PAÍS - PRINCIPAT
Entrevista a l'expert de telecomunicacions, ex-treballador de WhatsApp i de Telegram, que va ajudar a destapar el Catalangate, dos anys després de l’escàndol
Josep Casulleras Nualart
31.03.2024 - 21:40
Actualització: 01.04.2024 - 06:50
“La inacció de la Unió Europea amb el Catalangate és extraordinària comparant-ho amb els EUA”, diu Elies Campo en aquesta entrevista, que fem dos anys després de la revelació del cas d’espionatge d’estat amb programari espia documentat més gran del món. Campo, que com a investigador de The Citizen Lab va participar en la investigació, no pot entendre que no es prenguin mesures com als Estats Units, on s’ha arribat a incloure la companyia fabricant de Pegasus, NSO, en llistes pel fet d’haver espiat ciutadans amb passaport nord-americà. Parlem amb ell del potencial que poden tenir aquesta mena de programaris en un context de manca de regulació i més encara amb les possibilitats que ofereix la intel·ligència artificial. I repassem amb ell, com a ex-treballador de Telegram i de WhatsApp, la darrera polèmica per la pretensió d’un jutge espanyol de voler blocar Telegram.
—El Catalangate és encara el cas més gran conegut a Europa d’espionatge amb Pegasus?
—Sí, continua essent el cas més gran de casos documentats amb anàlisi forense d’abús de programari espia mercenari.
—De tot el món?
—De tot el món. No hi ha hagut cap cas al món en què hàgim trobat tants
casos d’abús d’aquestes tecnologies. Hem trobat algun cas en què hi
havia hagut una trentena d’infeccions, però són tot just la meitat de
les del Catalangate.
—Pot ser que això només sigui la punta d’un gran cas d’espionatge en massa d’un moviment polític?
—Allò que fa diferent el Catalangate és no solament la gran quantitat de
persones afectades, sinó també la gran representació de perfils que hi
ha: polítics, activistes, enginyers, periodistes, advocats, metges i
familiars d’alguns d’ells. I, pel que hem vist, aquestes eines només són
un component més dels que utilitza l’estat per infiltrar-se en el
moviment independentista: també hi ha seguiments físics, infiltracions
d’agents de les forces de seguretat, desinformació… Però aquests
programaris espia mercenaris, aquesta eina tan poderosa, són difícils
d’aplicar a gran escala. És un programari molt personalitzat, és difícil
que afecti milers de persones al mateix temps, no és com un virus.
—Heu arribat a fer mai una estimació aproximada dels diners que pot haver costat el Catalangate amb el cost que té Pegasus?
—És molt difícil de determinar perquè la part financera es calcula client a client. El sistema de preus no és públic ni igual per a tothom; canvia segons el client, el país, les llicències que es facin servir. Sembla que hi ha països on es cobren ordres de magnitud més cares que en uns altres, i de vegades això ho utilitza la companyia com a màrqueting. Poder dir que hi ha un país europeu que ho fa servir és una eina de màrqueting que pot emprar en uns altres països fora de la Unió Europea o en més llocs del món per cobrar el programari més car.
—I a part del preu hi ha, la gran despesa de recursos que implica fer-lo anar…
—Cal la participació de força gent: hi ha l’estudi personal de la
víctima, com és, quines pors té, quines interaccions fa amb més gent,
etc. Es tracta d’enviar-li el vector d’atac més adient, sigui un SMS o
un correu electrònic, amb un contingut molt personalitzat. I hi ha tota
l’operativa: un cop el programari és dins el dispositiu infectat, cal
veure quines de les capacitats que té cal utilitzar contra aquesta
persona: prendre-li els missatges, escoltar-lo, decidir quan s’hi entra i
quan se’n surt… Cal gent darrere monitorant-ho. I després hi ha tota la
part d’analítica, perquè el programari permet d’extreure una gran
quantitat de dades del dispositiu que després s’han de trobar,
analitzar, s’han d’entendre i s’han d’incorporar en les investigacions
que es facin. Per tant, l’ús d’aquestes eines requereix tota una
infrastructura, tant tècnica com personal.
