Las claves de un ‘caso Pegasus’ lleno de interrogantes
Partidos y entidades secesionistas encargaron la investigación a Citizen Lab tras conocer la primera intrusión
Este es un resumen de lo que se conoce hasta ahora sobre el caso de supuesto espionaje a líderes independentistas catalanes.
¿Cómo arranca la investigación? El 7 de julio de 2020, EL PAÍS y The Guardian investigan un presunto caso de espionaje al independentismo catalán. Los periodistas informan al entonces presidente del Parlament, Roger Torrent, de ERC, de que el programa Pegasus intentó colarse en su móvil entre abril y mayo de 2019. Tras el aviso, Torrent contacta con Citizen Lab, un laboratorio de ciberseguridad de la Universidad de Toronto (Canadá), que le confirma que su teléfono figura entre los 1.400 atacados en el mundo a través a través de un fallo de seguridad de WhatsApp. También están entre los teléfonos infectados por el virus los del exconsejero Ernest Maragall, la exdiputada de la CUP Anna Gabriel (huida a Suiza) y un militante del PDCAT con idéntico nombre que un abogado que defiende una hipotética Constitución catalana, Jordi Domingo.
Temiendo que no sean los únicos casos, los partidos independentistas catalanes encargan entonces a Citizen Lab que analice centenares de móviles de dirigentes políticos y activistas. Esa investigación dura 21 meses y su conclusión es lo que Citizen Lab ha bautizado como CatalanGate.
¿Quién participó en la investigación? Dirigentes de Junts, ERC y la CUP, cargos públicos y miembros de las entidades independentistas ANC y Òmnium. También, abogados vinculados al procés y expertos en tecnología conectados a la ofensiva independentista. Aunque la muestra inicial de móviles que todas estas organizaciones llevaron a Citizen Lab es una incógnita, Gonzalo Boye, letrado del expresidente Carles Puigdemont, prófugo en Bruselas, asegura que solo Junts facilitó al estudio 110 teléfonos. Y que Citizen Lab concluyó que el 10% de estos terminales habían sido infectados o atacados por Pegasus. La nómina de personas a cuyos teléfonos llegó el virus incluye al presidente, Pere Aragonès, a expresidentes (Artur Mas y Quim Torra) y a familiares como la esposa de Puigdemont. También a diputados autonómicos, nacionales y eurodiputados, empresarios de ideología independentista y alguno de los abogados que han defendido a los artífices del procés.
¿Hay más casos? Puede, pero todavía no han sido acreditados. El investigador senior de Citizen Lab, John Scott-Railton, aseguró a este periódico que las víctimas conocidas son la “punta del iceberg”. Y sugirió que entre el resto, aún no conocido, podría haber políticos de otros partidos o ciudadanos de otros ámbitos. Sólo se conocería, por tanto, el caso de los independentistas porque fueron estos quienes llevaron sus teléfonos a analizar.
¿Cuándo se produjeron las intrusiones en los móviles? El móvil del entonces presidente de la ANC, Jordi Sànchez, sufrió un primer ataque en 2015 y otros cinco en 2017, el año de estallido del procés. Pero el resto de ataques registrados se produjo en 2018 —cuando el pulso al Estado se había rebajado tras el encarcelamiento de sus principales artífices— y, sobre todo, en 2019 (año en el que se produjo la condena judicial a los líderes del procés, que dio lugar a violentos disturbios en Cataluña) y 2020.
Los ataques acreditados ¿pudieron producirse con autorización judicial? El CNI está obligado a recabar una autorización judicial para adoptar medidas que afecten a la inviolabilidad del domicilio y al secreto de las comunicaciones. Por tanto, el uso del programa Pegasus para espiar a independentistas solo sería legal si se hizo con permiso del juez del Supremo designado para este cometido, el magistrado Pablo Lucas.
Los servicios de inteligencia tienen entre sus funciones la de “prevenir y evitar cualquier amenaza a la integridad territorial de España”, y la ley que lo regula considera que se pueden avalar medidas que afecten al secreto de las comunicaciones cuando “resulten necesarias para el cumplimiento de las funciones asignadas al Centro”. Fuentes jurídicas interpretan que solo cabría la autorización judicial cuando exista un indicio de riesgo real.
¿Cómo se solicita y se concede la autorización judicial? La ley que regula el control judicial previo del CNI, de 2002, establece que el permiso se solicitará mediante un escrito en el que se deben concretar las medidas que se piden (por ejemplo, el uso de un programa informático para acceder al contenido de un móvil) e identificar una por una a las personas afectadas. No pueden adoptarse medidas generales contra un colectivo —por ejemplo, el movimiento independentista—, sino que la autorización debe recoger los nombres y apellidos de cada investigado. Además, el escrito expondrá los “hechos en los que se apoya [la medida], fines que la motivan y razones que aconsejan la adopción de las medidas solicitadas”; también debe especificarse la duración, que no podrá exceder de tres meses para la interceptación de las comunicaciones “postales, telegráficas, telefónicas o de cualquier otra índole”, aunque ambos plazos son prorrogables. El magistrado del Supremo acordará en un máximo de 72 horas la concesión o no de la autorización solicitada.
¿Qué ha dicho el CNI? El CNI sostiene, según han explicado fuentes del organismo a EL PAÍS, que usó Pegasus en algún momento para investigar a líderes independentistas catalanes (sin precisar ni a quiénes ni cuándo), pero que siempre lo hizo con autorización judicial y nunca pinchó teléfonos institucionales. Estas fuentes desconfían de la investigación realizada por Citizen Lab, descartan que tenga que ver con esas actuaciones autorizadas por un juez y aseguran que muchas de las personas que figuran en esa lista de supuestamente espiados no lo fueron “jamás” por el CNI.
