Los descuidados peritos del “Catalangate”: el valor del informe de Citizen Lab

 

El informe CatalanGate; Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru publicado por Citizen Lab en la Universidad de Toronto ha causado gran revuelo mediático y político. Este informe ha tenido la virtud de interesar a la opinión pública en el riesgo que tenemos los ciudadanos de ser espiados por gobiernos y corporaciones. También parece haber forzado al gobierno a hacer cierto análisis introspectivo sobre los protocolos y trabajos de vigilancia digital por parte de los servicios de seguridad del Estado, que ha causado el relevo en el puesto de la directora del Centro Nacional de Inteligencia. Es bien conocido como este informe ha sido instrumentalizado en una maniobra de desprestigio contra España por parte del independentismo y de ciertos sectores de la izquierda. Esta campaña de comunicación tuvo como punto de partida un artículo de Ronan Farrow en New Yorker y continuó con un editorial en Washington Post y un sinfín de entrevistas en las televisiones y prensa catalana. A esto se sumó una operación en redes sociales y las típicas comunicaciones y solicitudes de intervención a instituciones supranacionales.

Una parte menos conocida por la opinión pública de este caso es que los autores del informe y miembros de Citizen Lab, no solo aparecen en medios de comunicación nacionales e internacionales, sino que también son invitados a ofrecer opinión experta en comisiones parlamentarias y hasta en procedimientos judiciales. Por ejemplo, varios de los miembros de Citizen Lab han sido ya consultados por Comité de Investigación sobre Pegasus constituido en el Parlamento Europeo el 19 de abril. También el conocido abogado, Gonzalo Boye -una de las presuntas victimas según el informe de Citizen Lab- interpuso el pasado 3 de mayo una querella contra la empresa Q Cyber Technologies Ltd así como contra sus subsidiarias NSO Group Technologies Ltd. y OSY Technologies y algunos de sus directivos y fundadores por el caso de espionaje con el software Pegasus. En esta querella no solo se incluía el estudio de CatalanGate y varios artículos periodísticos en el índice documental, sino que también solicitaba que se tomase declaración en calidad de peritos a siete de los ocho autores del informe, y que se llamase a declarar a uno de ellos Bill Marczak en calidad de testigo.

No es la primera vez que los miembros de este centro interdisciplinar son invitados a aportar testimonio en diferentes comisiones parlamentarias o en sede judicial —lo han hecho por ejemplo en Estados Unidos, Polonia y Reino Unido—. Sin embargo, algunos académicos y periodistas hemos ido mostrando en las últimas semanas que la investigación de Citizen Lab contiene demasiadas anomalías como para que el informe CatalanGate o sus autores sean considerados como fuentes periciales neutrales. Resumo a continuación algunas de los problemas más importantes detectados tanto desde el punto de vista metodológico como de deontología. Estos problemas han sido puestos de manifiesto en un documento enviado a la Universidad de Toronto junto a una solicitud para que se abriese una investigación independiente por posibles infracciones del código de integridad profesional de esta institución.

En primer lugar, llama la atención la falta de transparencia en algunas cuestiones metodológicas muy relevantes. Del informe no se puede deducir ni cuando, ni cómo ni dónde, ni por quien fueron llevados a cabo los análisis forenses. Esto es algo curioso no solo porque este tipo de datos se suelen aportar en cualquier artículo o informe científico, sino porque la literatura académica especializada en este tema argumenta que los análisis exclusivamente digitales en remoto presentan limitaciones. Citizen Lab no ha querido detallar los criterios de muestreo usados para seleccionar a los participantes en el estudio,  ni tampoco el número total de casos estudiados y el porcentaje de casos positivos, lo que es relevante para poder sacar conclusiones sobre la incidencia relativa del problema en una población.

