Elies Campo: “Com a mínim ha d’haver-hi el doble d’infectats per Pegasus”

BarcelonaElies Campo (Barcelona, 1983) és col·laborador de Citizen Lab i un dels investigadors d’aquest grup de recerca de la Universitat de Toronto que han destapat el Catalangate.

Com va arribar fins a Citizen Lab?

— L’octubre del 2019 WhatsApp i Citizen Lab es van posar en contacte amb les víctimes potencialment afectades per Pegasus. Com que sabien que jo havia treballat a WhatsApp, algunes van contactar amb mi per saber si el missatge era genuí. Els meus excompanys em van dir que sí, que no em podien dir gaire més però que em posés en contacte amb Citizen Lab per entendre el cas. Allà va començar la meva relació amb el grup.

La seva especialitat quina és?

— A Citizen Lab hi ha experts de diferents àmbits que hi col·laboren d’alguna manera. Des d’advocats fins a experts en ciberseguretat o tecnologia, que és el meu cas.

Què han anat descobrint fins a arribar al Catalangate?

— Hem descobert que hi ha hagut un ús massiu de Pegasus a un ventall molt gran de la societat civil. Ha afectat polítics, activistes, empresaris, advocats, professors, doctors, periodistes... I hem trobat diferents tipus d’atac amb què s’introduïa el programari en els dispositius.

Sovint era amb missatges que semblaven versemblants a partir dels interessos de la persona.

— Sí. En el contingut dels més de dos-cents SMS que sabem que s’han enviat a les víctimes hem trobat un esforç editorial, un estudi molt personalitzat de qui rebia el missatge; ja sigui dels seus interessos, dels seus oponents professionals o polítics, dels mitjans de comunicació que consumeix o de les organitzacions amb les quals es relaciona. En alguns casos fins i tot hem trobat parts del número del DNI de la persona o informació de vols que havia comprat.

Aleshores aquesta persona clicava i el programa s’instal·lava.

— Per instal·lar Pegasus en un dispositiu cal saltar-se totes les mesures de seguretat dels sistemes operatius, tant d’Apple com d’Android, Windows o Mac. Per fer-ho s’aprofiten forats de seguretat i, en el cas dels SMS, se n’utilitzava un que hi havia a l’explorador d’internet. L’usuari havia de fer clic en aquell enllaç perquè Pegasus s’instal·lés. En altres casos, en canvi, s’utilitzava una vulnerabilitat de zero-click, que vol dir que l’usuari no ha de fer res per infectar-se. La persona rebia un missatge especialment formatat a través d’iMessage d’Apple i això permetia la instal·lació de Pegasus. 

Què val el programa Pegasus?

— En alguns casos en què s’han filtrat contractes els costos van de setanta a vuitanta mil euros per infecció. Però cada client deu tenir el seu propi contracte amb NSO i el seu propi preu.

NSO diu que aquest programa només el ven a estats.

— El que veiem a Citizen Lab és que no hi ha un marc legal concret d’utilització d’aquestes eines. És dels punts principals que ens preocupen: quins marcs legals s’utilitzen, què se’n fa de les dades que es capturen o si aquestes dades queden emmagatzemades per al client o per a NSO. Hi ha moltes preguntes per respondre.  

En el cas que ens ocupa, aquest programa s’hauria fet servir entre el 2019 i el 2020, quan els presos polítics ja eren a la presó i el pinyol del Procés ja havia passat. Hi ha alguna explicació?

— Nosaltres ens hem dedicat a trobar i documentar l’evidència tecnològica. L’anàlisi política crec que és una feina periodística que espero que es faci. Sobretot quan puguem publicar la llista completa dels SMS, perquè la data de recepció és molt significativa per poder fer una correlació dels esdeveniments que estaven passant en aquell moment i trobar una explicació de per què s’intentava atacar aquella persona. 

Crec que només han pogut trobar traces de Pegasus a mòbils iPhone. ¿En la gent que tingui Android, el Pegasus no es pot detectar?

