Content uploaded by Jose Javier Olivas Osuna
Author content
All content in this area was uploaded by Jose Javier Olivas Osuna on Mar 13, 2023
Content may be subject to copyright.
Content uploaded by Jose Javier Olivas Osuna
Author content
All content in this area was uploaded by Jose Javier Olivas Osuna on Mar 13, 2023
Content may be subject to copyright.
El caso Pegasus
Una revisión crítica del
informe «CatalanGate»
de Citizen Lab
por José Javier Olivas Osuna, Departamento de Ciencias Políticas y de la
Administración, Universidad Nacional de Educación a Distancia (UNED), Madrid
Índice
P. 5
UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
Prólogo
Resumen ejecutivo
Línea temporal
«CatalanGate»: un informe no validado de forma independiente
Falta de transparencia
Una confianza anormal en la fiabilidad de la metodología y rechazo de
falsos positivos
¿Cuándo y dónde se realizaron los análisis forenses?
Conflicto de intereses y confiar el trabajo de campo a un activista
político sin experiencia previa
El extraño origen y calendario de la investigación
Otras contradicciones en las que incurrieron los autores del informe
¿Un trabajo de campo condicionado por intereses económicos?
Facilitando «munición» para los juicios
¿Una campaña de propaganda política?
¿Espionaje con Pegasus como herramienta para invalidar los juicios?
Conexiones con Rusia y estrategia de blockchain para la secesión
Reacción inusual de la Universidad de Toronto
Las «víctimas» de «espionaje ilegal»
Colaboradores de Citizen Lab intentan silenciar al autor del informe
Conclusiones
Agradecimientos
Sobre el autor
Bibliografía
08
14
20
28
40
56
66
74
90
100
112
122
136
140
178
192
208
218
222
224
228
Prólogo
UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB P. 9
Prólogo
P. 10
El 10 de marzo de 2022, el Parlamento Europeo decidió crear el Comi-
té PEGA para investigar presuntas infracciones o mala administración en
la aplicación de la legislación de la UE en relación con el uso de Pegasus y
software de vigilancia (spyware) equivalente, después de hacerse público
el Proyecto Pegasus, en el que a raíz de una investigación colaborativa en
la que participaron más de 80 periodistas de 17 organizaciones de medios
de comunicación de 10 países bajo la coordinación de Forbidden Stories,
se denunciaba el uso masivo software espía Pegasus de NSO Group para
facilitar la comisión de violaciones de derechos humanos a gran escala en
todo el mundo.
El Comité PEGA ha recopilado, durante el transcurso de sus traba-
jos, información sobre las denuncias de que algunos Estados miembros o
terceros países hubieran utilizando software de vigilancia intrusiva contra
ciudadanos europeos, en la medida en que ello viola los derechos y liber-
tades consagrados en la Carta de los Derechos Fundamentales de la UE.
Durante su mandato el Comité ha realizado numerosas sesiones informa-
tivas y audiencias con responsables políticos, investigadores, expertos en
ciberseguridad, periodistas y presuntas víctimas, con el objeto de presen-
tar un informe final en el cual, además de relatar los hechos acaecidos, se
propongan medidas concretas que garanticen los derechos y libertades
de los ciudadanos europeos frente a intrusiones ilegales a su intimidad.
En el caso de España, las sospechas del uso de programas espía se
centraban alrededor de dos grupos de posibles «víctimas». Por un lado,
en un informe publicado por el diario The Guardian en mayo de 2022, se
apuntaba a Marruecos como el posible autor del espionaje de más de
200 móviles españoles, entre los que destacaban los del presidente del
gobierno de España, Pedro Sánchez; la ministra de Defensa, Margarita
Robles; la entonces ministra de Exteriores, Arancha González Laya; y el
ministro del Interior Fernando Grande-Marlaska.
Y por otro, el laboratorio CitizenLab publicó, en abril de 2022, un infor-
me denominado «CatalanGate: Extensive mercenary spyware operation
against Catalans using Pegasus and Candiru» en el que denunciaba el
supuesto uso de estos programas espía para infectar los teléfonos de al
menos 65 políticos, abogados y miembros de organizaciones del entorno
separatista catalán.
Las diferentes reuniones de la Comisión habían desarrollado sus tra-
bajos con normalidad, hasta la preparación de la sesión correspondiente
a la audiencia parlamentaria sobre la participación de España en el es-
cándalo del software espía Pegasus, programada para el martes 29 de
noviembre de 2022. Tras una filtración del programa de la sesión prevista
PRÓLOGO
P. 11UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
para la audiencia, uno de los dos expertos españoles invitados a participar
en la misma, fue excluido a última hora de la lista de ponentes después de
que el entorno de Citizen Lab hiciera circular una carta entre eurodiputa-
dos desacreditando el trabajo de estos dos expertos. En dicha misiva, se
aducía una supuesta falta de conocimiento técnico sobre espionaje y se
les acusaba de haber promovido teorías de la conspiración y falsedades
sobre otros investigadores, así como de participar en el acoso a presun-
tas víctimas de espionaje y expertos que habían investigado los casos.
La carta que pedía el veto a los dos ponentes fue firmada entre otros por
Ronald Deibert y John Scott-Railton, ambos autores del informe Catalan-
gate. Tras recibir la carta, el lunes 21 de noviembre se celebró una reunión
de los coordinadores del comité PEGA. En ella, el grupo Renew, del que
formo parte y que a mi solicitud había propuesto a uno de ellos, el aca-
démico e investigador José Javier Olivas, retiró su nombre del programa.
Ante esta lamentable decisión e intolerables acusaciones, como eu-
rodiputado de Ciudadanos envié una carta a los miembros de la comisión
PEGA denunciando que esta grave decisión sentaba un precedente peli-
groso: demostraba que las presiones externas determinaban el desarrollo
del trabajo de una institución democrática y decidían quien puede o no ser
invitado a participar de los trabajos de una comisión parlamentaria. Una
situación que enviaba un inquietante mensaje de falta de imparcialidad,
pluralidad y contraste de argumentos e ideas. Si se aceptaban cancela-
ciones, censuras y vetos de quienes, por rigor académico y metodología,
criticaban o cuestionaban las fuentes del informe, evidenciaría que el co-
mité, sus trabajos y sus conclusiones podían ser manipulados e instru-
mentalizados para enterrar la verdad. Pero, desgraciadamente, el veto y la
censura se impusieron.
Es por ello, y con la determinación de combatir la censura, los vetos
y cancelaciones en la sede de la democracia europea, que publico esta
revisión crítica del informe «CatalanGate» de Citizen Lab elaborado por el
profesor, académico e investigador José Javier Olivas.
El Parlamento Europeo es la casa de la palabra, de la libertad de ex-
presión y del pensamiento crítico. Valores sobre los que se ha construido
la idea de Europa y que la definen.
Pero el proyecto europeo, y sus valores democráticos, tienen pode-
rosos adversarios externos, e internos. Y no solo están amenazados por
aquellos que manifiestamente cuestionen la democracia liberal desde el
populismo o el nacionalismo, sino también por aquellos que, con la in-
tención de defenderla, renuncian a practicar los valores que la animan: el
respeto a la libertad de opinión y al pensamiento crítico.
P. 12
PRÓLOGO
La defensa de estos dos principios frente a la violencia ejercida des-
de el poder, ha sido y es uno de las constantes que han marcado el agón
histórico del pensamiento europeo: Hoy en día, ese libre pensamiento se
enfrenta no tanto o no solo al poder político, como también al poder de
un pensamiento único que desarrolla estrategias de cancelación en los
medios de comunicación, en las redes sociales y también en instituciones
académicas y democráticas. Un peligroso neo macartismo que va im-
pregnando como un tóxico chapapote todo el debate público.
Lo fáctico no puede ni debe someterse a una conveniente interpre-
tación manipuladora de presuntos hechos que solo busca reforzar o bien
prejuicios o bien conclusiones predeterminadas. Una hipótesis no es una
tesis, ni una teoría. La hipótesis es una proposición que se basa en el co-
nocimiento existente y que sirve como punto de partida de una investiga-
ción. Una tesis es una afirmación que se presenta como una premisa que
debe mantenerse o probarse. Y una teoría es una explicación probada y
justificada mediante una serie de hechos comprobados y verificados. Una
teoría siempre debe estar respaldada por evidencia, mientras que una
hipótesis es apenas un posible resultado, que puede y debe ser compro-
bado y refutado. Que alguien pretenda pasar una hipótesis por una teoría,
es peligroso y debe ser denunciado.
Camuflar sospechas, conjeturas o especulaciones como certezas, y
que estas articulen un informe del parlamento europeo, despreciando, si-
lenciando o directamente censurando a quienes cuestionan esas falsas
evidencias desde argumentos críticos, es un ejercicio de deshonestidad
política inaceptable. Como lo es confundir voluntariamente las suposicio-
nes por hechos probados y caer en la difamación como argumento de au-
toridad para refutar cualquier análisis crítico que cuestione esa supuesta
verdad. Pero lo que es especialmente grave es el atentado que ello supone
a los valores y principios no solo del Parlamento Europeo, sino de la propia
idea de Europa: el respeto a la libertad de opinión y la defensa del pensa-
miento crítico.
Que este estudio sirva para aportar argumentos al debate público y
contribuya a fundamentar una opinión veraz sobre la cual poder tomar
las decisiones adecuadas para defender los derechos y libertades de los
ciudadanos europeos sin sacrificar nuestros valores y principios.