El informe no ha sido sometido a una revisión de pares (“peer review”) y no pone a disposición los datos necesarios para poder replicar los resultados. Extrañan más aún las reticencias que Ronald Deibert, el director de Citizen Lab, mostró frente a los Europarlamentarios del Grupo Renew Europe y a la prensa cuando se le solicitaron detalles sobre la investigación. Este rechazo  es llamativo dado que él tiende a criticar los estudios que no son transparentes. Por ejemplo, en una reciente entrevista en El País cuando los entrevistadores le recordaron que “El CNI solo ha reconocido haber espiado a 18 de los 65 casos que ustedes mencionan”. Deiber respondía: “¿Cómo podemos verificar eso? ¿Qué han enseñado en la comisión de secretos oficiales? ¿Lo creen?”. Igualmente, en 2017 el mismo Deibert publicó un artículo en el foro online Just Security donde criticaba un informe del FBI sobre las operaciones de ciberespionaje ruso en Estados Unidos precisamente por la falta de verificación externa, la ausencia de pruebas sólidas en la atribución de la autoría a Rusia y por no aclarar el grado de confianza atribuido a cada indicador utilizado.

Esta crítica, perfectamente lógica y válida, choca frontalmente con la forma de proceder en el informe CatalanGate donde tampoco se pueden verificar los resultados, donde las pruebas para incriminar a España son “circunstanciales” (como el mismo informe admite), donde no se reportan grados de confianza de ningún indicador, ni se consideran falsos positivos o explicaciones alternativas. Es más, en la misma entrevista en El País, Deibert, que es un politólogo de formación, alega que los métodos de Citizen Lab son 100% fiables y que no es posible que haya falsos positivos. Estas afirmaciones contradicen la práctica científica comúnmente aceptada (donde se considera la posibilidad de errores instrumentales) y la opinión de algunos expertos en ciber-espionaje que argumentan que no solo es posible que haya falsos positivos de Pegasus, sino que es posible fabricarlos. Esta tesis es bastante conveniente si como refleja el libro de Roger Torrent Pegasus: L’Estat que ens espía (2021), existía un aparente interés por parte de los autores y participantes en el estudio en maximizar el número de resultados positivos encontrados. Igualmente parece plausible que esta sea una de las razones por las que no parecen haberse establecido controles para evitar la manipulación de la evidencia por parte de las presuntas víctimas, algunas con conocimientos informáticos muy avanzados.

Otro aspecto digno de mención es que ningún conflicto de interés fue reconocido explícitamente, algo que es básico en cualquier investigación científica. Entre ellos quizás el más llamativo es que uno de los autores, Elies Campo, un activista independentista que colaboró en la organización del referéndum de 2017 y que  aparece como victima en el informe fue quien se encargó de coordinar el trabajo de campo en Cataluña. Es también irregular que se le encargase en julio de 2020 una tarea tan importante cuando él no tenía experiencia previa en investigaciones científicas ni tenía titulación académica al efecto. Hasta enero de 2022 no fue nombrado Fellow en Citizen Lab y aunque no dijo la verdad sobre su situación laboral, en teoría trabajaba para Telegram, por lo que no deja de ser sorprendente su participación en un proyecto que supuestamente se había iniciado por un encargo de WhatsApp a Citizen Lab.

No se hace referencia tampoco al interés de Citizen Lab por conseguir “munición” a WhatsApp, Apple y a los independentistas para que tuvieran material sólido que presentar en procesos judiciales, tal y como declaraba Torrent en su libro. Ciertamente existen investigaciones motivadas por intereses corporativos o de otro tipo, pero los protocolos éticos científicos exigen que entonces que estos intereses sean puestos de manifiesto. Torrent llega a referirse a que uno de los autores trabajaba en nombre de Apple, lo que puede tener conexión con que después de los primeros cinco casos supuestamente identificados en la lista de WhatsApp, la investigación se centrase en dispositivos iPhone.

En cualquier caso, resulta curioso que se invite como peritos y testigos a un  procedimiento judicial contra una compañía a unas personas que presuntamente trabajaban para otra compañía que planeaba demandar a la primera.  Efectivamente, Apple acabó demandando a NSO Group en noviembre de 2021 y en la comunicación oficial llegó a mencionar explícitamente el agradecimiento a Citizen Lab y Amnesty  anunciando una contribución de 10 millones de dólares para apoyar a organizaciones que investiguen este tema.

