Entre 2017 y 2022, al menos 67 políticos, abogados, periodistas y otras personas relacionadas con el ‘procés’ independentista en Catalunya fueron espiadas con Pegasus, un poderoso programa informático desarrollado en Israel. El Centro Nacional de Inteligencia (CNI), dependiente del Gobierno español, reconoció haber vigilado a 18 personas con previa autorización judicial del Tribunal Supremo, entre ellas los expresidentes Pere Aragonès, Quim Torra, Carles Puigdemont y Artur Mas. Sin embargo, el resto de implicados habrían sido víctimas de un método tan ilegal como opaco, un caso conocido como Catalangate. Ahora, y por primera vez, una nueva investigación pone nombres y apellidos a los responsables de Pegasus y de su distribución en Europa. La red opera a través de Luxemburgo.
El informe presentado este miércoles por Irídia, una asociación catalana en defensa de los derechos civiles y políticos, identifica a tres altos directivos de la filial europea de NSO Group, un entramado empresarial israelí célebre por haber fabricado Pegasus, un ‘software’ malicioso capaz de penetrar en los sistemas operativos móvil Android y iOS y de acceder a todos los datos personales que circulan por el dispositivo sin que los usuarios puedan detectarlo. Este informe pericial se entregará, junto con una ampliación de la querella contra tres directivos de la compañía israelí, en el Juzgado de Instrucción número 24 de Barcelona, que investiga el espionaje al abogado Andreu Van den Eynde, defensor del dirigente de ERC Oriol Junqueras en la causa del ‘procés’, en la que les acusa de estar detrás de la fabricación, comercialización y gestión contractual de Pegasus en Europa y de cometer así delitos de revelación de secretos y de participación o cooperación en el uso de ‘software’ ilegal. Es por eso que solicita su imputación penal.
«La empresa es responsable del uso que se hace de Pegasus», ha afirmado este miércoles Anaïs Franquesa, abogada de Irídia. Esta acción puede conllevar que la jueza instructora extienda las pesquisas a nivel europeo e internacional.
Varias investigaciones han destapado que Pegasus ha sido usado por al menos 73 estados de todo el mundo. Aunque NSO Group asegura que solo vende el producto para combatir el crimen organizado o el terrorismo, hay múltiples evidencias de que esta arma de cibervigilancia ha servido para espiar y perseguir a disidentes políticos, periodistas críticos o activistas por los derechos humanos. Prueba de ello es el asesinato del reportero saudí Jamal Khashoggi.
Los señalados en la ampliación de la querella de Irídia son:
Shalev Hulio es el cofundador de NSO Group y fue su director general hasta 2022, cuando dimitió tras un alud de litigios judiciales. Antes de crear la mayor arma de ciberespionaje mundial, este soldado judío originario de Haifa estudió Derecho y fue comandante del mando de Defensa Civil del Ejército de Israel.
Omri Lavie cofundó NSO Group junto a Hulio, a quién conoció en el instituto durante un viaje a Europa. Actualmente, es miembro de la junta directiva de la creadora de Pegasus y entre 2019 y 2023 lo fue de la de Osy Technologies, otra compañía que forma parte del entramado de NSO Group. Es el único administrador de Dufresne Holding, la firma de inversiones que posee la empresa israelí.
Yuval Somekh es, según detalla Irídia, el único directivo que consta como miembro de las juntas directivas de Osy Technologies y de Q Cyber Technologies entre 2019 y 2020, el periodo en el que se produjeron la mayoría de ataques contra el independentismo catalán.
Querella ante los juzgados
La demanda ha logrado encontrar los vínculos de NSO Group en la Unión Europea. NSO Group es una marca paraguas que agrupa a un total de 19 sociedades mercantiles, entre ellas OSY Technologies y Q Cyber Technologies. Esa red de cibervigilancia opera en Luxemburgo desde 2014 como «puerta de entrada» para hacer negocio en territorio europeo y «posiblemente» fue creada «para generar dificultades en la determinación de responsabilidades».
En la ampliación de su querella, Irídia insta a los estados europeos a cortar todos sus lazos comerciales con NSO Group y a adoptar sanciones. En 2021, Estados Unidos añadió Pegasus a su lista negra, prohibiendo así comercializar con su fabricante. Apple y Meta, propietaria de WhatsApp, también la han demandado por violado la seguridad de decenas de miles de dispositivos móviles.
Además, Irídia también advierte de que cualquier demora en la investigación e imputación de Hulio, Lavie y Somekh «podría generar una prescripción de los hechos en mayo de 2025», dentro de tan solo medio año.
Opacidad de España e Israel
Apuntando a las sedes de NSO Group en Luxemburgo, Irídia ha encontrado una vía que, esperan, permitirá avanzar una investigación judicial hasta ahora bloqueada por la «opacidad» del Ejecutivo liderado por Pedro Sánchez. Y es que la normativa española presenta vacíos legales que «facilitan la vigilancia sin una supervisión adecuada» y que clasifican toda información del CNI como secretos oficiales. «Una persona bajo investigación judicial tiene más derechos y garantías que una espiada por el CNI», ha denunciado Franquesa, que descarta que la ley de amnistía afecte al caso.
«Una persona bajo investigación judicial tiene más derechos y garantías que una espiada por el CNI»
Esa posición ha despertado múltiples reacciones críticas. La exdirectora del CNI, Paz Esteban, ha sido imputada por la Audiencia de Barcelona por su rol en el espionaje a los líderes independentistas. La comisión de investigación del Parlamento Europeo señaló que España fue «probablemente» el primer cliente de Pegasus en la Unión Europea. A finales de 2023, el comité de asuntos jurídicos de la asamblea parlamentaria del Consejo de Europa pidió a España investigar los casos de espionaje contra el soberanismo catalán, poniendo al país al nivel de otros que han recurrido a la vigilancia como Hungría, Polonia o Azerbaiyán.
A esa falta de transparencia se suma que Israel no ha respondido a ninguno de los permisos solicitados por parte de la justicia española para acceder a pruebas sobre el caso, lo que ha llevado a archivar varias causas. El spyware no se exporta a otros países sin la aprobación previa del ministerio de Defensa del Estado judío.
Espionaje contra el abogado de Junqueras
Irídia ha logrado identificar a tres de los «responsables directos» del escándalo tras investigar el caso de espionaje contra el abogado Van den Eynde, también vocal de su junta. El 14 de mayo de 2020, en plena pandemia del covid, el experto en derecho penal utilizaba constantemente su teléfono móvil para comunicarse con sus clientes. Entre ellos figuraban Junqueras y Raül Romeva, ambos encarcelados por formar parte del Govern que organizó la consulta sobre la independencia catalana, pero también Ernest Maragall y Rogert Torrent.
Un año más tarde, Citizen Lab, un laboratorio de la Universidad de Toronto, le informó de que justo ese día su dispositivo había sido infectado con Pegasus. Tras destaparse el caso en 2022, Van den Eynde presentó una querella por actos de espionaje, intercepción de las comunicaciones, intrusión ilegal en dispositivos informáticos y por adquisición de precursores del espionaje.
Irídia denuncia que se trata de un método abusivo, ilegal y desproporcionado. «Se le espió para conocer la estrategia jurídica de defensa de sus clientes», lamenta Franquesa. «Eso supone romper las reglas de juego de un estado democrático y desencadena una vulneración de derechos esenciales», ha añadido Brian Ventura, abogado del equipo jurídico de Irídia. Es por esa razón que la asociación ha asumido la representación legal del caso de Van den Eynde y espera que la querella desemboque en una orden de detención a escala europea. Las víctimas, remarcan, siguen esperando justicia.