P. 13UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB P. 13
Jordi Cañas Pérez Diputado del Parlamento Europeo
Ciudadanos (Cs) - Renew Europe
P. 14
Resumen
ejecutivo
El presente documento disecciona el informe «CatalanGate: Extensive Mer-
cenary Spyware Operation against Catalans Using Pegasus and Candiru»,¹
publicado el 18 de abril de 2022 por Citizen Lab de la Escuela Munk de
Asuntos Globales y Políticas Públicas, Universidad de Toronto, y revela una
serie de graves problemas metodológicos y éticos que socavan gravemente
su valor como base probatoria para las comisiones parlamentarias y los jui-
cios judiciales. Este análisis crítico muestra que el diseño de la investigación
de Citizen Lab, el trabajo de campo y la notificación de los resultados del
informe «CatalanGate» contravienen las normas comúnmente aceptadas
de conducta e integridad de la investigación académica. La variedad y gra-
vedad de los escollos descubiertos sugieren que Citizen Lab y las organi-
zaciones políticas que colaboraron con ellos en la elaboración del informe
pueden haber intentado inducir deliberadamente un fuerte sesgo político
para dar forma a la opinión pública y lograr un fuerte impacto mediático.
Esta revisión crítica recomienda a la Universidad de Toronto que ponga en
marcha una investigación independiente sobre este informe y que retracte
su publicación. Resumen de algunos de los principales problemas detecta-
dos:
1) La investigación CatalanGate infringe las directrices y principios básicos
de criminalística digital, prescrita, entre otros, por la Agencia de la Unión
Europea para la Ciberseguridad (ENISA) y el Protocolo de Berkeley sobre
investigaciones de código abierto digital de la Ocina del Alto Comisionado
de las Naciones Unidas para los Derechos Humanos (OHCHR).
P. 14
1/ John Scott-Railton, Elies Campo, Bill Marczak, Bahr Abdul Razzak, Siena Anstis,
Gözde Böcü, Salvatore Solimano, and Ron Deibert (2022). CatalanGate; Extensive
Mercenary Spyware Operation against Catalans Using Pegasus and Candiru.
Citizen Lab, 18 de abril de 2022
RESUMEN EJECUTIVO
P. 15UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB P. 15
2) Los resultados comunicados en este estudio no son reproducibles y no han sido
revisados o validados por pares de forma independiente.
3) Existe una falta muy inusual de transparencia en lo que respecta a las
opciones metodológicas y de diseño de la investigación. Los autores se niegan
a comunicar el número de dispositivos investigados o la proporción
de positivos en el análisis. No se han noticado grupos de control ni intervalos
de conanza de los análisis.
4) Los autores se niegan a informar de cuándo, dónde y por quién se realizaron
los análisis forenses digitales. No hay pruebas de que Citizen Lab haya
realizado ningún análisis conrmatorio en persona (sobre el terreno) para
vericar las infecciones. No se hace referencia a ningún procedimiento para
garantizar la cadena de custodia de pruebas, como se espera en un análisis
forense digital serio.
5) Los datos sobre infecciones e intentos de infección de dispositivos se presentan
agrupados, lo que puede inducir al lector a creer que todas las presuntas
víctimas de la denuncia han sido espiadas.
6) Ronald Deibert, director de Citizen Lab, arma una abilidad del 100 % de sus
procesos analíticos y se niega a considerar la posibilidad de falsos positivos u
otros errores; esto contrasta con la mayor parte de la literatura general sobre
análisis forenses y ciencias sociales.
7) Es evidente que los participantes y algunos autores intentaron maximizar el
número de positivos. La reticencia a presentar muestras para su validación
externa y la noticación de intentos de infección junto con infecciones exitosas
parecen conrmarlo.
8) Siguen sin divulgarse diversos conictos de intereses (políticos y económicos),
en los que participan los autores del informe y las personas que colaboran en
su trabajo de campo.
9) El trabajo de campo fue coordinado por el Sr. Elies Campo, activista a favor de
la independencia, y presunta víctima del espionaje sin experiencia previa en
investigación y que carece de título de enseñanza superior. Este autor también
hizo armaciones falsas sobre su situación laboral y no estuvo aliado a
Citizen Lab durante la mayor parte del período de investigación.
P. 16
RESUMEN EJECUTIVO
P. 16
10) Apartentemente solo se analizaron los dispositivos de políticos y activistas
partidarios de la independencia. Los autores no explican los criterios
utilizados en el muestreo de «bola de nieve». Existen pruebas muy sólidas que
sugieren que los casos sometidos a análisis fueron ltrados por partidos
políticos.
11) La comunicación de los resultados de la investigación de CatalanGate reeja
un fuerte sesgo político, sesgo de selección y falta de rigor. A menudo, la
información se agrupa de manera problemática o se omite para inducir
determinadas opiniones no neutras.
12) Según los principales participantes en el estudio, la investigación de Citizen
Lab en España buscó pruebas para alimentar los procesos judiciales contra
NSO por parte de WhatsApp, Apple y políticos secesionistas catalanes. El
anuncio por parte de Apple de una contribución de 10 millones de dólares
a los investigadores por su apoyo a la recogida de pruebas contra NSO
y el nombramiento del director de Citizen Lab en la comisión que decide
la asignación de la recompensa parecen sugerir intereses económicos no
divulgados.
13) Los autores de Citizen Lab expresan acusaciones muy graves contra el
Gobierno español por «espionaje ilegal» sobre la base de lo que el informe
arma ser «pruebas circunstanciales». El informe no aporta pruebas
sucientes para sustentar estas acusaciones.
14) Mientras tanto, el informe no tiene en cuenta ninguna de las demás hipótesis
alternativas plausibles. Resulta sorprendente que ni siquiera se mencione la
posibilidad de vigilancia legalmente sancionada, falsos positivos o espionaje
por parte de los servicios secretos de Rusia o países occidentales.
15) Existen muchas contradicciones y problemas éticos sobre cómo comenzó la
investigación sobre el terreno en España en julio de 2020. En aquel momento,
se inició una campaña de comunicación inusualmente potente, coordinada
por partidos políticos secesionistas catalanes y una demanda en el plazo de
una semana desde el primer análisis y antes de la conrmación de cualquier
infección.
16) Durante la investigación, se advirtió a los participantes de que era probable
que fueran espiados sin tener en cuenta que esta advertencia podía interferir
en las investigaciones judiciales en curso. Muchos participantes estaban
P. 17UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB P. 17
siendo controlados legalmente por los servicios de seguridad españoles cuando
se pusieron en contacto con ellos y explicaron cómo evitar la vigilancia. Otros
estaban a la espera de juicio, y algunos incluso estaban cumpliendo penas de
prisión.
17) El nombre CatalanGate se eligió para el informe publicado el 18 de abril de
2022 a n de coincidir con el eslogan de la campaña de propaganda que los
partidos y organizaciones secesionistas catalanes estaban preparando meses
antes de la publicación del informe. La mayor organización secesionista
registró el dominio «CatalanGate.cat» en enero de 2022. Además, desde
2012 se utiliza una cuenta de Twitter (182.600 seguidores) denominada
actualmente «@catalangate» para promover diversas campañas de
comunicación secesionistas.
18) Var ios de los participantes en el estudio estaban en aquel momento y sig uen
siendo investigados por sus conocidos vínculos con los servicios de inteligencia
rusos, la corrupción o la creación de Tsunami Democràtic, la plataforma
ilegal basada en blockchain, destinada a derribar a las fuerzas de seguridad
españolas y utilizada para coordinar disturbios violentos y bloqueos de
carreteras, estaciones de tren y aeropuertos. La consideración como «víctimas»
de varios líderes políticos y activistas investigados con autorización judicial
por delitos graves (algunos de ellos condenados) parece arriesgada para un
informe académico.
19) Sorprendentemente, en el informe se omiten completamente los vínculos bien
documentados con Rusia y los intentos rusos de desestabilizar España y la UE
apoyando a los secesionistas catalanes. La investigación de CatalanGate se
inició precisamente en un momento en el que el apoyo al secesionismo catalán
había disminuido a su nivel más bajo desde 2014, y cuando las conexiones
con Rusia resultaron muy problemáticas con respecto a la opinión pública en
relación con la invasión de Ucrania.
20) Los comunicados de prensa, las redes sociales y las declaraciones formales
del Citizen Lab sobre el informe CatalanGate contienen numerosas
contradicciones y declaraciones falsas. Los testimonios de varios participantes
en la investigación contradicen el relato de Citizen Lab.
21) Dada la abundancia de problemas detectados, más de un centenar de
investigadores de diversas universidades y disciplinas han solicitado a la
Universidad de Toronto que abra una investigación independiente sobre
P. 18
RESUMEN EJECUTIVO
P. 18
En resumen, el informe CatalanGate no puede considerarse un trabajo
académico riguroso. Infringe la mayoría de las convenciones académicas
de investigación y no respeta los protocolos y principios de la investigación
forense digital. Parece que se ha diseñado y llevado a cabo con el fin de
afianzar un instrumento político para los nacionalistas catalanes, aportar
pruebas de que tanto Apple como los partidos secesionistas estaban plani-
ficando, y tratando de justificar a posteriori la nulidad de juicios celebrados
tras el intento unilateral de secesión en octubre de 2017, sobre la base de la
supuesta vigilancia ilegal de abogados por parte de las autoridades espa-
ñolas en el momento en que se celebraron estos juicios. Como tal, podría
considerarse un elemento clave de una campaña de desinformación.