El informe también omite que la Agència de Cibertseguretat trabajó en el análisis de los móviles con Citizen Lab y que los partidos políticos y asociaciones independentistas, jugaron un papel clave en la identificación de potenciales casos sospechosos de infección. Torrent incluso indica que Gonzalo Boye hacía un inventario, ya el 24 de julio de 2020. Es decir, el demandante incluye como prueba un informe que ha ayudado a elaborar. Tampoco se explica el motivo teórico o científico que les hizo ceñirse a analizar solo a personas ligadas al independentismo. La elección como título de “CatalanGate” que era una referencia propagandística que ideo Ernest Maragall y que era el nombre de una web que se había registrado en enero 2022 por la ANC y que pertenece a Omnium también resulta indicador de la falta de neutralidad del informe.

Por otra parte, las contradicciones entre los autores, periodistas y el mismo Torrent en el relato de cómo se inició la investigación en Cataluña resultan  notables. Si Citizen Lab tenía la lista de víctimas de la brecha de seguridad de WhatsApp desde 2019, ¿por qué Torrent se enteró que su teléfono había sido atacado cuando fue contactado por unos periodistas de El País y The Guardian? ¿Por qué habiendo 1400 nombres en la lista, muchos de dictaduras y países con importantes vulneraciones de derechos humanos, decidieron  emprender una investigación sobre el caso de los independentistas, donde el hecho de que hubiese vigilancia policial no podía sorprender demasiado?

Pero quizás lo más llamativo es que el informe no haga ninguna referencia a las precauciones que normalmente se toman cuando una investigación académica presenta riesgos para los intereses de terceros. En este caso Citizen Lab estaba alertando a ciudadanos de que podían estar siendo objeto de vigilancia por alguna agencia gubernamental española. Es preciso recordar que era razonable pensar que muchos de estas  personas estaban siendo investigadas por orden judicial, otras estaban fugadas y algunas incluso encarceladas. Por ejemplo, tres de los espiados se habían reunido con emisarios del Kremlin y seis trabajaban en el área de la tecnología blockchain y criptomonedas y se sospechaba que habían participado en la organización de la plataforma Tsunami Democratic. Como se ha revelado posteriormente los servicios de inteligencia españoles estaban vigilando a 18 líderes independentistas. No sabemos si sus escuchas fueron afectadas por la investigación de Citizen Lab. Ni los autores ni el comité ético de la Universidad de Toronto han dicho cómo se aseguraron de que con su investigación no se interfería el curso de la justicia española.

En definitiva, más allá de las implicaciones que este estudio pueda tener a nivel político y de reputación para el país, lo cierto es que existen una serie de aspectos técnicos que hay que tener muy presentes a la hora de determinar su  auténtico valor tanto como prueba documental en comisiones parlamentarias  como, sobre todo, en sede judicial.  Estas anomalías (y otras ya puestas de relieve en prensa y redes sociales) apuntan a cuestiones e inconsistencias que pueden ser de mucho interés a la hora de tenerlos en cuenta en otros procesos e investigaciones donde los participantes están implicados.

 

HD Joven: El nuevo Reglamento General de Protección de Datos y la realidad práctica de las más recientes resoluciones judiciales

Las  Nuevas Tecnologías de la información y los datos personales están en constante cambio y transformación. Cada día aparecen nuevas formas de transferir datos, inventos que facilitan al ser humano su desarrollo y nuevos métodos de análisis e investigación basados en la tecnología junto con las primeras grandes nuevas tecnologías aplicadas.

