Los descuidados peritos del “Catalangate”: el valor del informe de Citizen Lab
El informe CatalanGate; Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru publicado por Citizen Lab en la Universidad de Toronto ha causado gran revuelo mediático y político. Este informe ha tenido la virtud de interesar a la opinión pública en el riesgo que tenemos los ciudadanos de ser espiados por gobiernos y corporaciones. También parece haber forzado al gobierno a hacer cierto análisis introspectivo sobre los protocolos y trabajos de vigilancia digital por parte de los servicios de seguridad del Estado, que ha causado el relevo en el puesto de la directora del Centro Nacional de Inteligencia. Es bien conocido como este informe ha sido instrumentalizado en una maniobra de desprestigio contra España por parte del independentismo y de ciertos sectores de la izquierda. Esta campaña de comunicación tuvo como punto de partida un artículo de Ronan Farrow en New Yorker y continuó con un editorial en Washington Post y un sinfín de entrevistas en las televisiones y prensa catalana. A esto se sumó una operación en redes sociales y las típicas comunicaciones y solicitudes de intervención a instituciones supranacionales.
Una parte menos conocida por la opinión pública de este caso es que los autores del informe y miembros de Citizen Lab, no solo aparecen en medios de comunicación nacionales e internacionales, sino que también son invitados a ofrecer opinión experta en comisiones parlamentarias y hasta en procedimientos judiciales. Por ejemplo, varios de los miembros de Citizen Lab han sido ya consultados por Comité de Investigación sobre Pegasus constituido en el Parlamento Europeo el 19 de abril. También el conocido abogado, Gonzalo Boye -una de las presuntas victimas según el informe de Citizen Lab- interpuso el pasado 3 de mayo una querella contra la empresa Q Cyber Technologies Ltd así como contra sus subsidiarias NSO Group Technologies Ltd. y OSY Technologies y algunos de sus directivos y fundadores por el caso de espionaje con el software Pegasus. En esta querella no solo se incluía el estudio de CatalanGate y varios artículos periodísticos en el índice documental, sino que también solicitaba que se tomase declaración en calidad de peritos a siete de los ocho autores del informe, y que se llamase a declarar a uno de ellos Bill Marczak en calidad de testigo.
No es la primera vez que los miembros de este centro interdisciplinar son invitados a aportar testimonio en diferentes comisiones parlamentarias o en sede judicial —lo han hecho por ejemplo en Estados Unidos, Polonia y Reino Unido—. Sin embargo, algunos académicos y periodistas hemos ido mostrando en las últimas semanas que la investigación de Citizen Lab contiene demasiadas anomalías como para que el informe CatalanGate o sus autores sean considerados como fuentes periciales neutrales. Resumo a continuación algunas de los problemas más importantes detectados tanto desde el punto de vista metodológico como de deontología. Estos problemas han sido puestos de manifiesto en un documento enviado a la Universidad de Toronto junto a una solicitud para que se abriese una investigación independiente por posibles infracciones del código de integridad profesional de esta institución.
En primer lugar, llama la atención la falta de transparencia en algunas cuestiones metodológicas muy relevantes. Del informe no se puede deducir ni cuando, ni cómo ni dónde, ni por quien fueron llevados a cabo los análisis forenses. Esto es algo curioso no solo porque este tipo de datos se suelen aportar en cualquier artículo o informe científico, sino porque la literatura académica especializada en este tema argumenta que los análisis exclusivamente digitales en remoto presentan limitaciones. Citizen Lab no ha querido detallar los criterios de muestreo usados para seleccionar a los participantes en el estudio, ni tampoco el número total de casos estudiados y el porcentaje de casos positivos, lo que es relevante para poder sacar conclusiones sobre la incidencia relativa del problema en una población.
El informe no ha sido sometido a una revisión de pares (“peer review”) y no pone a disposición los datos necesarios para poder replicar los resultados. Extrañan más aún las reticencias que Ronald Deibert, el director de Citizen Lab, mostró frente a los Europarlamentarios del Grupo Renew Europe y a la prensa cuando se le solicitaron detalles sobre la investigación. Este rechazo es llamativo dado que él tiende a criticar los estudios que no son transparentes. Por ejemplo, en una reciente entrevista en El País cuando los entrevistadores le recordaron que “El CNI solo ha reconocido haber espiado a 18 de los 65 casos que ustedes mencionan”. Deiber respondía: “¿Cómo podemos verificar eso? ¿Qué han enseñado en la comisión de secretos oficiales? ¿Lo creen?”. Igualmente, en 2017 el mismo Deibert publicó un artículo en el foro online Just Security donde criticaba un informe del FBI sobre las operaciones de ciberespionaje ruso en Estados Unidos precisamente por la falta de verificación externa, la ausencia de pruebas sólidas en la atribución de la autoría a Rusia y por no aclarar el grado de confianza atribuido a cada indicador utilizado.
Esta crítica, perfectamente lógica y válida, choca frontalmente con la forma de proceder en el informe CatalanGate donde tampoco se pueden verificar los resultados, donde las pruebas para incriminar a España son “circunstanciales” (como el mismo informe admite), donde no se reportan grados de confianza de ningún indicador, ni se consideran falsos positivos o explicaciones alternativas. Es más, en la misma entrevista en El País, Deibert, que es un politólogo de formación, alega que los métodos de Citizen Lab son 100% fiables y que no es posible que haya falsos positivos. Estas afirmaciones contradicen la práctica científica comúnmente aceptada (donde se considera la posibilidad de errores instrumentales) y la opinión de algunos expertos en ciber-espionaje que argumentan que no solo es posible que haya falsos positivos de Pegasus, sino que es posible fabricarlos. Esta tesis es bastante conveniente si como refleja el libro de Roger Torrent Pegasus: L’Estat que ens espía (2021), existía un aparente interés por parte de los autores y participantes en el estudio en maximizar el número de resultados positivos encontrados. Igualmente parece plausible que esta sea una de las razones por las que no parecen haberse establecido controles para evitar la manipulación de la evidencia por parte de las presuntas víctimas, algunas con conocimientos informáticos muy avanzados.