Queda fuera del alcance de esta revisión evaluar si en España se espió
— legal o ilegalmente— a algunos de los participantes en la investigación
o si Pegasus era el programa espía elegido. Lo que este análisis muestra
es que el informe CatalanGate no cumple los requisitos mínimos para ser
utilizado como base probatoria para los procedimientos jurídicos ni para
las comisiones parlamentarias de investigación. En casos tan graves como
el presente, se espera una investigación independiente por mala conducta
en la investigación. Cualquier comisión parlamentaria o tribunal de justicia
que investigue el CatalanGate debe solicitar expertos independientes — sin
conexión con Citizen Lab o Amnesty Tech— para reproducir los análisis y
evaluar su validez y fiabilidad. Es importante descartar los falsos positivos,
así como identificar cualquier posible alteración o fabricación de pruebas,
como los resultados positivos fabricados, aprovechando la ausencia de una
cadena de custodia de pruebas en esta investigación.
la realización de investigaciones de Citizen Lab durante la investigación
CatalanGate (en dos cartas diferentes). Hasta la fecha, la Universidad de
Toronto se ha negado a revisar el caso y ha ignorado muchas de las preguntas
y peticiones de varios académicos y periodistas. También se ha negado a dar
nombres de las organizaciones o individuos que nancian Citizen Lab.
22) En lugar de modicar o retractar su informe, miembros del Citizen Lab, con la
ayuda de algunos colaboradores externos, han llevado a cabo una campaña
de difamación contra el autor de este informe y otros investigadores que han
expresado críticas públicas a su informe CatalanGate. Esta campaña para
silenciar las acusaciones de mala conducta en la investigación se llevó a cabo
inicialmente en las redes sociales, pero ha llegado a la prensa internacional e
incluso al Parlamento Europeo.
P. 19UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB P. 19
EL ESCÁNDALO DEL PROGRAMA ESPÍA PEGASUS
La falta de controles de las acciones de guardianes de la seguridad y
la privacidad online, como Citizen Lab, y su posible «captura» por parte de
los grandes grupos tecnológicos y los grupos políticos partidistas deberían
ser motivo de preocupación para la Unión Europea. Citizen Lab está en lo
cierto al pedir la rendición de cuentas pública y transparencia a los Estados
miembros europeos, pero también es importante que Citizen Lab se adhie-
ra a estos mismos principios y que las acusaciones contra los gobiernos
no alejen la atención de las responsabilidades y los desafíos a los que se
enfrentan las grandes empresas tecnológicas en relación con la seguridad
de internet.
1
P. 20
Línea temporal
LÍNEA TEMPORAL
P. 22 LÍNEA TEMPORAL
01 de octubre
10 de febrero
14 de octubre
02 de setiembre
27 de octubre
26 de octubre
03 de noviembre
2017
2019
Referéndum ilegal de independencia.
Los líderes nacionalistas catalanes difunden
un artículo de Komosomolskaya Pravda en
el que se solicita la mediación de Rusia en el
conflicto catalán.
El Tribunal Supremo español anuncia penas
de prisión para algunos dirigentes catalanes
acusados de sedición, desobediencia y
malversación. La plataforma Tsunami
Democràtic pide la movilización en docenas de
lugares y el bloqueo del aeropuerto de El Prat.
Más de 100 vuelos se vieron afectados. Muchas
de las movilizaciones acaban provocando
disturbios violentos.
El Tsunami Democràtic aparece en las redes
sociales. Su mensaje es compartido por la
mayoría de los líderes secesionistas y muchos
de los participantes en la investigación
CatalanGate.
El Sr. Puigdemont declara la independencia
unilateral de Cataluña, pero suspende
inmediatamente esta declaración.
Los emisarios del Kremlin se reúnen con el
presidente de la Generalitat, Sr. Puigdemont,
y ofrecen apoyo financiero y militar
a una Cataluña independiente, a condición
de redactar una legislación que favorezca
las criptomonedas.
El Tribunal español emite una orden de registro
y detención internacional de 10 líderes
proindependencia que huyeron de España.
La mayoría de ellos aparecen más tarde como
«víctimas de programas espía» en el informe
CatalanGate.
P. 23UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
18 de octubre Un tribunal español ordena el cierre de todas las
páginas web vinculadas al Tsunami Democràtic
y el ministro del Interior confirma que hay una
investigación policial sobre sus organizadores.
Entre el 14 de octubre y el 20 de octubre se
documentaron más de 500 episodios violentos.
29 de octubre
8 de julio
10 de julio
11 de julio
17 de diciembre
11 de noviembre
9 de noviembre
2020
WhatsApp presenta una demanda contra el grupo
NSO sobre la base de las pruebas recogidas por
Citizen Lab sobre los presuntos ataques con el
spyware Pegasus.
Sobre la base de la información filtrada, los
periodistas Joaquín Gil (El País), Stefanie
Kirchgaessner y Sam Jones (The Guardian)
informan al Sr. Torrent de que ha sido víctima
del ataque de Pegasus y le piden que se ponga
en contacto con Citizen Lab.
El Sr. Torrent visita al Sr. Junqueras en prisión
y a Citizen Lab se le autoriza a analizar
los teléfonos de Esquerra Republicana de
Catalunya (ERC). John Scott-Railton comienza a
supervisar el teléfono del Sr. Torrent a distancia,
buscando una posible infección desde Toronto,
vía VPN.
Citizen Lab envía una nota al Sr. Torrent en la
que afirma que figuraba en la lista de WhatsApp
de posibles víctimas de los ataques de Pegasus
durante la violación de seguridad de 2019.
Entrevista de Russia Today con Carles
Puigdemont se emite en la televisión pública
española pirateada, Canal 24 Horas. Se
consideraque los responsables son hackers
rusos.
El Tsunami Democràtic pide a los activistas que
bloqueen la autopista que conecta La Junquera
con Francia. Primera acción coordinada con la
aplicación móvil basada en blockchain.
El Tsunami Democràtic coordina muchos actos
de desobediencia civil en toda Cataluña.
P. 24 LÍNEA TEMPORAL
The Guardian y El País publican una exclusiva
sobre el ataque Pegasus contra Roger Torrent y
otros líderes separatistas. Los partidos
nacionalistas y de izquierda solicitan una
investigación parlamentaria sobre el espionaje
de Pegasus.
15 de julio
16 de julio
17 de julio
18 de julio
En una reunión extraordinaria del grupo
parlamentario ERC se debate la estrategia de
comunicación sobre el supuesto caso de
espionaje, y el Sr. Maragall insiste en utilizar el
término «CatalanGate».
El Sr. Torrent anuncia en la radio Cadena SER
que él y el Sr. Maragall están presentando una
demanda contra el antiguo director del CNI.
Posteriormente, Citizen Lab comunica al Sr.
Torrent que el resultado del análisis forense
remoto muestra que su teléfono no estaba
infectado. Posteriormente, ERC escribe al
Consejo de Europa, Amnistía Internacional y a
un Relator Especial de las Naciones Unidas para
pedir su apoyo para denunciar a España.
El Sr. Scott-Railton pone en contacto a políticos
de ERC con el abogado mexicano Luis Fernando
García para que este último preste asistencia
para denunciar el espionaje en los medios de
comunicación y en los tribunales.
Según el Sr. Torrent, el Sr. Scott-Railton dice
a los políticos de ERC que «Tu asunto (el de
Torrent) es la oportunidad de abrir un caso en la
Unión Europea».
12 de julio
14 de julio
Los Sres. Gil y Jones entrevistan al Sr. Torrent.
21 de julio Oriol Sagrera explica al Sr. Torrent que Citizen
Lab está interesado en suministrar «munición»
a WhatsApp, Apple y partes independientes
para presentar demandas.
P. 25UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
28 de octubre
21 de octubre
23 de noviembre
3 de setiembre
1 de noviembre
2021
Las fuerzas policiales españolas detienen
a 21 activistas secesionistas sospechosos de
malversación relacionada con la financiación
de la plataforma ilegal Tsunami Democràtic.
Amnisitía Internacional escribe al Gobierno
Español para pedir una investigación sobre el
espionaje con Pegasus.
Apple anuncia que está preparando una
demanda contra NSO y se compromete con
una recompensa de 10 millones de dólares
a Citizen Lab, Amnistía Internacional y otras
organizaciones por recopilar pruebas para dicha
demanda.
El New York Times vincula la campaña
separatista de Tsunami Democràtic con Rusia.
The Guardian, Politico, The Times y otros
medios de comunicación internacionales
publican historias similares en las semanas
siguientes.
La prensa española comienza a publicar audios
grabados por la policía y otra información que
demuestra los vínculos entre el movimiento
separatista y Rusia, así como las actividades
ilegales relativas a la organización y financiación
de Tsunami Democràtic.
28 de julio
31 de julio
WhatsApp confirma que el Sr. Torrent figuraba
en la lista de presuntas víctimas de ataques
de Pegasus, pero que no puede confirmarse
ninguna infección, ya que no se ha llevado a
cabo un análisis forense exhaustivo.
La encuesta del Centre d’Estudis d’Opinió (CEO)
de la Generalitat confirma que el apoyo
a la independencia ha disminuido hasta
su nivel más bajo desde 2017
27 de julio Citizen Lab confirma a ERC que ninguno de
los teléfonos que habían enviado para su
análisis estaba infectado.
