Este artículo se ha publicado originalmente en Crític. La primera versión vio la luz el 28/02/2022 y ha sido actualizada con la última información sobre el ‘Catalangate’ y el uso de Pegasus. Puedes leerlo en catalán aquí.

El grupo de expertos en ciberseguridad Citizen Lab ha desvelado el nombre de 65 políticos y miembros de la sociedad civil independentista de Catalunya que han sido víctimas del programa Pegasus, diseñado por la empresa israelí NSO para acceder a ordenadores y dispositivos móviles. En él figuran Artur Mas, el entorno de Carles Puigdemont, Quim Torra y Pere Aragonès. También han sido objeto de ciberespionaje dirigentes de la ANC y de Òmnium Cultural como Elisenda Paluzie, Jordi Sánchez o Marcel Mauri, además de una treintena de miembros de JxCat, de ERC y de la CUP. Citizen Lab apunta que hay “nexos” entre este espionaje y “una o más entidades del Gobierno español”.

El hacking a líderes independentistas no es nuevo –en el 2020 ya se reveló el caso de Roger Torrent, Anna Gabriel o Ernest Maragall– pero sí lo es la magnitud de la información recopilada por Citizen Lab, que ha sido publicada por The New Yorker. El software utilizado permite “leer mensajes, acceder a contenidos e incluso activar en segundo plano la cámara o micrófono de un teléfono móvil. Los servicios de inteligencia españoles eran clientes del programa Pegasus desde 2015, aunque no ha podido acreditarse si el espionaje era ordenado directamente por ellos. Esta herramienta informática sólo la pueden utilizar los estados. El expresidente Carles Puigdemont y el exvicepresidente Oriol Junqueras han anunciado que presentarán querellas en Bélgica, Suiza, Luxemburgo, Alemania y Francia, los países donde el software de espionaje Pegasus se utilizó contra el independentismo.

El denominado Catalangate es el caso de ciberespionaje masivo más importante detectado en Europa. Pero el uso de tecnologías de control social y vigilancia masiva que pueden afectar a derechos y libertades no es una novedad, tampoco en Cataluña. En el marco del pasado Mobile Social Congress, impulsado por el SETEM, se presentó un informe elaborado por el Observatorio de Derechos Humanos y Empresas en el Mediterráneo (ODHE) que desgrana qué usos de la alta tecnología hacen diferentes empresas, administraciones y cuerpos policiales en el Estado español con fines de vigilancia, así como qué empresas han proporcionado estos servicios. Además de mencionar el caso de Pegasus, el estudio también destaca el rol de diferentes start-ups catalanas como Herta Security, Bee the Data o Ctrl4 Enviro en el desarrollo de tecnologías de reconocimiento facial con fines securitarios.

‘Phishing’ policial al movimiento por la vivienda

Una de las prácticas detectadas por el informe es la infiltración digital en movimientos políticos. En concreto, destaca el caso de la suplantación de identidad en correos electrónicos por parte, presuntamente, de agentes de los Mossos d’Esquadra. A partir de una investigación de la Directa, se recogen al menos 11 cuentas falsificadas de organizaciones políticas, lugares de reunión comunitaria y sindicatos de vivienda, que enviaron al menos 60 correos “con el claro objetivo de recopilar información sobre las actividades y los documentos internos de estas organizaciones”.

Según la investigación periodística, estas falsificaciones incorporaban un servicio VPN para ocultar su procedencia, pero las direcciones IP detectadas apuntaban a la Comisaría General de los Mossos d’Esquadra en Sabadell y al Centro de Telecomunicaciones y Tecnologías de la Información de la Generalitat de Catalunya ( CTTI).

‘Deep learning’ para saber quién lleva la mascarilla en la playa de Castelldefels

La vigilancia con herramientas de audio y de vídeo en el espacio público se ha especializado en los últimos años. Los circuitos cerrados de televisión en calles y plazas existen desde hace décadas, pero nuevas herramientas permiten analizar automáticamente el contenido de las imágenes. En este sentido, una nueva tecnología permite a la Policía Local de Castelldefels controlar automáticamente «el distanciamiento social, el uso adecuado de la mascarilla y la densidad de empleo» en las playas del municipio. Se trata del Monitor de Distancia Social (MDS), una herramienta desarrollada por una start-up del Parque de Investigación de la Universidad Autónoma de Barcelona (UAB) llamada Ctrl4 Enviro. Según un informe del cluster tecnológico Secpho, esta tecnología también permitiría obtener información sobre la temperatura corporal de cada bañista.