— El sistema operatiu d’Android és bastant més flexible que el d’iPhone i, per tant, ens és més difícil trobar evidències en aquests casos. En els iPhones tenim una manera més ràpida o escalable de fer-ho i per això ens hi hem focalitzat. La conclusió que en traiem és que, segurament, en dispositius Android hi ha un nombre de casos afectats similar al cas dels iPhones. Podríem arribar a especular que, com a mínim, ha d’haver-hi el doble d’afectats.

¿Normalment, s’enviava un missatge a una persona o se li continuava enviant fins que hi clicava?

— A la majoria dels casos hem trobat molts SMS a persones en concret.

A quines persones els van enviar més missatges? 

— Ara mateix recordo que Jordi Sànchez en va rebre uns vint-i-cinc i crec que amb David Bonvehí en vam trobar trenta-dos. Crec que són les persones amb un volum de missatges més significatiu.

¿Els presidents de la Generalitat també en van rebre molts?

— En el cas del president Pere Aragonès crec que n’hem trobat fins a quatre; en el cas del president Artur Mas segurament devia ser una vulnerabilitat zero-click; en el del president Torra hi vam trobar la combinació d’SMS i infeccions, i en el cas del president Puigdemont no en vam trobar al seu dispositiu, perquè tenia Android, però sí a tot el seu voltant: parella, amistats, equips de treball i companys de feina.

¿Les persones que parlaven amb aquestes persones que tenien els telèfons infectats també se’ls quedava infectat el telèfon?

— Pegasus no es comporta com un virus que s’infecta massivament, sinó que és molt concreta la persona que es vol atacar. El que sí que documentem és que quan s’ataca una persona, no només es vulneren els drets i intimitat d’aquella persona, sinó de totes aquelles persones que s’hi havien comunicat i hi havien compartit missatges, fotos, e-mails o qualsevol tipus de contingut.

Quina defensa hi ha contra això?

— El gran repte d’aquest tipus de tecnologies és que realment no hi podem fer res i les perspectives que s'hi pugui fer res tampoc hi són. D’aquí la necessitat que hi hagi una regulació i un marc legal que garanteixi que hi hagi una transparència en l’autorització d’ús d’aquest tipus d’eines, de la mateixa manera que hi ha una regulació i un marc legal on es pot utilitzar armes biològiques o armes nuclears. El gran repte que tenen els països globalment és com es regulen aquest tipus d’eines i en quins marcs legals es poden operar.

Si una empresa israeliana ha pogut desenvolupar un software d’aquestes característiques, en altres països també és possible.

— Exacte. Una de les grans preocupacions que tenim és que en qualsevol cicle tecnològic, quan es crea una innovació normalment al principi, aquesta tecnologia és molt cara i molt poc accessible, però a mesura que van passant els anys acostuma a ser més distribuïda, més accessible i més barata. Ens podem trobar que es normalitzi l’ús d’aquest tipus d’eines, que moltes companyies comencin a vendre aquest tipus de productes i, al final, ens trobem, com descrivia l’editorial del The Washington Post, en una societat en què s’espia massivament la població.  

Qui hi ha darrere de Citizen Lab?

— Citizen Lab és un laboratori multidisciplinari, en què hi ha experts de policy, experts legals, experts de tecnologia, i depèn del múscul de la Universitat de Toronto i el regeix un comitè d’ètica i de tecnologia en què se segueixen un seguit de mesures de com es fan els estudis, i tot depèn de la Universitat de Toronto. 

Deuen estar molt atacats informàticament. 

— Bé, sí que hi ha casos documentats de membres dels equips que han estat atacats o espiats, i d’això n’hi ha alguns articles i algun documental on s’explica el que han patit alguns dels seus membres. 

Vostè estava a WhatsApp quan Facebook els va comprar; va treballar fins fa poc a Telegram. Tinc la impressió que vostè deu tenir la vida raonablement resolta. Què el porta a implicar-se en això?

— Un dels objectius de WhatsApp i Telegram és apoderar els ciutadans a poder comunicar-se lliurement i de manera segura. Contribuir amb eines d’aquest tipus és una motivació que sempre he tingut. Quan es van començar a veure aquests casos, em vaig trobar amb la intersecció de tecnologia, de drets humans i el meu país. La vida m’ha posat en una situació en què no puc dir que no.