P. 26 LÍNEA TEMPORAL
10 de enero
1 de febrero
9 de marzo
17 de marzo
2022 Organización secesionista Assemblea Nacional
Catalana (ANC) registra el dominio
«CatalanGate.cat», que actualmente es
propiedad de la organización separatista
Òmnium Cultural.
Citizen Lab contrata a Elies Campo como fellow
para ayudar a identificar a posibles víctimas.
El Parlamento Europeo apoya por mayoría que
se investiguen los vínculos entre Rusia y el
movimiento secesionista catalán.
La encuesta del CEO de Cataluña muestra que
el apoyo al separatismo se encuentra en su nivel
más bajo desde 2014.
18 de abril
21 de abril
11 de mayo
Citizen Lab publica el informe «CatalanGate».
El New Yorker publica el artículo de Ronan
Farrow titulado «How democracies spy on their
citizens», que hace referencia a España.
La editorial de Washington Post afirma que
España parece haber cometido violaciones
flagrantes de las libertades civiles en Cataluña y
merece condena.
Eurodiputados al Parlamento Europeo (PE)
del grupo Renew Europe envían una carta a
la Universidad de Toronto solicitando algunas
respuestas sobre hechos inusuales en torno a la
investigación
7 de abril El Parlamento catalán debate y rechaza la
propuesta de condenar los contactos entre el Sr.
Puigdemont y su entorno con Rusia.
13 de mayo El Sr. Deibert responde a las preguntas en un
documento formal enviado al Sr. Jordi Cañas,
primer signatario de la carta de los diputados
al PE del Grupo Renew.
P. 27UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
20 de mayo
5 de julio
19 de julio
22 de julio
Dieciséis profesores e investigadores presentan
una carta solicitando a la Universidad de Toronto
que inicie una investigación independiente sobre
el informe CatalanGate.
Más de 100 profesores e intelectuales
independientes piden a la Universidad
de Toronto que inicie una investigación
independiente sobre el informe CatalanGate.
La Universidad de Toronto rechaza formalmente
todas las solicitudes de apertura de una
investigación.
Se solicita una investigación al Ombudsperson
de la Universidad de Toronto en relación con el
informe CatalanGate. Se presenta una solicitud
para activar la Ley de Libertad de Información
y Protección de la Privacidad (FIPPA) en la que
se pide información sobre Citizen Lab y sus
conexiones con agentes políticos catalanes,
WhatsApp y Apple.
2 de agosto
22 de diciembre
6 de octubre
21 de setiembre
El Ombudsman de la Universidad
de Toronto se niega a investigar el caso.
El Citizen Lab admite que el Sr. Antoni Comín no
fue víctima de espionaje, sino que se le atribuyó
erróneamente la infección de un teléfono
perteneciente a otro participante.
Antoni Comín, Diana Riba y Jordi Solé testifican
como presuntas víctimas de Pegasus en la
Comisión de Investigación PEGA
del Parlamento Europeo.
La Oficina de Libertad de Información y
Protección de la Privacidad revela información
relativa al Citizen Lab, pero retiene gran parte
de la información solicitada, como el nombre de
las instituciones de financiación y más de 112
páginas de acuerdos y actas solicitadas.
P. 28 «CATALANGATE»: UN INFORME NO VALIDADO DE FORMA INDEPENDIENTE
2
P. 28
«CatalanGate»:
un informe no
validado de forma
independiente
«CATALANGATE»: UN INFORME NO VALIDADO DE FORMA INDEPENDIENTE
P. 29UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
Las conclusiones de Citizen Lab han suscitado una enorme aten-
ción por parte de los medios de comunicación, dada lagravedad
de las acusaciones contra el Gobierno español. Como explicará
esta revisión crítica, no solo la prensa española, sino también la
internacional, recogió la historia, dando por sentada la fiabilidad
de las pruebas que Citizen Lab había revelado.
Desafortunadamente, los datos sobre presuntas infeccio-
nes por programas espía y ataques a políticos y activistas del
separatismo catalán no se pusieron a disposición de analistas
externos: estos se basaban solo en la reputación del centro de
investigación canadiense para evaluar la idoneidad de las acu-
saciones contra España. La falta de rendición de cuentas pública
mostrada por un actor muy influyente en el ámbito de la ciber-
seguridad, cuya labor se utiliza como base probatoria en muchas
investigaciones parlamentarias y judiciales, es muy problemática.
El informe «CatalanGate» no fue objeto de revisión inter
pares ni validado por expertos independientes. Citizen Lab com-
partió cuatro muestras a Amnesty Tech. Sin embargo, no se ex-
plica claramente por qué solo cuatro muestras (Jordi Sànchez,
Sonia Urpí, Elisenda Paluzie y Meritxell Bonet) fueron sometidas
a una validación externa o por qué Citizen Lab no eligió una or-
ganización independiente para dicha revisión. Hay 27 presuntas
víctimas de ataques sobre las que Citizen Lab no pudo determi-
nar ninguna fecha (o intervalo de tiempo) de infección (o decidió
no informar al respecto). No parece lógico que ninguno de estos
casos «más difíciles» se haya sometido a prueba de posibles fal-
sos positivos.2
El Sr. Ronald Deibert,3 director de Citizen Lab y coautor del
informe, afirma que las conclusiones del informe son teórica-
mente reproducibles, pero que los expertos independientes no
pueden reproducir esta investigación específica, ya que requeri-
ría el consentimiento de los participantes a la investigación.4 Es
destacable la reticencia a poner muestras a disposición de exper-
tos independientes en un caso en el que las presuntas víctimas
se han manifestado voluntaria y públicamente para que se exa-
minen sus dispositivos. De todos modos, deberían haber obtenido
la autorización expresa de cuatro de las presuntas víctimas, el Sr.
Jordi Sànchez, la Sra. Sonia Urpí, la Sra. Elisenda Paluzie y la Sra.
4/
2/
Carta formal del director de Citizen Lab, Ronald Deibert, en
respuesta a las preguntas de seis diputados al PE de Renew
Europe el 13 de mayo de 2022, (carta enviada por la Sra.
Lorraine Ferris al Sr. Jordi Cañas publicada en la web de
Citizen Lab) https://deibert.citizenlab.ca/wp-content/
uploads/2022/05/2022.05.13-L-Ferris-to-J-Canas.pdf Página 3
3/ Obsérvese que en el presente informe el Sr. y la Sra. se utilizan en vez de Dr. o
Prof (como correspondería a Ronald Deibert y otros)
Además, el Sr. Sànchez y la Sra. Paluzie fueron supervisados
por los servicios secretos españoles tras un mandato
judicial. La Vanguardia. Los 18 espiados por el CNI. 14 de
mayo de 2022
https://www.lavanguardia.com/politica/20220514/8266136/
18-espiados-cni-pegasus.html
P. 30 «CATALANGATE»: UN INFORME NO VALIDADO DE FORMA INDEPENDIENTE
6/
8/
9/
El Periódico de España. El juez pide los móviles a los cargos
de la CUP espiados para analizarlos. 27 de septiembre
de 2022, https://www.epe.es/es/politica/20220927/juez-
moviles-cargos-cup-espionaje-pegasus-75968035
El Triangle. Los independentistas supuestamente espiados
con Pegasus se niegan a que la justicia analice sus teléfonos
móviles. 3 de octubre de 2022,
https://www.eltriangle.eu/es/2022/10/03/los-
independentistas-supuestamente-espiados-con-pegasus-
se-niegan-a-que-la-justicia-analice-sus-telefonos-moviles/
Conjunto de herramientas de vericación móvil
https://github.com/mvt-project/mvt
Bill Marczak, John Scott-Railton, Siena Anstis, and Ron
Deibert (2017). Independent Peer Review of Amnesty
International’s Forensic Methods for Identifying Pegasus
Spyware. Citizen Lab. 18 de julio de 2021
https://citizenlab.ca/2021/07/amnesty-peer-review/
7/ Mr Deibert consideró esta validación como parte de la «revisión inter pares del
informe» en su carta de 13 de mayo de 2022. Página 4.
Meritxell Bonet, cuyos teléfonos fueron examinados por Amnesty
Tech.5 Además, como el Sr. Deibert explica en esa misma carta,
Citizen Lab ya había compartido muestras de infección en otras
investigaciones con Microsoft, Apple, Lookout Security y Project
Zero en Google.
Hasta la fecha, los teléfonos de al menos 7 de las presun-
tas víctimas han sido solicitados ante los tribunales como parte
de las denuncias formales que lanzaron contra el fabricante de
Pegasus, el Grupo NSO. Sin embargo, ninguno de ellos ha propor-
cionado los teléfonos supuestamente atacados para que se ve-
rifiquen las infecciones por parte de expertos técnicos indepen-
dientes designados por los tribunales.6 ¿Por qué son tan reacios
a que se reexaminen sus dispositivos?
