Arnaldo Otegi, coordinador general de EH Bildu, y Jon Iñarritu, diputado del partido en las Cortes, habrían sido espiados por Pegasus, un programa espía desarrollado por Israel y al que solo tienen acceso a su compra los gobiernos.
El Citizen Lab, en colaboración con grupos de la sociedad civil catalana, ha identificado al menos a 65 personas atacadas o infectadas con spyware mercenario. Al menos 63 fueron atacados o infectados con Pegasus y otros cuatro con Candiru. Al menos dos fueron atacados o infectados con ambos.
Entre las víctimas se encontraban diputados al Parlamento Europeo, presidentes de Cataluña, legisladores, juristas, miembros de organizaciones de la sociedad civil y los dos componentes de EH Bildu. Los familiares también se infectaron en algunos casos.
Atribución a un gobierno
Por el momento, Citizen Lab no atribuye de manera concluyente estas operaciones de piratería a un gobierno en particular, sin embargo, una variedad de evidencias circunstanciales apunta a un fuerte nexo con una o más entidades dentro del gobierno español, que incluyen:
- Los objetivos eran de evidente interés para el gobierno español.
- El momento específico de la focalización coincide con eventos de interés específico para el gobierno español.
- El uso de contenido de cebo en los SMS sugiere el acceso a la información personal de los objetivos, como los números de identificación del gobierno español.
- Según se informa, el CNI de España ha sido un cliente del Grupo NSO
También consideran poco probable que un cliente de Pegasus que no sea español emprenda una orientación tan amplia dentro de España, utilizando SMS y, a menudo, haciéndose pasar por las autoridades españolas. Tal operación clandestina de varios años, especialmente contra personas de alto perfil, tiene un alto riesgo de descubrimiento oficial y seguramente conduciría a graves repercusiones diplomáticas y legales para una entidad gubernamental no española.
Ataques por SMS
Muchas víctimas fueron atacadas mediante ataques basados en SMS. Desde Citizen Lab afirman haber recopilado más de 200 mensajes de este tipo. Estos ataques involucraron a operadores que enviaban mensajes de texto que contenían enlaces maliciosos diseñados para engañar a los objetivos para que hicieran clic. Una vez que la víctima hace clic en un enlace, el dispositivo se infecta a través de un servidor de explotación de Pegasus.
Otro modo común para atacar era hacerse pasar por notificaciones oficiales de entidades gubernamentales españolas, incluidas las autoridades fiscales y de seguridad social. Los mensajes también usaban ID de remitente de SMS para hacerse pasar por cuentas de agencias oficiales.
En particular, los mensajes oficiales falsos a veces estaban muy personalizados. Por ejemplo, un mensaje enviado incluía una parte de su número de identificación fiscal oficial real, lo que sugería que el operador de Pegasus tenía acceso a esta información.
También se observa el uso regular de seguimiento de paquetes o notificaciones de entrega. Algunos estaban personalizados y contenían los nombres de los objetivos.
Muchos mensajes se hacen pasar por Twitter o actualizaciones de noticias, generalmente enfocados en temas de interés para el objetivo. Las organizaciones de noticias suplantadas incluyeron medios internacionales como The Guardian, Financial Times y Die Welt, medios en inglés como Columbia Journalism Review, así como medios regionales como La Vanguardia, Europa Press, El Temps, El Confidencial, etcétera.
Los mensajes de correo electrónico fueron muy bien construidos para atraer a los objetivos a hacer clic en los enlaces. Por ejemplo, dos de los tres objetivos recibieron un correo electrónico a principios de febrero de 2020, con el emblema oficial del Gobierno de España e informando que la Organización Mundial de la Salud había declarado COVID-19 como una “Emergencia de Salud Pública de Importancia Internacional” en enero.
Reacciones
Por su parte, Jon Iñarritu ha pedido explicaciones al Gobierno español ante este «ataque masivo contra el independentismo» y pide cesar de inmediato a los responsables de «este espionaje político». Anuncia que tomará las medidas jurídicas oportunas. «El Gobierno está tardando en aclarar este ataque masivo a la disidencia política y cesar a sus responsables inmediatamente» ha señalado en su cuenta de Twitter.
Desde el ministerio del Interior se han desvinculado del espionaje que se ha hecho. Tanto Interior como la Policía Nacional y la Guardia Civil aseguran a la que nunca han sido clientes de la firma israelí NSO Group que es la proveedora de esta arma de ciberseguridad.