—El Pegasus d’avui és més invasiu, més perillós? NSO el va desenvolupant?
—Sí, Pegasus i més programes com aquest es continuen usant avui. Ara
Pegasus és al centre del focus mediàtic i pot ser que, per això, en
alguns països es faci servir menys. Ara, sabem que hi ha unes altres
companyies que desenvolupen productes semblants, i hi ha potencialment
companyies que encara no sabem ni que existeixen i que tenen productes
amb capacitats semblants, i, com qualsevol tecnologia, els desenvolupen,
creixen i els milloren.
—Com ens arribaran a espiar amb la intel·ligència artificial?
—Ronan Farrow descrivia al New Yorker, havent pogut entrar a NSO, unes
utilitats futures, potencials, d’aquestes eines: que ajudi l’operador a
determinar qui ha de ser la següent persona a infectar; segons les dades
que extreu del dispositiu [infectat], és capaç de calcular quins han de
ser els pròxims objectius, basant-se en l’anàlisi dels missatges i de
tot aquest contingut. La intel·ligència artificial ho pot facilitar. Ara
és una especulació, però és lògic que també aquestes eines la
incorporin, i que siguin més potents, més fàcils d’utilitzar, més
ràpides, i que siguin més invasives a l’hora de poder processar i
avaluar tota l’anàlisi del contingut.
—Voleu dir que Pegasus podria suggerir noves víctimes a qui espia?
—Inicialment Pegasus i els altres programes permetien d’accedir a la
informació dels objectius, però l’anàlisi l’havien de fer els usuaris
d’aquestes tecnologies. Afegint-hi aquesta capa d’intel·ligència
artificial, ens podem imaginar com poden ser aquestes eines. La demanda
d’aquesta mena de productes continua creixent, i una de les grans
preocupacions és com aturar-les. Perquè tots els dispositius que fem
servir tenen un sistema operatiu; els que utilitzem ara i els que usarem
en el futur. Si al final les Vision Pro d’Apple es converteixen en els
nous mòbils, i tothom en duu, o els rellotges intel·ligents, o el que
sigui, les noves plataformes que arriben a milers de milions de
persones, tots aquests dispositius tenen un sistema operatiu que ha
estat programat i desenvolupat per humans, i els humans generem errors
que no som capaços de trobar d’entrada. Per tant, sempre hi haurà
vulnerabilitats que aquestes eines podran explotar per introduir-s’hi.
—La resposta que la UE ha donat als escàndols d’espionatge
com ara el Catalangate ens ha de fer sentir més tranquils o més
preocupats?
—La inacció de la Unió Europea és extraordinària. Tenint en compte els
casos com el Catalangate, el més gran mundialment, i els de Polònia,
Hongria, Grècia, a membres del Parlament Europeu, és extraordinària la
inacció de la UE, comparant-la amb la dels EUA, que han liderat accions
del govern com ara afegir certes companyies a llistes de prohibicions,
impedir que aquestes eines siguin emprades contra els seus ciutadans,
denúncies que han presentat… A Europa és insuficient el que s’ha fet
fins ara i demostra la manca de voluntat de regular aquestes eines,
perquè són una amenaça per al bon funcionament de la societat i la
democràcia de la UE.
—Avui som més vulnerables?
—Tal com diem a The Citizen Lab, si no hi ha una regulació i l’accés a
aquestes eines continua essent relativament fàcil, quan un estat les
compra no és qüestió de si n’abusarà, sinó que és una qüestió de quan
n’abusarà.
—Podem suposar que hi ha encara més casos del Catalangate dels que s’han documentat fins ara?
—No podem parlar de casos quan no tenim l’autorització de les víctimes per a explicar-los o comptabilitzar-los.
—Durant aquells anys d’espionatge, l’estat espanyol també
censurava webs, com ara les del referèndum, del Tsunami… És gaire
normal, això, a l’Europa occidental?