Otra decisión de investigación poco ortodoxa de Citizen
Lab es la de emplear a Amnesty Tech para una «validación in-
dependiente»7
. Los dos expertos de Amnesty Tech en el ámbito
de la criminalística digital son Claudio Guarnieri y Etienne May-
nier, ambos colaboradores en Citizen Lab y creadores de la herra-
mienta móvil de verificación (MVT) utilizada para realizar análisis
forenses de dispositivos móviles con el fin de encontrar signos
de posible compromiso.8 Casualmente, Citizen Lab publicó una
«revisión inter pares independiente» de esta metodología (que es
utilizada por Amnistía Internacional), y afirmó que ambos grupos,
Citizen Lab y Amnesty Tech, habían «desarrollado una metodo-
logía sustancialmente similar para detectar la infraestructura del
grupo NSO».9 Cuatro de los autores del informe «CatalanGate»
habían trabajado en la «Independent Peer Review of Amnisty’s
5/ Scott-Railton et al. CatalanGate página 22
P. 31UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
Medianama, Interview: How Amnesty Investigated The
Spying Campaign Against Bhima Koregaon Activists, 19 de
junio de 2020 https://www.medianama.com/2020/06/223-
interview-etienne-maynier-amnesty-bhima-koregaon/
Hi, I am Tek. About me.
https://randhome.io/about/
Forensic Methods for Identifying Pegasus Spyware». Recurrir a
antiguos miembros de un equipo para el trabajo de «revisión inter
pares» no cumple las normas académicas de validación externa.
Menos aún cuando ambos equipos participan en validar mutua-
mente el trabajo de la otra parte.
El Sr. Maynier, alias Tek, trabajó en Citizen Lab entre 2016 y
abril de 2021 y participó en varios informes de Citizen Lab
relativos a Pegasus. Tenía una doble afiliación a Amnistía Interna-
cional y Citizen Lab10. La investigación sobre Cataluña comenzó a
más tardar en julio de 2020; por lo tanto, el Sr. Maynier trabajaba
para Citizen Lab durante la investigación de CatalanGate, lo que
le convierte en un experto inadecuado para llevar a cabo cual-
quier tipo de investigación externa e independiente. El Sr. Guar-
nieri, alias Nek, Senior Technologist de Amnistía Internacional,
también estuvo doblemente afiliado y ejerció como investigador
principal en Citizen Lab hasta al menos 201611.
La relación entre Citizen Lab y Amnistía Internacional es
más profunda, como reconoce el Sr. Deibert en una declaración
formal que ha participado en los grupos técnicos de Amnistía
Internacional, y que Citizen Lab colabora de forma rutinaria con
Amnistía Internacional12.
10/
Claudio Guarnieri. re:publica.
https://re-publica.com/en/user/11930
Citizen Lab Senior Research Fellows at the 2016 Chaos
Communications Congress, 26 de diciembre de 2016.
https://citizenlab.ca/2016/12/bill-marczak-john-scott-
railton-speak-million-dollar-dissident-rest-us/
11/
12/ Statement of Ronald J. Deibert. Immigration Division.
Immigration and Refugee Board of Canada, ID File No:
0018-C1-00135-01. UCI: 11-0952-9374. Statement in the
context of Chelsea Manning’s inadmissibility proceeding.
Revisado el 16 de octubre de 2021
https://policycommons.net/artifacts/1961557/statement-
of-ronald-j-deibert/2713322/https://re-publica.com/en/
user/11930
P. 32 «CATALANGATE»: UN INFORME NO VALIDADO DE FORMA INDEPENDIENTE
El Sr. Deibert afirma que Citizen Lab puede distinguir de
manera fiable los intentos de infección por Pegasus de otros ata-
ques con programas espía y hace referencia a seis años de inves-
tigación publicada, así como a validaciones independientes.13 No
obstante, en la lista de publicaciones de Citizen Lab no encon-
tramos un único artículo revisado por pares. La «validación exter-
na» de los análisis forénses figura en la mayoría de los informes
realizados por Amnesty Tech; por ejemplo, en «Peace through
Pegasus»14, «Project Torogoz»,15 «Pegasus vs. Predator»,16 «Brea-
king the News»,17 y «De Pearl a Pegasus».18 Muchos de los demás
informes de Citizen Lab, «FORCEDENTRY»,19 «Análisis de la pri-
vacidad y la seguridad de la aplicación IATA de la tarjeta de viaje
de Android»,20 «Engrave Condition»,21 «Pandemic Privacy»22, «No
Access»23 y «Hooking Candiru»24, ni siquiera se refieren a ningún
proceso de validación externa.
Mohammed Al-Maskati, Bill Marczak, Siena Anstis, and Ron
Deibert (2022) Peace through Pegasus Jordanian Human
Rights Defenders and Journalists Hacked with Pegasus
Spyware, Citizen Lab, 5 de abril de 2022
https://citizenlab.ca/2022/04/peace-through-pegasus-
jordanian-human-rights-defenders-and-journalists-hacked-
with-pegasus-spyware/
Carta del Sr. Ronald Deibert al Sr. Jordi Cañas,
página 4. https://deibert.citizenlab.ca/wp-content/
uploads/2022/05/2022.05.13-L-Ferris-to-J-Canas.pdf
John Scott-Railton, Bill Marczak, Paolo Nigro Herrero, Bahr
Abdul Razzak, Noura Al-Jizawi, Salvatore Solimano, and Ron
Deibert (2022). Project Torogoz: Extensive Hacking of Media
& Civil Society in El Salvador with Pegasus Spyware, Citizen
Lab, 12 de enero de 2022
https://citizenlab.ca/2022/01/project-torogoz-extensive-
hacking-media-civil-society-el-salvador-pegasus-spyware/
13/
14/
Bill Marczak, John Scott-Railton, Bahr Abdul Razzak, Noura
Al-Jizawi, Siena Anstis, Kristin Berdan, and Ron Deibert
(2021). Pegasus vs. Predator: Dissident’s Doubly-Infected
iPhone Reveals Cytrox Mercenary Spyware, Citizen Lab, 16 de
diciembre de 2021
https://citizenlab.ca/2021/12/pegasus-vs-predator-dissidents-
doubly-infected-iphone-reveals-cytrox-mercenary-spyware/
18/ Bill Marczak, Ali Abdulemam1, Noura Al-Jizawi, Siena Anstis, Kristin Berdan,
John Scott-Railton, and Ron Deibert (2021). From Pearl to Pegasus Bahraini
Government Hacks Activists with NSO Group Zero-Click iPhone Exploits, Citizen
Lab, 24 de agosto de 2021.
Bill Marczak, John Scott-Railton, Siena Anstis, Bahr Abdul
Razzak, and Ron Deibert (2021). Breaking the News: New
York Times Journalist Ben Hubbard Hacked with Pegasus after
Reporting on Previous Hacking Attempts, Citizen Lab, 24 de
octubre de 2021, https://citizenlab.ca/2021/10/breaking-news-
new-york-times-journalist-ben-hubbard-pegasus/
15/
16/
17/
P. 33UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
Palleon Lin (2022). Privacy and Security Analysis of the IATA
Travel Pass Android App. Citizen Lab, 13 de abril de 2022
https://citizenlab.ca/2022/04/privacy-and-security-
analysis-of-the-iata-travel-pass-android-app/
20/
Jeffrey Knockel and Lotus Ruan (2022). Engrave Condition
Apple’s Political Censorship Leaves Taiwan, Remains in
Hong Kong. Citizen Lab, 22 de marzo de 2022
https://citizenlab.ca/2022/03/engrave-condition-apples-
political-censorship-leaves-taiwan-remains-in-hong-kong/
Benjamin Ballard, Amanda Cutinha, and Christopher
Parsons (2021). Pandemic Privacy A Preliminary Analysis
of Collection Technologies, Data Collection Laws, and
Legislative Reform during COVID-19. Citizen Lab, 28
de septiembre de 2021, https://citizenlab.ca/2021/09/
pandemic-privacy-collection-technologies-data-collection-
laws-and-legislative-reform-during-covid-19/
21/
Jakub Dalek, Nica Dumlao, Miles Kenyon, Irene Poetranto,
Adam Senft, Caroline Wesley, Arturo Filastò, Maria Xynou,
and Amie Bishop (2021). No Access LGBTIQ Website
Censorship in Six Countries. Citizen Lab, 31 de agosto
de 2021. https://citizenlab.ca/2021/08/no-access-lgbtiq-
website-censorship-in-six-countries/
Bill Marczak, John Scott-Railton, Kristin Berdan, Bahr Abdul
Razzak, and Ron Deibert (2021). Hooking Candiru: Another
Mercenary Spyware Vendor Comes into Focus. Citizen Lab,
15 de julio de 2021
https://citizenlab.ca/2021/07/hooking-candiru-another-
mercenary-spyware-vendor-comes-into-focus/
22/
23/
24/
La larga colaboración entre Citizen Lab y Amnistía Interna-
cional —y la de los miembros de sus equipos— debería recono-
cerse en los informes que han sido «revisados por pares» para
que el lector sea consciente de las posibles limitaciones de este
proceso de validación. Como ejemplo de buena práctica acadé-
mica, no se les pide a los coautores revisar el trabajo del otro. Es
más, a la hora de presentar publicaciones en revistas «revisadas
por pares», a menudo se pide a los investigadores que declaren
que no han trabajado previamente con los que sugieren como
posibles revisores inter pares. La postura del Citizen Lab con res-
pecto a la «revisión por pares» del informe CatalanGate parece
carecer de rigor, ya que no se hizo explícito este reconocimiento
de la estrecha colaboración (por otra parte, tampoco se hizo en la
mayoría de sus resultados de investigación examinados).
