Cesicat: de antivirus a pirata

Nació y creció casi sin grandes alharacas. El Cesicat —Centro de Seguridad de la Información de Cataluña— era desconocido para la mayoría de ciudadanos. Tampoco formaba parte del vocabulario de quienes manejan información sobre seguridad. Pero Anonymous lo ha puesto en el mapa. Las filtraciones sobre algunas de sus actividades han cuestionado la labor de esta fundación público-privada dedicada, en teoría, a velar por la seguridad en el ámbito de las tecnologías de la información por mandato de la Generalitat.

El 27 de octubre, los activistas filtraron en Twitter 38 archivos que demostraban cómo el organismo había monitorizado la actividad en esa red social de activistas y periodistas sobre diversos temas: la cumbre del BCE, el aniversario del 15-M, campañas contra Bankia o el novullpagar de las autopistas. Algunos nombres clásicos del tejido social reivindicativo catalán estaban en esos informes, como el abogado Carlos Almeida, la periodista Esther Vivas o el semanario La Directa. También de instituciones como el casal ultra Tramuntana. La filtración encendió Twitter, que empezó a hablar de la CIA catalana, o, con mofa, de la TIA catalana (en alusión al cómic de Mortaledo y Filemón).

Diversas fuentes alertan del riesgo de que los datos estén en manos de civiles

Pero no fue la única filtración. Hubo otras, aún más delicadas. Por ejemplo, la elaboración de perfiles de activistas. Fue el caso del fotoperiodista Jordi Borràs, del que recogieron datos personales, teléfono, dirección de e-mail y formación. El Cesicat había pasado de ser el garante de la seguridad a convertirse en una especie de pirata, traspasando el objetivo para el que fue creado.

La fundación no ha reconocido, oficialmente, que esos informes sean suyos y se ha limitado a negar que haya sufrido una incursión en su sistema. Fuentes policiales, sin embargo, confirman la autenticidad de los documentos, que iban destinados a la Unidad de Información de los Mossos d’Esquadra. “Se ofrecieron a hacerlo y aceptamos. Aunque tampoco eran de demasiada calidad”, aseguran las citadas fuentes, que restan valor al trabajo de monitorización de Twitter. En cualquier caso, la tarea es policial y no debería estar en manos de civiles, critican otras fuentes policiales, que ven en el Cesicat una suerte de cajón de sastre, con una misión poco definida.

El Cesicat nació en 2010, impulsado por el segundo tripartito. Su fin era, además de velar por la seguridad, “generar un tejido empresarial catalán dedicado a la seguridad de las TIC”. En la estructura cuentan con un mosso d'esquadra, con el que colaboran en los ataques informáticos de infraestructuras críticas. Su sede está en Reus y dispone de altísimas medidas de seguridad, incluidas salas con reconocimiento de huellas dactilares. Da trabajo a informáticos y antiguos hackers.

La fundación no ha reconocido oficialmente que esos informes sean suyos y se limita a negar que haya sufrido una incursión en su sistema

¿Es posible que el garante de la seguridad haya sido sufrido un ataque a su red interna? Fuentes policiales creen, más bien, que los datos fueron robados y filtrados por un antiguo empleado que abandonó la fundación disconforme. El departamento de Empresa y Ocupación, del que depende el Cesicat y que dirige Felip Puig (exconsejero de Interior), empezó diciendo que se trataba de “informaciones sin ningún crédito”. Más tarde, Puig admitió que el Cesicat “colabora” con los Mossos, y que ha investigado 56 millones de alertas de ataques informáticos.

Desde el 27 de octubre, un goteo de filtraciones, tanto en Twitter como en medios de comunicación, siguen arruinado la imagen de la fundación. El Confidencial contó que el Cesicat estudiaba software espía para introducirlo en teléfonos móviles, posiblemente de escoltas y altos cargos. Fuentes policiales aseguran que la iniciativa responde a un estudio solicitado para testar una nueva posibilidad que permitirá el Código Penal: registrar de forma remota teléfonos y ordenadores ante casos de delitos informáticos.

También han aparecido documentos de un estudio del Cesicat sobre qué costaría y cómo debería ser la Agencia Nacional de Seguridad. El Cesicat, según esa nueva filtración de Anonymous, sería el centro neurálgico de la agencia. ¿Qué más está haciendo el Cesicat? ¿Es realmente el intento de crear un CNI catalán? Sea así o no, el peligro, aseguran fuentes policiales, es que en el centro trabajen personas civiles, en lugar de policías o expolicías.

Hasta ahora, los seguimientos se han traducido en una denuncia en la Agencia Catalana de Protección de Datos por parte del fotoperiodista Jordi Borràs. Además, el PSC ha pedido a la fiscalía que investigue el origen de esos archivos e ICV-EUiA ha presentado ya una batería de preguntas sobre el tema. En medio de la polvareda, la Generalitat ha destituido al máximo responsable de la institución, Carles Flamerich, director general de Telecomunicaciones y Sociedad de la Información, pero asegura que responde únicamente a una reestructuración interna.