Otras empresas catalanas son también pioneras en las tecnologías de análisis de imágenes de cámaras de vigilancia. Herta Security, que nació como un proyecto vinculado a la Universidad Politécnica de Cataluña, tiene su sede en Barcelona y vínculos con más de 50 países. Trabaja su tecnología en ámbitos como aeropuertos, estaciones de tren, casinos, prisiones o ejércitos, y recientemente también se ha especializado en aplicar este reconocimiento a los controles fronterizos. También destaca Bee the Data, una start-up situada en el barrio Gòtic barcelonés que combina inteligencia artificial y reconocimiento facial por ser capaz de “capturar, analizar y comprender el comportamiento humano” y de “detectar las características físicas únicas de las personas” .

Reconocimiento facial para saber quién se salta clase

El reconocimiento facial y la tecnología biométrica son herramientas tan punteras como discutidas para la identificación de personas. Un caso especialmente delicado es el del Institut Públic Enric Borràs, de Badalona. Tal y como recoge el informe y consta en la Guía de información educativa de Badalona, ??la asistencia a clase de los alumnos de primero de ESO de este centro se controla mediante una tecnología de reconocimiento facial. A partir de este sistema, si el estudiante no ha sido detectado en el instituto, se envía un mensaje automáticamente a su familia.

Algunos medios, como Business Insider, destacan que una prueba piloto idéntica por parte de una escuela sueca terminó en una sanción de 20.000 € por parte de la agencia de protección de datos del país, que consideró que esto incumple el reglamento europeo en la materia. La misma publicación señala que en dos escuelas privadas catalanas, las de SEK-Catalunya, también se ha utilizado esta tecnología para controlar el acceso al comedor. Mercadona también utilizó una tecnología similar para detectar a las personas con órdenes de alejamiento en 40 de sus supermercados, por lo que ha recibido una multa de 2,5 millones de euros por parte de la Agencia Española de Protección de Datos.

Xiptic Solucions, con sede en Vilassar de Dalt, está especializada en la comprobación de la presencia física de las personas, y fue la encargada de desarrollar la comprobación de asistencia en el instituto de Badalona. En Estados Unidos, grupos de derechos civiles han denunciado que los perfiles que generaban tenían un sesgo racista, hasta el punto de que Amazon e IBM detuvieron el desarrollo de su herramienta de reconocimiento facial. Aunque algunos de estos ejemplos existían previamente en la COVID-19, el contexto pandémico ha permitido su expansión en países como el Estado español, según los investigadores. De hecho, el informe recoge que el Ministerio del Interior aprobó en julio de 2020 un convenio para “instalar cámaras de reconocimiento facial en la entrada de estadios, de salas de conciertos y de otros grandes recintos de toda España”.

Cámaras que detectan sombreros, gafas y bolsas en el paseo de Gràcia

El informe incorpora otro ejemplo de detección y análisis de comportamiento en dispositivos de videovigilancia, y alerta de “una invasión cada vez más pronunciada en las libertades civiles, como el derecho a la privacidad y la movilidad”. Barcelona es uno de los escenarios de estos cambios. En el marco de un programa para la protección del espacio público ante “amenazas terroristas y otros incidentes críticos”, la Guardia Urbana de la ciudad ha incorporado un sistema de 17 cámaras de alta definición en el paseo de Gràcia.

Según el pliego de condiciones del contrato, estas cámaras deben ser capaces de determinar el “género, la edad, el tipo de ropa y el color de ropa” de todo el mundo que pasa por el paseo de Gràcia, así como sus “sombreros, gafas, mochilas y bolsas”, y poder realizar una “detección de la zona de la cara”. Las cámaras también deben poder clasificar entre tipos de sonidos, y prever la dirección y el movimiento de las personas. La Directa también destapó el uso de tecnología de reconocimiento facial en varias calles de Ciutat Vella, pero posteriormente esto quedó atascado por problemas burocráticos en la contratación.

En ese momento, el Ayuntamiento aclaró que no utilizaría todas las capacidades de las cámaras: «Un coche también lo puedes poner a 240 kilómetros por hora y no lo haces». Por el contrario, la abogada Laia Serra critica en el informe esta práctica: «¿Por qué los ayuntamientos quieren cámaras con sistemas de reconocimiento tan avanzados, si su única misión es, en teoría, prevenir o evitar incidentes?». Asimismo, organizaciones como Irídia o NOVACT señalan que estos reconocimientos pueden llevar a la elaboración de perfiles raciales y, por tanto, a favorecer las deportaciones de personas migrantes.