Por eso, hoy en día está en boca de todos que próximamente (mayo de 2018) entrará en vigor el nuevo Reglamento general de protección de datos (General Data Protection Regulation). Una gran parte de la población está especialmente pendiente de esta normativa, porque plantea grandes modificaciones para las empresas y los ciudadanos que, además, también  afectarán a las Administraciones Públicas. Pero, ¿qué está ocurriendo verdaderamente en la práctica del mundo de los datos? ¿Cuáles son las infracciones más “denunciadas”? ¿Y cómo están resolviendo los órganos jurisdiccionales en esta materia de constante e imparable movimiento?

En primer lugar, no es característicamente alto el volumen de resoluciones en materia de protección de datos. Y esto es así porque, como los primeros conflictos en esta materia han tenido lugar tras el especial auge de las Nuevas Tecnologías (cuyo comienzo señalan los expertos que tuvo lugar a partir de mediados del año 2007, con la llegada del Iphone), es lógico que un número suficiente de los conflictos no han llegado a las instancias judiciales hasta pasados varios años,  por lo que no hemos comenzado a tener un número bastante de resoluciones hasta los años 2014 y 2015.

Dentro de esta falta de suficientes resoluciones, lo cierto es que podemos diferenciar dos situaciones: la situación nacional y la europea, o, lo que es lo mismo, las resoluciones de órganos jurisdiccionales españoles y las resoluciones del  Tribunal de Justicia de la Unión Europea (TJUE) y del Tribunal Europeo de Derechos Humanos (TEDH).

A nivel nacional, un gran número de sentencias de los altos tribunales (Tribunal Supremo –TS- y Tribunal Constitucional –TC-) se han centrado en el análisis de la vulneración (o no) del derecho a la protección de datos en la videovigilancia en el centro de trabajo y en el tratamiento automatizado de datos sin consentimiento del trabajador. A modo ilustrativo, puede leerse la Sentencia del Tribunal Superior de Justicia de Madrid de 29 de septiembre de 2014,  la Sentencia del TS de 12 de noviembre de 2015 y la Sentencia del TC de 3 de marzo de 2016. En resumen, nuestros órganos han venido a resolver considerando que no existe vulneración del derecho a la protección de datos en la videovigilancia  empresarial en el centro de trabajo siempre y cuando la finalidad sea la seguridad y/o el control laboral. En este mismo ámbito, se ha estimado que se vulnera la protección de datos de carácter personal y el honor de los trabajadores cuando se transmite de una empresa a otra un “fichero de personas conflictivas” o “lista negra”.

Otra cuestión que ha sido tratada por jueces y magistrados españoles es la posibilidad de que el ciudadano, no personaje público, se oponga a que sus datos personales aparezcan en un simple buscador de Internet al que todos tenemos acceso. Por otro lado, como decíamos, las Administraciones tampoco se salvan de verse envueltas en esta tormenta. Ha sido el TC el que, por Sentencia de 25 de septiembre de 2015, ha tratado el derecho del interesado a ser informado, tanto de la posibilidad de que sus datos del Registro autonómico sean cedidos, como del concreto destino de éstos, concluyendo que no es suficiente con que el interesado conozca que tal cesión puede tener lugar, sino que ha de ponerse en su conocimiento también las circunstancias de cada cesión concreta (a quién se ceden, qué información se transfiere y con qué finalidad se proporcionan).

Partimos, por lo tanto, de que son pocos los casos que llegan a los tribunales españoles, y por ello, los pronunciamientos en materia de protección de datos de altas instancias son insuficientes.Y, dentro de esa escasez, predominan las resoluciones sobre protección de la imagen como dato personal en el ámbito laboral.  Ello hace que no exista una base sólida de casos que permita fijar conceptos y límites en el ejercicio de derechos fundamentales dentro del mundo de la tecnología y los datos personales.