No todos los informes se revisan por pares en el mundo
académico. Con frecuencia, los autores proporcionan informa-
ción y datos suficientes para que sus conclusiones puedan repro-
ducirse o evaluarse. Sin embargo, alegar que un informe ha sido
validado de forma independiente, cuando no es el caso, habida
Bill Marczak, John Scott-Railton, Bahr Abdul Razzak, Noura
Al-Jizawi, Siena Anstis, Kristin Berdan, and Ron Deibert
(2021), FORCEDENTRY: NSO Group iMessage Zero-Click
Exploit Captured in the Wild. Citizen Lab, 13 de septiembre
de 2021, https://citizenlab.ca/2021/09/forcedentry-nso-
group-imessage-zero-click-exploit-captured-in-the-wild/
19/
P. 34 «CATALANGATE»: UN INFORME NO VALIDADO DE FORMA INDEPENDIENTE
cuenta de las relaciones entre las organizaciones, sus intereses
compartidos, es inadecuado y contradice las buenas prácticas
comúnmente consideradas en el mundo académico. El sitio web
de la Universidad de Toronto sobre Integridad en la Investiga-
ción afirma que la política de la Universidad en lo que respecta
a conducta ética exige que los miembros sigan «las normas más
estrictas de conducta ética en todos los aspectos de la investiga-
ción, incluidas las solicitudes, las propuestas, la propia investiga-
ción, los informes y la publicación»25.
Al preguntarse sobre la falta de replicabilidad y la ausen-
cia de un repositorio o muestras que pudieran ser utilizadas por
expertos independientes para validar los resultados, el Sr. Dei-
bert hace alusión a la «credibilidad del testimonio» del Sr. Bill
Marczak, investigador principal en Citizen Lab y desarrollador de
la metodología técnica utilizada por Citizen Lab para identificar
infecciones por Pegasus. Asimismo, afirma que:
«Hasta la fecha, ningún análisis técnico
de prestigio ha contradicho nuestras
constataciones, ni se ha justificado
ninguna preocupación específica en
relación con nuestra metodología técnica
para identificar a Pegasus».26
Sin embargo, no parece adecuado afirmar que «ningún
análisis técnico de prestigio» ha contradicho sus resultados,
dado que los análisis de Citizen Lab no son revisados por ex-
pertos independientes. Por otra parte, la credibilidad del trabajo
académico científico no puede basarse en la reputación personal
o profesional de los autores (o críticos), sino en el seguimiento
de procesos transparentes y reproducibles, que suelen incluir la
revisión inter pares o, al menos, la posibilidad de verificación ex-
terna.
Si el informe CatalanGate no puede ser falsificado27 o vali-
dado, ¿cómo garantiza Citizen Lab que no contiene errores rele-
Universidad de Toronto (2019) Research Integrity
https://research.utoronto.ca/research-integrity/research-
integrity
26/ Carta del Sr. Ronald Deibert al Sr. Jordi Cañas, páginas 2-3.
27/ LeBel, E. P., Berger, D., Campbell, L., & Loving, T. J. (2017). Falsiability is not
optional. Journal of Personality and Social Psychology, 113(2), 254–261
25/
P. 35UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
Would you click?
https://catalonia.citizenlab.ca/
Ronan Farrow (2022). How Democracies Spy on their
Citizens. The New Yorker, 25 de abril de 2022
https://www.newyorker.com/magazine/2022/04/25/how-
democracies-spy-on-their-citizens
Assemblea. Catalan Gate, 26 de abril de 2022
https://www.youtube.com/watch?v=GGUr7Guk300
Assemblea Elisenda Paluzie #CatalanGate, 29 de abril de
2022, https://www.youtube.com/watch?v=G5TDEFBMYU0
29/
30/
31/
32/
33/
vantes? ¿Por qué Citizen Lab no facilitó ningún conjunto de da-
tos que permitiera la validación independiente de sus hallazgos?
¿Por qué las muestras no estaban disponibles para los revisores
inter pares fiables e independientes? Teniendo en cuenta que Ci-
tizen Lab compartió una muestra de 4 casos con Amnesty Tech,
¿podrían tener acceso otros revisores inter pares independientes
a esas 4 muestras?
El Sr. Deibert afirma que la validación externa fue llevada a
cabo por Amnesty Tech en marzo-abril de 2022.28 El informe se
publicó el 18 de abril de 2022, en una campaña de comunicación
perfectamente coordinada, con infografías profesionales y cos-
tosas en 3 lenguas (inglés, catalán y español),29 una exclusiva
planificada con antelación por el Sr. Ronan Farrow en The New
Yorker30, vídeos,31 un sitio web específico32 y una cuenta de Twi-
tter con 180 seguidores: @catalangate.33 Dado que los primeros
casos se identificaron y se anunciaron públicamente en julio de
2020, ¿por qué Citizen Lab esperó hasta marzo-abril de 2022
para llevar acabo la validación externa de los casos?
28/ Carta del Sr Ronald Deibert al Sr. Jordi Cañas, página 4.
CatalanGate Ens Estan Vigilant
https://catalangate.cat/
Catalangate, @catalangate,
https://twitter.com/catalangate
P. 36 «CATALANGATE»: UN INFORME NO VALIDADO DE FORMA INDEPENDIENTE
34/
Por lo general, la detección temprana de errores se utiliza
para calibrar los instrumentos. ¿Habría revisado Citizen Lab su
informe y suspendido la campaña de comunicación si alguna de
las muestras analizadas por Amnesty Tech hubiera dado negativo
o mostrado algún problema?
El informe CatalanGate reconoce que «nuestros métodos
tienen una visión limitada de las infecciones de Android». Sin
embargo, entre las presuntas víctimas iniciales, algunos, como
el Sr. Roger Torrent eran propietarios de un dispositivo Android.
Tenien do en cue nta est a deb il ida d ins tr ume nta l r ec on oci da , re -
sulta sorprendente que no sometieran ninguno de los teléfonos
Android supuestamente infectados a una validación externa.
Como intento de disipar las críticas formuladas por muchos
académicos sobre el informe CatalanGate, algunas personas que
defienden a Citizen Lab han alegado que su trabajo no puede juz-
garse a la luz de las normas académicas, ya que su informe no es
un trabajo académico, sino un informe de la industria34.
Philderbeast
@thephilderbeast
En respuesta a @joseolivas @jonathandata1 y 5 más
13 de julio, 2022
The Cyberlab report is NOT academic work, it
is industry report.
They have different standards and very
different audiences, the fact that you can’t
see that shows how ignorant you are of the
topic you’re talking about
Infosec Nietzsche
@nihlsec
En respuesta a @joseolivas @citizenlab y 2 más
4.12 PM · 18 de julio, 2022
It’s a threat intelligence report, not an
academic paper. Maybe you need to spend
some time learning the difference. Are you
going to start attacking Mandiant and Verizon
next for their non-academic threat intelligence
reports?
Marcus Hutchins
@MalwareTechBlog
En respuesta a @0x5adb07 @joseolivas y 3 más
18:02 · 17 de julio, 2022
Not only this, but did anyone see Citizen Lab
claim their report was an academic study?
Seems weird to project these requirements
onto something that doesn’t appear to have
been published as such.
P. 37UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
Sin embargo, estos argumentos están se contradicen con
las escasas declaraciones públicas del Sr. Deibert en las que afir-
maba la naturaleza académica de Citizen Lab, así como las fre-
cuentes referencias a la necesidad de procedimientos de revisión
inter pares que ha realizado en repetidas ocasiones.
profdeibert
@RonDeibert profdeibert
@RonDeibert
Dave Lee @DaveLeeDT · 26 de ago 2016
25 de enero, 2019 18:02 · 17 de julio, 2022
We have always welcomed debate and
dialogue about our work, but we condemn
these sinister, underhanded activities in the
strongest possible terms. Such a deceitful
attack on an academic group like Citizen Lab
is an attack on academic freedom
everywhere.
Hi David. @BBC had referred to @citizenlab
as a “firm” We are @UofT @munkschool. ie.,
academic group. twitter.com/DaveLeeBBC/
sta…
Insomniacs! I’m on @bbc5live in a moment talking
about this: bbc.com/news/technolog…
profdeibert
@RonDeibert profdeibert
@RonDeibert
3:59 · 22 de diciembre, 2017 19:20 · 8 de mayo, 2021
Funny -- talks about Governments versus
Private Sector attribution of cyber espionage,
but nothing about academic groups. Guess
@citizenlab doesn’t count? Also again I ask:
why aren’t there more @citizenlab like units in
other Universities? lawfareblog.com/private-
sector…
I trust @UofT admin, @UTLaw follow what’s
the most appropiate path forward now: restore
the appointment offer. It is essential that the
university is free from both external influences
and appearances of external influence. The
principle of academic freedom demands it.
profdeibert
@RonDeibert profdeibert
@RonDeibert
matt blaze @mattblaze · 07 de oct 15
22:42 · 3 de noviembre, 2014 0:01 · 8 de octubre, 2015
It is precisely to counter spurious claims like
those of #hackingteam that careful, peer-
reviewed academic research is vital.
@headhntr
Universities have ethics review boards, w
academic peer review. No place in University
for “Security Officer”. twitter.com/mattblaze/
stat…
@bartongellman I amb gladder every day that my
university has no “site security offer” for me to
answer to.