Otro aspecto digno de mención es que ningún conflicto de interés fue reconocido explícitamente, algo que es básico en cualquier investigación científica. Entre ellos quizás el más llamativo es que uno de los autores, Elies Campo, un activista independentista que colaboró en la organización del referéndum de 2017 y que aparece como victima en el informe fue quien se encargó de coordinar el trabajo de campo en Cataluña. Es también irregular que se le encargase en julio de 2020 una tarea tan importante cuando él no tenía experiencia previa en investigaciones científicas ni tenía titulación académica al efecto. Hasta enero de 2022 no fue nombrado Fellow en Citizen Lab y aunque no dijo la verdad sobre su situación laboral, en teoría trabajaba para Telegram, por lo que no deja de ser sorprendente su participación en un proyecto que supuestamente se había iniciado por un encargo de WhatsApp a Citizen Lab.
No se hace referencia tampoco al interés de Citizen Lab por conseguir “munición” a WhatsApp, Apple y a los independentistas para que tuvieran material sólido que presentar en procesos judiciales, tal y como declaraba Torrent en su libro. Ciertamente existen investigaciones motivadas por intereses corporativos o de otro tipo, pero los protocolos éticos científicos exigen que entonces que estos intereses sean puestos de manifiesto. Torrent llega a referirse a que uno de los autores trabajaba en nombre de Apple, lo que puede tener conexión con que después de los primeros cinco casos supuestamente identificados en la lista de WhatsApp, la investigación se centrase en dispositivos iPhone.
En cualquier caso, resulta curioso que se invite como peritos y testigos a un procedimiento judicial contra una compañía a unas personas que presuntamente trabajaban para otra compañía que planeaba demandar a la primera. Efectivamente, Apple acabó demandando a NSO Group en noviembre de 2021 y en la comunicación oficial llegó a mencionar explícitamente el agradecimiento a Citizen Lab y Amnesty anunciando una contribución de 10 millones de dólares para apoyar a organizaciones que investiguen este tema.
El informe también omite que la Agència de Cibertseguretat trabajó en el análisis de los móviles con Citizen Lab y que los partidos políticos y asociaciones independentistas, jugaron un papel clave en la identificación de potenciales casos sospechosos de infección. Torrent incluso indica que Gonzalo Boye hacía un inventario, ya el 24 de julio de 2020. Es decir, el demandante incluye como prueba un informe que ha ayudado a elaborar. Tampoco se explica el motivo teórico o científico que les hizo ceñirse a analizar solo a personas ligadas al independentismo. La elección como título de “CatalanGate” que era una referencia propagandística que ideo Ernest Maragall y que era el nombre de una web que se había registrado en enero 2022 por la ANC y que pertenece a Omnium también resulta indicador de la falta de neutralidad del informe.
Por otra parte, las contradicciones entre los autores, periodistas y el mismo Torrent en el relato de cómo se inició la investigación en Cataluña resultan notables. Si Citizen Lab tenía la lista de víctimas de la brecha de seguridad de WhatsApp desde 2019, ¿por qué Torrent se enteró que su teléfono había sido atacado cuando fue contactado por unos periodistas de El País y The Guardian? ¿Por qué habiendo 1400 nombres en la lista, muchos de dictaduras y países con importantes vulneraciones de derechos humanos, decidieron emprender una investigación sobre el caso de los independentistas, donde el hecho de que hubiese vigilancia policial no podía sorprender demasiado?
Pero quizás lo más llamativo es que el informe no haga ninguna referencia a las precauciones que normalmente se toman cuando una investigación académica presenta riesgos para los intereses de terceros. En este caso Citizen Lab estaba alertando a ciudadanos de que podían estar siendo objeto de vigilancia por alguna agencia gubernamental española. Es preciso recordar que era razonable pensar que muchos de estas personas estaban siendo investigadas por orden judicial, otras estaban fugadas y algunas incluso encarceladas. Por ejemplo, tres de los espiados se habían reunido con emisarios del Kremlin y seis trabajaban en el área de la tecnología blockchain y criptomonedas y se sospechaba que habían participado en la organización de la plataforma Tsunami Democratic. Como se ha revelado posteriormente los servicios de inteligencia españoles estaban vigilando a 18 líderes independentistas. No sabemos si sus escuchas fueron afectadas por la investigación de Citizen Lab. Ni los autores ni el comité ético de la Universidad de Toronto han dicho cómo se aseguraron de que con su investigación no se interfería el curso de la justicia española.
En definitiva, más allá de las implicaciones que este estudio pueda tener a nivel político y de reputación para el país, lo cierto es que existen una serie de aspectos técnicos que hay que tener muy presentes a la hora de determinar su auténtico valor tanto como prueba documental en comisiones parlamentarias como, sobre todo, en sede judicial. Estas anomalías (y otras ya puestas de relieve en prensa y redes sociales) apuntan a cuestiones e inconsistencias que pueden ser de mucho interés a la hora de tenerlos en cuenta en otros procesos e investigaciones donde los participantes están implicados.