—No, és excepcional, sobretot el fet d’intentar de censurar eines de comunicació d’organització de protestes, de dissidents…
—En aquell context a Catalunya va esclatar l’ús de Telegram.
—Sí, entre l’1 d’octubre de 2017 i els fets de la tardor del 2019
Telegram va créixer molt. I recordo que el canal del Tsunami era dels
que més havien crescut i dels que tenia més subscriptors del món.
—Vau treballar a Telegram durant uns quants anys. Us va sorprendre que un jutge espanyol volgués tancar-lo fa poc?
—Sí, tot i que ja havia passat en uns altres estats, on hi ha hagut un
requeriment a Telegram que no té resposta, al final hi ha un jutge que
decideix que com que no s’ha solucionat el problema cal activar alguna
mesura perquè hi hagi resposta. I aquesta mesura sol ser tallar el
servei.
—En quins països havia passat?
—Al Brasil, a Rússia, a Indonèsia, i en més països on no s’ha arribat a
tancar, però que hi ha hagut alguna mena d’amenaça o de requeriment.
—El jutge recula perquè s’adona de la penetració social de Telegram. Què fa que hagi arribat a aquest nivell d’implantació?
—Per entendre-ho cal anar al 2013, quan va començar la companyia, i
comparar-ho amb què feia WhatsApp aleshores. En aquell moment, WhatsApp
encara no era xifratge de punt a punt, no xifraven les comunicacions, i
recordo alguna reunió amb una operadora…
—Aleshores treballàveu a WhatsApp.
—Sí, al començament de WhatsApp. Recordo aquella reunió en què
l’operadora em deia que ja veia que feia poc que havíem activat el
xifratge perquè ja no podien veure els missatges a les seves xarxes.
Doncs això era WhatsApp.
—Les operadores podien veure-ho tot?
—Els missatges anaven amb text pla, sense cap mena de xifratge, i les
operadores podien analitzar tot el trànsit del text i veure les
comunicacions.
—Després això va canviar.
—Sí, cap al 2013 o 2014. Però aleshores WhatsApp actualitzava
l’aplicació un sol cop l’any. I aquelles actualitzacions no aportaven
gairebé res de nou. I va sortir Telegram l’agost del 2013, i
sistemàticament, i durant deu anys, han estat capaços d’actualitzar el
producte un cop el mes, aportaven funcionalitats completament noves que
canviaven o milloraven significativament. I amb un producte d’aquesta
mena, amb tanta competència i on els efectes de la xarxa són tan
importants, la diferència entre el producte i els de la competència va
creixent significativament. Com a usuaris no canviem d’un producte a un
altre quan és una mica millor, sinó quan és deu o cent vegades millor.
—I cada vegada que WhatsApp queia, nous usuaris cap a Telegram?
—Sí. A això que us deia cal afegir-hi els growing pains [dolors
de creixement] que tenia WhatsApp, perquè tenia un creixement
exponencial que feia que la seva infrastructura fallés, i en alguns
moments hi havia aquests talls, durant els quals els usuaris cercaven
alternatives. En aquells moments, quan hi havia aquests talls, nosaltres
a Telegram teníem una escala de crescuda del producte en què hi havia
moltíssims usuaris que descobrien per primer cop Telegram mentre
buscaven una alternativa.
—Devíeu recollir molts usuaris nous.
—Hi havia uns pics de nous usuaris. N’hi havia un percentatge molt gran
que tornava a WhatsApp un cop es restablia, però un percentatge
significatiu es quedava i descobria Telegram. Al final, Telegram ha anat
creixent i captant usuaris i aconseguint de retenir-los i convertir-se
en una eina que es fa servir en l’àmbit personal, professional,
educatiu, de comunicació…
—És cert que és més segur que no pas WhatsApp?