P. 38 «CATALANGATE»: UN INFORME NO VALIDADO DE FORMA INDEPENDIENTE
Citizen Lab ha utilizado la «libertad académica» y la «in-
dependencia académica» como argumentos para disipar las crí-
ticas sobre sus métodos y la integridad de la investigación. Por
ejemplo, en 2018, tras haber sido acusado de apropiación inde-
bida de tecnología por parte de Sandvine, el abogado de Citizen
Lab utilizó estos argumentos en una declaración enviada a la
directora ejecutiva de las empresas en 2018, en la que se afir-
maba que «incluso la percepción de que la agenda de investiga-
ción de la Universidad podría verse influida o socavada por los
apoyos o las amenazas de una empresa privada es una amenaza
para su independencia académica, credibilidad e integridad»35.
De todos modos, esto parece contradecir el testimonio del
Sr. Torrent, ni más ni menos que un líder político de Esque-
rra Republicana de Catalunya (ECR) y figura clave en el asunto
CatalanGate, que afirmó en su libro que Citizen Lab estaba in-
tentando reunir casos positivos de infecciones por Pegasus en
Cataluña en nombre de Apple y como medio para alimentar los
argumentos judiciales.36
Al parecer, Citizen Lab está reivindicando lo mejor de am-
bos mundos, es decir, ser capaz de operar bajo el paraguas de
la Universidad de Toronto para reivindicar la libertad académica,
al tiempo que rechaza la responsabilidad y la transparencia ha-
bituales en el mundo académico. De hecho, su investigación pa-
rece estar influida en cierta medida por agentes de la industria
y activistas políticos partidistas, como demuestra este estudio.
Citizen Lab. Carta a Lyndon Cantor, consejero delegado de
Paliare Roland Barristers, 8 de marzo de 2018.
https://citizenlab.ca/wp-content/uploads/2018/03/UofT-
Sandvine-Letter-to-Lyndon-Cantor-signed-8-March-2018.pdf
36/ Roger torrent (2021). Pegasus: L’Estat que ens espia. Barcelona: ARA Llibres,
página 135.
35/
FALTA DE TRANSPARENCIA
3
P. 40
Falta de transparencia
FALTA DE TRANPARENCIA
P. 41UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
A pesar del presunto compromiso de Citizen Lab y de la Uni-
versidad de Toronto para mantener y solicitar los estándares
más altos en términos de transparencia y rendición de cuentas
públicas, el informe «CatalanGate» parece ser una excepción a
la aplicación de estos principios. Como demuestra esta revisión
crítica, existe una anormal falta de transparencia en relación
con la metodología y los análisis utilizados por Citizen Lab en
este caso.
Por ejemplo, la forma en que se repiten los ataques de
Pegasus es muy inusual. En el «Apéndice A» del informe, en la
sección de objetivos, aparecen 30 presuntas víctimas con fe-
chas aproximadas de infecciones «en o alrededor del AAAA-
MM-DD»; en el caso de 5 presuntas víctimas hay un intervalo
de tiempo («algún tiempo entre AAAA-MM-DD y AAAA-MM-
DD»); en 12 casos no hay más información más allá de «[incapaz
de determinar la(s) fecha(s) de infección específica]»; en 1, hay
[«Fecha (s) de infección desconocida]; en 8 casos simplemente
se notifica que la víctima había recibido «Pegasus SMSes»; y en
5 casos solo hay una nota en la que se afirma que estas presun-
tas víctimas habían recibido «2019 notificaciones de Pegasus
de WhatsApp». La información facilitada por Citizen Lab no per-
mite a los lectores saber cuántas de estas presuntas víctimas
han sido analizadas por medios forenses ni cuáles fueron los
resultados. Del mismo modo, en lo que respecta a la presunta
infección de Candiru, hay 3 presuntas víctimas que aparecen
como objetivo y una como infectada. Por otra parte, el informe
no explica claramente las implicaciones de esas etiquetas. ¿Por
qué Citizen Lab no indica claramente cuántas de las presuntas
víctimas han dado negativo a la infección, es decir, no han sido
infectadas, y si examinaron de forma forénsica los dispositivos
de todos los políticos y activistas de la lista? La forma en que
Citizen Lab agrupa los casos con resultados negativos de infec-
ción con otros con resultados positivos de infección, e incluso
añade casos en los que no está claro si se llevó a cabo algún
análisis, muestra una clara falta de rigor.
Las imprecisiones y omisiones de Citizen Lab en relación
con las principales opciones y procesos metodológicos están en
contradicción con algunas de las directrices generales y los cin-
co principios del análisis forense digital prescritos por la Agen-
cia europea para la Ciberseguridad (ENISA).
P. 42 FALTA DE TRANSPARENCIA
ENISA, como la mayoría de los organismos especializados
en investigación digital, sostiene que «la incautación, la cus-
todia, el control, el traslado, el análisis y la disposición de las
pruebas deben documentarse cronológicamente de una mane-
ra adecuada que constituya una «cadena de custodia»37
. Soli-
cita que las pruebas sean tramitadas por especialistas: «Cada
dispositivo tiene sus características y sus procedimientos de
manipulación deben ajustarse a ellos: Los dispositivos electró-
nicos son especialmente sensibles a los cambios no intencio-
nados en su estado, lo que, junto con otros peligros, puede dar
lugar a la reversión de las pruebas por parte del Tribunal de
Justicia».38 Como demostrará esta revisión en secciones pos-
teriores, las pruebas fueron gestionadas no solo por especialis-
tas en informática forense, sino también por algunos activistas
proseparatismo como el Sr. Elies Campo, que no contaba con
una formación previa conocida en criminalística digital. En el
proceso podrían haberse producido alteraciones involuntarias o
intencionadas de las pruebas.
ENISA también insiste en el uso de procedimientos, téc-
nicas y herramientas adecuados: «junto con los conocimientos
especializados de los ingenieros forenses, cada tarea requie-
re seguir los procedimientos y aplicar técnicas adecuadas con
herramientas adecuadas. Cada investigación forense debe ser
rastreable y repetible por otros especialistas forenses con la
misma conclusión final».39
El informe CatalanGate, al igual que muchos otros infor-
mes del Citizen Lab, no documenta de forma mínima las técni-
cas y procedimientos forenses, y sería imposible para cualquier
otro especialista forense rastrear y reproducir el análisis. Por
el contrario, cuando se le preguntó directamente sobre fechas,
procedimientos de muestreo y protocolos para el manejo de
pruebas, Citizen Lab dio respuestas anormalmente vagas y elu-
sivas.40 El trabajo de campo fue realizado en Cataluña por el Sr.
Campo y otros activistas y políticos proseparatismo. Aunque el
Sr. Campo fue supervisado desde Toronto por los Sres. Deibert
y Scott-Railton, no hay rastro de ningún protocolo escrito ni
técnica forense aplicada para el trabajo de campo.
«Exhaustividad» es otro criterio promovido por ENISA, es
decir, las pruebas «deben abarcar el caso con total indepen-
dencia de la perspectiva».41 En este caso, es evidente que solo
se sometieron a análisis los teléfonos de políticos y activistas
separatistas.
Universidad de Toronto (2019) Research Integrity
https://research.utoronto.ca/research-integrity/research-
integrity
38/ Carta del Sr. Ronald Deibert al Sr. Jordi Cañas, páginas 2-3.
39/ ENISA (2013) Digital forensics, página 3.
40/ Vea, por ejemplo, la carta del Sr. Ronald Deibert al Sr. Jordi Cañas. 13 de mayo de
2022.
41/ ENISA (2013) Digital forensics, página 3.
37/
P. 43UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
42/ ENISA (2013) Digital forensics, página 5.
43/ ENISA (2013) Digital forensics, página 5.
44/ Carta del Sr. Ronald Deibert al Sr. Jordi Cañas, página 5.
Esto se debe en gran medida a la participación de orga-
nizaciones y partidos políticos separatistas en la selección de
datos. No consta si se han analizado otros teléfonos o grupos de
control. Citizen Lab se niega a comunicar los resultados negati-
vos y el número de análisis realizados.
ENISA también hace hincapié en que existen cinco prin-
cipios que sientan las bases para todas las operaciones de evi-
dencia electrónica, como en este caso: 1) integridad de los da-
tos, 2) pista de auditoría, 3) apoyo especializado, 4) formación
adecuada, y 5) legalidad. La integridad de los datos recuerda a
los investigadores que deben conservar una cadena de custo-
dia forense. En el informe CatalanGate no se hace referencia
alguna a la cadena de custodia. En relación con el principio de
la pista de auditoría, ENISA afirma que «es imperativo registrar
con precisión todas las actividades para que un tercero pueda
reconstruir las acciones del primer interviniente en la escena
con el fin de garantizar su valor probatorio ante los tribuna-
les. Toda actividad relacionada con la incautación, el acceso,
el almacenamiento o la transferencia de pruebas electrónicas
deberá estar plenamente documentada, conservada y disponi-
ble para su revisión.»42 Como se ha mencionado anteriormente,
no se dispone de documentación para la revisión o registro del
acceso, almacenamiento o transferencia de pruebas electróni-
cas. No se explica cuándo ni cómo se recogieron las pruebas ni
por quién. ENISA pide que todas las personas implicadas en el
proceso tengan los conocimientos especializados y experien-
cia necesarios en la materia, los conocimientos de investiga-
ción necesarios y los conocimientos jurídicos necesarios.43 No
se hace referencia a la formación o a las capacidades y expe-
riencia especializadas del Sr. Campo, que coordinó el trabajo
de campo y recopiló pruebas en nombre de Citizen Lab. Por el
contrario, al preguntarse qué tipo de conocimientos técnicos o
competencias sirvieron de base para elegir al Sr. Elies Campo
como coordinador del trabajo de campo en Cataluña, el Sr. Dei-
bert respondió que, para él, no se requieren conocimientos téc-
nicos especiales.44 Como otros participantes y el Sr. Campo han
reconocido públicamente45, el Sr. Campo participó directamente
en la detección de infecciones y la recogida de pruebas, y, por
tanto, según ENISA, debería haber recibido formación o haber
tenido experiencia previa.
