Citizen Lab admite ahora un error en su informe sobre Cataluña: Toni Comín no fue espiado

El director de Citizen Lab, Ron Deibert, ha reconocido en un comunicado hecho público el pasado 22 de diciembre que el informe Catalangate. Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru tiene al menos un error y que Toni Comín, el ahora eurodiputado de Junts fugado a Waterloo, no forma parte de los 65 supuestos espiados con este software de la empresa israelí NSO Group que reflejan en su polémico trabajo.

Según sus explicaciones, confundieron las iniciales T.C. (de Toni Comín) con las iniciales A.C. (de otro infectado con Pegasus): «Descubrimos que un investigador había leído mal las etiquetas asignadas a los resultados de dos personas, lo que provocó una confusión entre los teléfonos propiedad de dos personas con las mismas iniciales que formaban parte del mismo grupo de objetivos potenciales en la investigación del CatalanGate».

En su comunicado ‘Corrección de un caso’, Citizen Lab argumenta que esconden la identidad de los investigados durante el trabajo de campo para evitar «el posible sesgo del investigador», y que «el error se origina únicamente por una sola confusión al interpretar un sistema de etiquetas de trabajo». E insisten que, en ningún caso, en el resto de 64 móviles infectados se hallan «falsos positivos».

Denuncian cuatro falsos positivos

No obstante, y como informó THE OBJECTIVE, las sombras sobre el rigor académico de su investigación han sido denunciadas por varios informáticos especializados en ciberseguridad, como el hacker ético Jonathan Scott. En su recién estudio de revisión del CatalanGate, titulado Review of Catalangate. Amnesty International Validation, publicado en noviembre, sostiene que los cuatro casos que Citizen Lab dio a Amnistía Internacional para corroborar la infección fueron falsos positivos.

Se trata de los casos de Jordi Sánchez, expresidente de la ANC y dirigente de Junts; Elisenda Paluzie, expresidenta de la ANC; Sònia Urpí, miembro de la ANC, y Txell Bonet, mujer de Jordi Cuixart. Son los únicos del total de 65 presuntos casos de los que se dispone de información pública, ya que Amnistía Internacional compartió en GitHub, un portal que permite a terceros analizar los códigos de diferentes programarios, sus resultados.

Esta transparencia de la ONG al compartir sus análisis provocó que cuatro expertos en infección de dispositivos móviles concluyeran que los supuestos espionajes eran meras actualizaciones de los programas contenidos en todos los iPhones de Apple. Y es que los expertos avisan de que resulta extremadamente fácil simular falsos positivos. Los responsables técnicos de Amnistía reconocieron el error. Curiosamente, estos cuatro casos verificados por Amnistía Internacional fueron a cargo de Etienne Mayner, que trabajó por Citizen Lab hasta abril de 2021.

Citizen Lab se niega a análisis externos

El laboratorio canadiense se ha negado por activa y por pasiva a compartir la información del resto de casos. Y como explicó este periódico, pidió por carta vetar la presencia de dos profesores universitarios que cuestionaban su informe del CatalanGate en la comisión PEGA del Parlamento Europeo sobre el espionaje con Pegasus. Asimismo, tampoco han permitido que se realice una comisión independiente que analice sus resultados.

En su estudio, Scott también denuncia que Citizen Lab no cumple con ninguno de los requerimientos que exige la Agencia de la Unión Europea por la Seguridad de la Información a Internet (ENISA). Y también destapa cómo el caso de Sònia Urpí no apareció en el informe del CatalanGate hasta cien días después que los otros cuatro casos compartidos con Amnistía Internacional.

El 18 de abril se publica -de forma coordinada con el New Yorker y posteriormente a las campañas con el mismo nombre preparadas por el independentismo- el informe CatalanGate. El 19 de abril Amnistía Internacional dio por buena la publicación, pero tardan cien días en validar el caso de Urpí pese a que ya figuraba en el informe.

Con todo, Scott concluye que las investigaciones sin fundamento científico de Citizen Lab «han llevado a autoridades mundiales a tomar decisiones basadas en informaciones falsas». Y solicita que las conclusiones del laboratorio canadiense puedan ser «contrastadas por un verdadero análisis imparcial».

10 millones de Apple

En el libro Pegasus. El Estado que nos espía, del expresidente del Parlament Roger Torrent explica que Citizen Lab estaba recopilando pruebas de cara a un juicio contra NSO Group en 2020, antes de que Apple presentara su querella en noviembre de 2021 contra dicha empresa. 

«Tardaremos aún semanas o meses, pero acabaremos de precisar y ordenar toda la información disponible sobre su ataque, enumeraremos otros intentos de infiltración que han llevado a cabo, y lo más importante, haremos público la lista ampliada de víctimas, con nombres y apellidos. A los de Citizenlab les interesa cerrar la carpeta para poder proporcionar munición a WhatsApp, Apple y a nosotros mismos, para tener material sólido para presentar a los procesos judiciales», explica en su obra.

En noviembre de 2021, Apple informó de la aprobación de 10 millones de dólares en financiación a «las organizaciones que realizan investigaciones y defensa de la vigilancia cibernética» como Citizenlab y Amnesty Tech. En la nota de prensa, Apple felicitaba a estos dos laboratorios «por su innovador trabajo para identificar abusos de cibervigilancia y ayuda a proteger a las víctimas». 

En la misma línea, WhatsApp, la aplicación de mensajería instantánea de Facebook (ahora Meta), también ha llevado a juicio a la empresa israelí NSO Group -propietaria de Pegasus- con base en los estudios de Citizenlab y citando a algunos de sus autores.

Todo ello ha arrojado ciertas dudas sobre un posible conflicto de intereses del laboratorio canadiense o, como mínimo, sobre la motivación real para llevar a cabo las investigaciones. En especial, por la cronología de los eventos y por la posibilidad de haber recibido compensación económica por ello.

Comín compareció como «víctima» en la UE

Toni Comín compareció como víctima del supuesto espionaje por parte del Estado a los independentistas en la comisión del Parlamento Europeo formada para este propósito. «En aquellas mismas fechas [del acto en Perpiñán con Puigdemont] algún órgano del Estado español consideró que era necesario espiarme», afirmó en sede parlamentaria el pasado 6 de octubre.

«¿Qué se va a hacer con la información que se ha obtenido con el espionaje de mi móvil? Tenemos un problema, ¿qué información tienen, qué se va hacer con esta información? Tenemos un problema muy importante». Y acusó a «la pretendida democracia española» de obtener información «sensible» de sus contrincantes políticos mediante de una «ley franquista».