—És difícil de comparar ara mateix. Al principi Telegram va estrenar per
primer cop, abans que no WhatsApp, les comunicacions xifrades de punt a
punt. Però Telegram va prendre una decisió estratègica important: va
implantar les comunicacions xifrades al núvol, a les quals pot accedir
la companyia amb les claus de xifratge. Això facilitava que poguessis
tenir Telegram multiplataforma, a l’ordinador, al mòbil… i que tot se
sincronitzés d’una manera fluida i instantània; que poguessis tenir
grups molt grans, i que poguessis tenir una còpia de seguretat de totes
les teves comunicacions automàtiques al núvol sense haver de
preocupar-te de si perdies les comunicacions quan canviaves de
dispositius, o si passaves d’Android a iPhone o a l’inrevés. I si volies
un nivell més de seguretat perquè et volies comunicar amb algú de
manera més segura, o amb un nivell extra de protecció, van oferir la
funcionalitat del xat secret: una implantació de xifratge de punt a punt
en què les comunicacions no es poden interceptar des dels servidors o
des del núvol de Telegram.
—WhatsApp també va millorar la privadesa de les comunicacions.
—Cap al 2015 va aplicar el protocol de Whisper Systems, que és el mateix
que utilitza Signal, i va fer que tot WhatsApp fos xifratge de punt a
punt. Sabem que és segur, perquè aquest protocol és de codi obert i es
pot auditar, però, en canvi, l’aplicació, no; no sabem realment què hi
passa a dins. I també sabem, pels canvis en les condicions de servei
quan va passar a formar part de Facebook, que dónes el consentiment
perquè Facebook pugui usar totes les teves metadades, és a dir, el
dispositiu que utilitzes, des d’on et connectes, els grups de què formes
part, des de quins números et comuniques… Amb l’objectiu de donar a
Facebook la capacitat d’enriquir els teus perfils a les xarxes socials i
poder servir-te un contingut més relacionat amb tu i anuncis més bons;
per a captar més la teva atenció en altres productes. És difícil que uns
tercers puguin intervenir d’una manera no autoritzada les teves
comunicacions de WhatsApp, però sabem que Facebook arriba a acords amb
governs i agències de seguretat per a facilitar l’accés a aquesta mena
d’informació. I sabem que usa tot el que pot per captar la teva atenció,
amb tots els efectes que ha tingut això al món quant a desinformació, a
addicció, a pèrdua de capacitats de concentració, de creativitat…
—Però Telegram té el control de les nostres comunicacions al seu núvol.
—A Telegram hi ha tant el xifratge de punt a punt com el xifratge al
núvol de la companyia, que té suposadament les claus d’accés per a poder
desxifrar aquest contingut. D’alguna manera, com a usuaris, confiem en
la companyia. La companyia sempre ha explicat que aquestes claus de
xifratge estan repartides en diferents jurisdiccions, i que seria molt
difícil que diversos governs es posessin d’acord per intentar de
requerir-les i poder desxifrar-ne el contingut. I les aplicacions de
Telegram són de codi obert, a diferència de WhatsApp.
—I s’hi pot confiar, en Telegram? Qui en són els responsables i quins interessos tenen?
—La història de Telegram comença quan els fundadors van crear la
companyia VK, a Rússia, un equivalent de Facebook allà. Va créixer molt i
el govern els requeria l’accés a dissidents i activistes tant de Rússia
com d’Ucraïna. Ells no ho complien, i els entraven a les oficines i als
domicilis personals, i van veure que no podien continuar treballant amb
aquest producte a Rússia. I en van crear un altre per poder tenir
comunicacions privades entre ells i els seus usuaris i els seus equips, i
van decidir de sortir del país per desenvolupar-lo. Tenien inversors
relacionats amb el govern, i els van forçar a vendre la seva
participació, i amb aquests diners van finançar Telegram. Originalment,
era una companyia nova que voltava per diferents parts del món
desenvolupant el producte. Actualment, per finançar-se, Telegram ha
aixecat diferents rondes de deute, fins que pugui generar prou ingressos
perquè la companyia sigui rendible
ENLLAÇ ARTICLE :
Cap comentari :
Publica un comentari a l'entrada