45/ Véase, por ejemplo, CCMA.Cat. TV3. Preguntes Freqüents.
El Catalangate amb John Scott-Railton i Elies Campo, Lang
Lang i Noemí Casquet, 23 de abril de 2022;
https://www.ccma.cat/tv3/alacarta/preguntes-frequents/el-
catalangate-amb-john-scott-railton-i-elies-campo-lang-lang-
i-noemi-casquet/video/6155478/.
P. 44 FALTA DE TRANSPARENCIA
Además de los principios y directrices de ENISA, el trabajo
de Citizen Lab, al menos en el caso de la investigación «Ca-
talanGate», contraviene aspectos pertinentes del Protocolo de
Berkeley sobre investigaciones digitales abiertas preconizadas
por la Oficina de las Naciones Unidas del Alto Comisionado de
las Naciones Unidas para los Derechos Humanos. Por ejemplo,
este protocolo establece lo siguiente:
«Una gestión y un tratamiento
adecuados de este material aumentarán
considerablemente la probabilidad de
que pueda ser utilizado por fiscales
y asesores. Sin embargo, si se utilizan
métodos poco sólidos de recogida
y conservación, la información no puede
considerarse fiable a efectos de la
determinación de los hechos en un caso
concreto. Los órganos jurisdiccionales
y los mecanismos de investigación se
beneficiarán de criterios claros para
evaluar el peso de la información de
código abierto, ya sea como enlace
o como prueba basada en delitos».46
United Nations (2022). Berkeley Protocol on Digital Open
Source Investigations. New York. Human Rights Center, UC
Berkeley School of Law and United Nations Human Rights
Ofce of the High Commissioner. Página V.
https://www.ohchr.org/sites/default/les/2022-04/OHCHR_
BerkeleyProtocol.pdf
46/
P. 45UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
Al igual que los principios de la ENISA, el Protocolo de-
Berkeley establece la pertinencia de los métodos de recopila-
ción de datos y de conservación de los datos, que en el caso del
informe «CatalanGate» no se han revelado ni siquiera tras un
interrogatorio. Por otra parte, considera que:
«[e]n cumplimiento de los principios
profesionales relacionados con las
investigaciones digitales de código
abierto, los investigadores deben
garantizar que son responsables,
competentes y objetivos».47
«la transparencia en los métodos
y procedimientos de investigación es
un elemento esencial para garantizar
la rendición de cuentas. Así pues, en
la medida de lo posible y razonable,
los investigadores de código abierto
deben mantener registros de sus
actividades».48
47/ United Nations Berkeley Protocol, página 9.
48/ United Nations Berkeley Protocol, página 11.
Ninguno de estos tres principios parece cumplirse en el
caso de la investigación «CatalanGate». El protocolo de Ber-
keley indica que:
La ausencia de registros sobre la recogida y el tratamien-
to de datos, así como la falta de competencias especializadas y
de formación específica reconocida por Citizen Lab en el caso
del Sr. Campo son indicadores claros de la violación de los dos
primeros principios profesionales.
P. 46 FALTA DE TRANSPARENCIA
49/ United Nations Berkeley Protocol, página 11.
50/ Véa, por ejemplo, Preguntes Freqüents, 23 de abril de 2022, o la carta del Sr.
Ronald Deibert al Sr. Jordi Cañas, página 5.
51/ United Nations Berkeley Protocol,
Sin embargo, la infracción más flagrante aparece en el
caso del principio de objetividad.
«Los investigadores de código abierto
deben comprender el potencial de sesgos
personales, culturales y estructurales
que pueden afectar a su trabajo y la
necesidad de adoptar contramedidas
para garantizar la objetividad».49
«Los investigadores deben asegurarse
de que enfocan sus investigaciones
de manera objetiva, desarrollan y
despliegan múltiples hipótesis de trabajo
y no favorecen ninguna teoría concreta
que explique sus casos».51
En el presente caso, es evidente que confiar la coordi-
nación del trabajo de campo a un activista político que afirma
ser víctima de programas espía constituye una contradicción
con el principio de objetividad. Este asunto es aún más grave
si se tiene en cuenta que el Sr. Campo fue el segundo autor del
informe y que no se reflejó en él ninguna cláusula de exención
de responsabilidad ni reconocimiento de sus actividades como
activista a favor de la secesión. Además, no se adoptaron con-
tramedidas para mitigar su evidente sesgo. Su participación en
el informe parece formar parte de su trabajo como activista po-
lítico, ya que fue él quien contactó con Citizen Lab ofreciendo
ayuda para encontrar casos de ataques de Pegasus entre otros
activistas y políticos secesionistas.50
Otro aspecto relacionado que el Protocolo de Berkeley de-
fiende es el siguiente:
P. 47UNA REVISIÓN CRÍTICA DEL INFORME «CATALANGATE» DE CITIZEN LAB
Citizen Lab solo tiene en cuenta la hipótesis del espionaje
ilegal por parte del Gobierno español y las fuerzas de seguridad.
Como se explica más adelante, ni siquiera se mencionan otras
hipótesis verosímiles. Entre ellas se incluye el seguimiento pre-
via autorización judicial lo que, sin duda, ocurrió en un número
considerable de presuntas víctimas52; la posibilidad de que al-
gunas presuntas infecciones fueran causadas por malware o
spyware;53 o que los servicios secretos de Rusia u otros países
afectados por la colaboración de algunas de las presuntas víc-
timas con los emisarios del Kremlin podrían haberles espiado.54
Citizen Lab, en su informe CatalanGate, no intentó descartar
hipótesis alternativas y simplemente confirmó la inicial, basa-
da en lo que admiten como «evidencia circunstancial». Esta
hipótesis era conveniente para Citizen Lab, ya que se especia-
lizan en Pegasus, tras haber publicado docenas de informes
sobre este programa espía específico comparativamente, han
estudiado mucho menos casos causados por otros programas
maliciosos55.
20 minutos. El CNI conrma que investigó a una veintena de
independentistas, entre ellos. 6 de mayo de 2022,
https://www.20minutos.es/noticia/4995670/0/la-directora-
del-cni-admite-el-espionaje-legal-a-18-independentistas-
incluido-pere-aragones/
Techtarget.Top 10 spyware threats, mayo de 2022,
https://www.techtarget.com/whatis/denition/Top-10-
Spyware-Threats
El Periódico. El enlace de Puigdemont ofreció a Rusia
reconocer Crimea a cambio de apoyo a la independencia de
Catalunya. 21 de noviembre de 2019,
https://www.elperiodico.com/es/politica/20191121/
terradellas-puigdemont-rusia-crimea-dui-catalunya-7741883
52/
53/
54/
55/ Citizen Lab. Publications.
https://citizenlab.ca/publications/
Citizen Lab. Targeted Threats.
https://citizenlab.ca/category/research/targeted-threats/
page/6/
P. 48 FALTA DE TRANSPARENCIA
Carles Puigdemont, The Catalan Independence Movement Has
Proven Its Strength. Now Spain’s Government Must Talk to Us.
Time. 21 de octubre de 2019.
https://time.com/5705915/carles-puigdemont-catalan-
protest-barcelona/
Ayers,R., Brothers, S. & Jansen, W. (2014). Guidelines on
Mobile Device Forensics. NIST Special Publication 800-101.
Revision 1. Página 28.
http://dx.doi.org/10.6028/NIST.SP.800-101r1,
Esta también fue útil para activistas y organizaciones
secesionistas en sus intentos de mostrar a España como res-
ponsable de mala conducta, represión y de tener estándares
democráticos cuestionables, estrategia que han seguido desde
hace muchos años.56
Por último, el National Institute of Standards and Tech-
nology (NIST) de las directrices de dispositivos móviles del De-
partamento de Comercio de Estados Unidos está de acuerdo
con los principios básicos defendidos por ENISA y la OHCHR,
y subraya la importancia de los procedimientos y los requisitos
de documentación que faltan en esta investigación de Citizen
Lab. Las directrices de esta organización hacen referencia a la
necesidad de documentar con precisión y aislar todos los datos
visibles sobre cómo se encuentran los dispositivos móviles. En
particular, estas organizaciones recomiendan desactivar la red,
incluyendo:
56/
57/
Hernández, G., & Closa, C. (2022). The challenge of Catalan
secessionism to the European model of the rule of law. Hague
Journal on the Rule of Law, 1-29; Cardenal, J.P. (2020). La
telaraña. La trama exterior del procés. Barcelona: Editorial
Ariel; European Parliament Debates. Whitewashing of the
anti-European extreme right in the EU (topic debate). Clara
Ponsatí Obiols, 19 de octubre de 2022,
https://www.europarl.europa.eu/doceo/document/CRE-9-
2022-10-19-INT-3-149-0000_EN.html
«Los datos entrantes (llamadas
o mensajes de texto) que puedan
modificar el estado actual de los datos
almac