A nivel  europeo tendremos que diferenciar dos líneas: la del TJUE y la del TEDH. Y ello porque, al ser sus funciones distintas, la línea de sus resoluciones también difieren entre sí, aunque son acordes a las funciones que cada uno tiene encomendado. Encontramos, sin ánimo de ser exhaustivos, desde 2014 en adelante, varias resoluciones: la Sentencia del TJUE de 11 de diciembre de 2014, la  Sentencia del TJUE de 1 de octubre de 2015, y, más recientemente, la del TJUE de 4 de mayo de 2017  o el Dictamen del mismo órgano de fecha 26 de julio de 2017. Todas ellas examinan el cumplimiento de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y su libre circulación, y su relación a la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas. De manera resumida, tienen especial importancia las siguientes ideas:

  • La imagen de una persona grabada por una cámara constituye datos personales porque permite identificar a la persona en cuestión.
  • Si una Administración Pública de un Estado miembro transmite datos personales a otra Administración,  dicha Administración Pública remitente debe informar a los interesados de la transmisión.
  • El responsable del tratamiento de los datos no está obligado a comunicar datos personales a un tercero para que éste último pueda interponer una demanda frente a un sujeto del fichero a quien pretende demandar. Sin embargo, nada impide que el Derecho nacional permita tal comunicación.

Como vemos, la falta de una cantidad suficiente de procesos lleva a que las reflexiones y los pronunciamientos sean sentencias sobre materias desmesuradamente concretas, sin poderse fijar una línea de conocimiento central.

Por su parte, el TEDH ha acumulado un mayor número de resoluciones judiciales que el TJUE, en las que sí han llegado a definirse unos conceptos mínimos del universo de las tecnologías. Y, en concreto, se ha procedido a definir qué son los datos personales (Caso  Mccullough v. Cedefop), qué puede entenderse por procesamiento de datos personales (Caso Smaranda Bara et Al. V. Presedintele Casei Nationale de Asigurari De Sanatate y Caso Weltimmo s. r. o. contra Nemzeti Adatvédelmi és Információszabadság Hatóság.), qué son los principios de necesidad y  proporcionalidad (Case ClientEarth.), medidas de seguridad (Caso Worten-equipamentos para o Lar Sa V. Act Authority for working conditions), el concepto de información (Caso Smaranda bara) o qué debe entenderse por un nivel mínimo de protección (Caso Maximillian Schrems contra Data Protection Commissioner), entre otros.

Además, desde esta misma perspectiva internacional, resulta que Alemania cuenta con un Libro blanco (o White book, esto es, un informe o publicación oficial del gobierno en una materia para plantear datos, estándares y soluciones) dirigido a los órganos legislativos o/y a la opinión pública para comprender, resolver y afrontar la protección de datos.  Reino Unido también cuenta con un Libro blanco que fija parámetros para evaluar el impacto sobre la privacidad de los procedimientos de gestión de datos. Si recientemente Alemania, pionera en la industria de la tecnología energética, ha procedido a plantear el referido Libro blanco para analizar en profundidad el tema de la protección de datos y, mucho antes,  Reino Unido, el grandioso centro de cruce de valiosos datos, creó el suyo propio, parece cuanto menos, conveniente, que España al menos se plantee la necesidad y el beneficio de contar con dicho tipo de informe que recoja reglas y  pautas útiles en esta materia.

Frente a la referida escasez, las publicaciones, obras y comentarios que tratan el tema de la protección de datos son altamente numerosas. Dentro de esta variedad, podríamos resumir las principales informaciones con un desarrollado titular: el derecho fundamental a la protección de datos personales es uno de los más importantes en la sociedad actual, dentro del cual los datos se han convertido en el petróleo de la economía moderna, en una moneda de cambio. Esto genera grandes retos y responsabilidades que gobiernos e instituciones deben enfrentar de manera obligada, pues el proceso de globalización en el que vivimos y el continuo avance tecnológico unidos a  la falta de conocimientos y de información del ciudadano de a pie, está llevando a los usuarios a sufrir una falta de control sobre los datos que ceden. Y es que acceder a internet o crearse una cuenta en una red social es gratuito, pero detrás de esa aparente gratuidad, existe un ansiado valor “extraordinario” para las empresas y el mercado: información, datos, que les permiten conocer  los gustos y tendencias del consumidor y actuar acorde a ellos en el mercado.