El mòbil del president del Parlament va ser objectiu d’un programa espia que només poden comprar Governs

El mòbil del president del Parlament de Catalunya, Roger Torrent, d'ERC, va ser objectiu de Pegasus, un programa espia desenvolupat per la companyia israeliana NSO que només poden comprar Governs i forces i cossos de seguretat per combatre el crim i el terrorisme.

El telèfon de Torrent, segona autoritat de Catalunya després del president de la Generalitat, Quim Torra, va ser atacat amb Pegasus el 2019, segons una investigació d'EL PAÍS i The Guardian.

La intrusió al telèfon del dirigent independentista es va forjar a través d'un error de seguretat de WhatsApp que va permetre entre l'abril i el maig del 2019 intentar colar el programa espia de NSO en, almenys, 1.400 terminals al món. L'estratagema per a l'atac era una trucada perduda de vídeo a través de la popular aplicació de missatgeria, segons ha informat WhatsApp.

Pegasus va aprofitar aquest punt feble per atacar el mòbil de Torrent, segons Citizen Lab, un grup de ciberseguretat de la Munk School amb seu a la Universitat de Toronto (Canadà), que va investigar en exclusiva l'error de l'aplicació de missatgeria del 2019. WhatsApp va facilitar a Citizen Lab els números assaltats pel ciberespia israelià, entre els quals hi havia el de Torrent, segons aquests investigadors, pioners a fer pública l'existència de Pegasus.

EL PAÍS i The Guardian han tingut accés a un certificat emès per Citizen Lab que acredita que el telèfon del president del Parlament va ser atacat amb el programa espia de NSO. “La investigació ha identificat que el número pertany al senyor Roger Torrent”, indica l'anàlisi.

El document sosté que els agressors van recórrer a una trucada perduda de WhatsApp “que no requeria resposta” per arremetre contra el mòbil del polític català. I recull “múltiples proves que podrien determinar que Torrent va ser monitorat”.

El telèfon de Torrent figura en una llista d'un centenar de casos al món recopilats per Citizen Lab de “representants de la societat civil” atacats de manera indiscriminada mitjançant la vulnerabilitat de WhatsApp, segons l'organisme canadenc. Citizen Lab xifra en 130 persones les que han estat víctimes injustificades del programa de NSO des del 2016.

Pegasus permet escoltar converses, llegir missatges, accedir al disc dur, fer captures de pantalla, revisar l'historial de navegació i activar per control remot la càmera i el micròfon dels dispositius. Una possibilitat que obre la porta a escoltar el so ambient d'una habitació si hi ha un mòbil infectat. El sistema facilita, fins i tot, punxar missatges i trucades de veu xifrades, segons els experts canadencs.

Els investigadors connecten la misteriosa desaparició de missatges de WhatsApp al mòbil de Torrent el 2019 amb un senyal que el telèfon “podria haver estat manipulat per un tercer i infectat”. I, encara que no poden identificar qui va ordenar l'atac, especifiquen que la companyia israeliana creadora de Pegasus “ven els seus productes exclusivament a Governs”. Un fet que confirma NSO al seu web, on exposa els seus serveis com a solucions per combatre el crim adreçades a l'Exèrcit i la Policia.

Durant el temps que el mòbil de Torrent va ser objectiu de Pegasus (2019), el dirigent independentista va participar en desenes de trobades polítiques i va declarar com a testimoni davant del Suprem en el judici del procés. L'alt tribunal va imposar a Carme Forcadell, predecessora de Torrent a la presidència del Parlament, una pena d'11 anys i mig de presó per un delicte de sedició. La sentència va preveure condemnes d'entre 9 i 13 anys per a nou líders independentistes.

Torrent va participar el maig del 2019, quan va ser objectiu de Pegasus, en una reunió a Estrasburg amb la comissària de Drets Humans del Consell d'Europa, Dunja Mijatvic. “Notava coses estranyes. Se m'esborraven missatges de WhatsApp i els historials de converses. A la gent del meu entorn no li passava”, explica el polític català, que diu que ha rebut també el 2019 “estranys” missatges SMS. Torrent veu la mà de “l'Estat espanyol” al darrere de l'atac de Pegasus.

