación inusualmente fuerte coordinada por los partidos políticos secesionistas catalanes y una demanda judicial a una semana del primer análisis y antes de la confirmación de cualquier infección.

- Se alertó a los participantes de que probablemente estaban siendo espiados sin tener en cuenta que esta advertencia supondría una interferencia con las investigaciones sancionadas por los tribunales españoles. Muchos participantes fueron vigilados legalmente por los servicios de seguridad españoles cuando se pusieron en contacto con ellos y les explicaron cómo evitar la vigilancia. Otros estaban a la espera de juicio, y algunos incluso estaban en prisión.

- También existen serias dudas sobre la relación entre Citizen Lab y Amnistía Técnica. Afirman que trabajan de forma independiente y que, en teoría, "revisan" los métodos del otro y proporcionan "validación externa". Sin embargo, ambas organizaciones trabajan juntas la mayor parte del tiempo. El profesor Deibert actúa como asesor de Amnistía Tech, y durante varios años (incluyendo parte de esta investigación) hubo un empleado de Amnistía trabajando en Citizen Lab.

- El nombre "CatalanGate" para el informe (publicado el 18 de abril de 2022) fue elegido para que coincidiera con el eslogan de la campaña de propaganda que los partidos y organizaciones secesionistas catalanes estaban preparando meses antes de la publicación del informe. La mayor organización secesionista registró el dominio "CatalanGate.cat" en enero de 2022. Además, desde hace años se utiliza una cuenta de Twitter (182,6K-seguidores) llamada "@catalangate" para promover campañas de comunicación secesionistas.

- Varios de los participantes en la investigación fueron investigados por sus conocidos vínculos con los servicios de inteligencia rusos. Seis de los participantes, incluido el coordinador del trabajo de campo, son sospechosos de colaborar con los servicios secretos rusos para crear en 2019 la plataforma basada en blockchain Tsunami Democratic para esquivar a las fuerzas de seguridad españolas (sirvió para coordinar disturbios violentos y bloqueos de carreteras, estaciones de tren y aeropuertos).Sorprendentemente, estos vínculos bien documentados con Rusia y los intentos rusos de desestabilizar España y la UE apoyando a los secesionistas catalanes se omiten por completo en el informe.

- Las respuestas del profesor Deibert sobre la investigación del trabajo de campo se contradicen con muchas de las declaraciones orales y escritas de varios participantes en la investigación.

- Los autores han sido llamados a prestar testimonio como expertos en comisiones parlamentarias y casos judiciales iniciados por políticos secesionistas (implicados en esta investigación).

La petición a la Universidad es contundente: “Dada la falta de rigor científico y la gravedad de los problemas metodológicos y éticos señalados en este documento, se recomienda una investigación independiente de los procesos de investigación para garantizar que los posibles errores o malas prácticas no tengan repercusiones negativas no deseadas en terceros o manchen la excelente reputación de la Universidad de Toronto”.

VI. – POR SI INTERESARA EN MONCLOA (a DESARROLLAR)

Resolver lo más razonablemente posible el problema catalán es una aspiración de muchos de españoles, siempre que por ambas partes, se respete la confianza. El Presidente Sanchez está siguiendo una línea política difícil y complicada que no oculta, y cuya claridad es importante en estos momentos, sin embargo puede que el asunto Pegasus le esté conduciendo a vericuetos de los que nadie le alerto.

Para aumentar la convivencia entre españoles y la capacidad crítica de la mayoría de partidos de nuestra democracia, quizás sea bueno que analicemos la posibilidad que Una parte del independentismo (no se cual) conocedora de la importancia mediática de Citizen, encarga, sugiere, paga.... un informe cuyo título lo dice todo. Citizen se dedica a estas cosas y se encuentra que alguien con capacidad política (el parlamento europeo le pide explicaciones) y otro más modesto que no se cree tecnicamente su forma de trabajar. Ambas cosas deberían conducir a que la Universidad de Toronto, al menos pusiera en "stand by" el estudio. Si esto ocurriera todo lo que hemos vivido será una historia complicada;

b) La decisión del Gobierno de declarase espiado esta afectando a la OTAN, como habrá observado el lector, entre las preguntas dirigidas a la Universidad canadiense se habla n directamente por Rusia. )

c) Las medidas tomadas con el CNI son difíciles de entender, aunque al parecer no existe una gran pericia a la hora de moverse en la Digitalización. No hagamos sangre.

La mejor de las suertes para este país llamado España.