“El Govern [espanyol] no té constància que el president del Parlament de Catalunya, Roger Torrent, hagi estat objecte d'un hackeig”, assegura un portaveu de l'Executiu, que destaca que la intervenció de les comunicacions es desenvolupa amb ordre judicial. Així mateix, un portaveu del CNI ha indicat que l'organisme “actua sempre amb plena submissió a l'ordenament jurídic i amb absolut respecte a la legalitat vigent”. I recorda que les accions del servei secret estan supervisades per un magistrat del Tribunal Suprem.

EL PAÍS i The Guardian han intentat sense èxit recollir les versions de la Guàrdia Civil, la Policia Nacional i el Ministeri de l'Interior.

Citizen Lab reconeix la dificultat de provar l'abast del ciberassalt al telèfon de Torrent, ja que, indica, els programes de NSO “disposen d'un sistema d'esborrada dels dispositius”. “Quan trobes un objectiu de Pegasus, trobes les empremtes d'un Govern”, valora l'investigador d'aquest grup John Scott-Railton. Segons aquest expert, “és possible confirmar que el telèfon [de Torrent] va ser objectiu de Pegasus. No obstant això, caldria una investigació addicional per saber si el van hackejar. No hi ha cap motiu per pensar que no va ser així”.

Després de ser informat per aquest diari, l'equip de Torrent va contactar dijous passat amb Scott-Railton. “Ens va donar el mòbil del president del Parlament sense que l'hi demanéssim i va dir que figurava entre els atacats per Pegasus. La infecció va tenir èxit? Scott creu que sí perquè a Torrent se li esborraven els missatges de WhatsApp el 2019, un dels efectes de Pegasus”, assegura un portaveu del president de la Cambra catalana.

Controlada pel fons londinenc Novalpina Capital, la companyia NSO diu que disposa d'una política per investigar la mala utilització dels seus sistemes. L'empresa israeliana es nega a aclarir si Espanya figura en la seva cartera de clients. “A causa de la confidencialitat, no podem confirmar quines autoritats fan servir la nostra tecnologia”, respon per correu l'empresa. L'empresa assegura que iniciarà una investigació “si es justifica” que els seus productes es van utilitzar malament a Espanya.

La companyia israeliana s'ha desvinculat davant de tribunals dels Estats Units del mal ús del seu programa espia. L'empresa atribueix aquesta responsabilitat als seus clients, els Governs que adquireixen els seus productes. “Si algú va instal·lar Pegasus, no va ser NSO”, ha arribat a indicar la firma com a defensa en el litigi que manté amb WhatsApp. L'aplicació de missatgeria va denunciar NSO a l'octubre per haver utilitzat la seva plataforma per infectar amb Pegasus els mòbils d'activistes i diplomàtics d'arreu del món.

No consta que les forces i cossos de seguretat de l'Estat espanyol siguin clients de NSO. La Policia Nacional i el CNI sí que van contractar, almenys fins al 2015, la seva principal competència, la companyia italiana Hacking Team, segons 400 gigues de correus interns d'aquesta empresa, que van aflorar després d'un hackeig als seus servidors el 2015.

El radar de Pegasus s'estenia el 2018 per 45 països, segons Citizen Lab. I es va acarnissar amb activistes a Bahrain, el Kazakhstan, el Marroc, l'Aràbia Saudita, la Unió dels Emirats Àrabs i Mèxic. Els mòbils de 25 polítics, activistes i informadors mexicans, entre els quals figuraven els periodistes Carmen de Arístegui (Arístegui Noticias), Andrés Villareal i Ismael Bojórquez (Río Doce) i Carlos Loret de Mola (Televisa) van rebre la visita de l'espia el 2019. També, tres membres de l'organització Mexicanos contra la Corrupción y la Impunidad i els dirigents del Partit d'Acció Nacional (PA) Ricardo Anaya i Fernando Rodríguez Noval van ser monitorats. Un assalt que coneix de prop Omar Radi, un periodista marroquí de 33 anys amb un dispositiu que va ser infectat per Pegasus després d'haver criticat un jutge.