Desde hace años sabemos que no estamos a salvo de la cibervigilancia. El escándalo del llamado 'Catalangate' no hace sino confirmar por enésima vez que existe un espacio en el que gobiernos, grupos e individuos son capaces de interceptar nuestro 'yo digital' más íntimo. Si bien determinados productos se diseñan para el uso 'exclusivo' de los estados, el descontrol es tal que con cierta periodicidad nos enfrentamos a escándalos que minan la confianza en el sistema político, económico y social. Llegados a este punto, sólo la transparencia puede salvarnos.

Pegasus ha saltado a los titulares por la infección en los dispositivos de más de 65 políticos, activistas y abogados relacionados con el proceso soberanista catalán. Si bien hemos explicado qué es Pegasus, cómo se ha utilizado y de dónde proviene -la compañía israelí NSC Group-, el discurso oficial siempre es el mismo: sólo se venden a gobiernos. El CNI español usó sólo en dos ocasones durante el Gobierno de Mariano Rajoy esa herramienta (*), según confirmaba hace unas horas el portavoz del Partido Popular, Juan Bravo. Todo lo demás es secreto.

Incluso EEUU, que desde hace poco menos de un año mantiene un veto sobre los productos de NSC, reconoce que sus servicios secretos lo han utilizado. El hecho de que este tipo de programas se han vendido a países de dudosa calidad democrática, unido al hecho de que el propio Pegasus estuvo a la venta en la dark web debido a un ex empleado cabreado, hacen que surjan nuevas cuestiones.

¿Cómo es ese mercado de programas para vigilar la vida digital de los ciudadanos? ¿Quién controla el uso que se le dan? En una investigación exhaustiva publicada en el New York Times el pasado mes de enero, se muestra cómo la diplomacia israelí estuvo durante la pasada década promocionando el propio programa Pegasus en todo el mundo.

No obstante, ese mismo reportaje demuestra también cómo EEUU trata de adelantar a Israel y romper el cuasi monopolio de las empresas israelíes en este campo.

Mientras, desde hace años sabemos que otros países cuentan con empresas que se dedican precisamente a vender software y servicios de espionaje. Italia ha estado exportando abiertamente los productos de la empresa Hacking Team; la empresa angloalemana Gamma Group es una de las firmas lideres en el desarrollo y venta de virus informáticos y programas de espionaje para gobiernos y policías como el infame FinFisher; Francia contó en su momento al menos con Babar, descubierto por el contraespionaje canadiense y alertado por Edward Snowden en 2015; el mismo informador que demostró, en 2013, la actividad de cibervigilancia mundial de los llamados "cinco ojos"; incluso España pudo haber desarrollado un gusano espía llamado Careto.

Israel hasta ahora ha sido una especie de superpotencia en el campo de la cibervigilancia, pero parece que el testigo lo está recogiendo EEUU, que es precisamente lo que denuncia la investigación del New York Times. Naturalmente, China y Rusia también están en cabeza en cuanto a fabricación y 'ciberarmas', tal y como coinciden en afirmar varios estudios e índices tales como los del Belfer Center de Harvard, los del Instituto Internacional de Estudios Estratégicos (IISS) o los del Instituto Potomac, citados en un reciente reportaje de El País.

En cualquier caso, sobre el detalle y alcance del ciberespionaje mundial entre países (una actividad que es lógicamente secreta) sólo podemos saber gracias a las filtraciones a las que tienen acceso grupos de informadores y alertadores, quienes de momento no cuentan en España con una protección legal adecuada mientras siga parada en el Congreso la transposición de la directiva europea correspondiente.

¿Quién vigila a los vigilantes?

El uso de herramientas de vigilancia tiene una larga tradición en España, que cuenta con un sistema propio de interceptación y registro de comunicaciones llamado SITEL, cuyo uso está en teoría muy tasado: Policía Nacional, la Guardia Civil y el Servicio de Vigilancia Aduanera lo pueden utilizar previa autorización judicial, y las garantías, autenticidad e integridad de las pruebas obtenidas de este modo se fijaron en virtud de la reforma de la Ley de Enjuiciamiento Criminal de 2015.

Caso aparte son las actuaciones del Centro Nacional de Inteligencia (CNI), que cuenta con una normativa específica para el caso en el que sus actuaciones comprometan la inviolabilidad del domicilio y al secreto de las comunicaciones: la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia.

Así, el órgano de la inteligencia del Gobierno siempre ha de pedir autorización judicial previa para realizar escuchas, al menos 24 antes en los casos más urgentes. Y la petición ha de estar justificadas, ser concretas y tener una duración especifica. Para estos casos, hay un magistrado del Tribunal Supremo designado específicamente para ello: hasta ahora ha sido Pablo María Lucas Murillo de la Cueva, que ejerce ininterrumpidamente el cargo desde 2009 tras haber sido sido reelegido por el CGPJ en dos ocasiones.

Desde hace tiempo se ha sabido que el CNI cuenta con herramientas específicas para la escucha y grabación de contenidos digitales. ¿Es posible confirmar este extremo? No, al menos de forma oficial, ya que por definición toda actividad del CNI es considerada secreta.

El control sobre estas actividades proviene del mismo Gobierno, que establece los objetivos a los que debe dedicar sus esfuerzos. Orgánicamente, el CNI depende del Ministerio de Defensa, ahora en manos de Margarita Robles.

Asimismo, el CNI informa al Congreso de los Diputados, a través de la comisión que controla los créditos destinados a gastos reservados (la famosa "comisión de secretos oficiales"), la información apropiada sobre su funcionamiento y sus actividades.

Por ultimo, la Ley de Presupuestos Generales del Estado establece las partidas de gastos reservados, entre ellas la de los fondos presupuestados para el CNI. De manera interna, el CNI cuenta con un interventor delegado de la Intervención General de la Administración del Estado que lleva a cabo un control financiero permanente; y en última instancia, las cuentas auditadas y aprobadas por él se remiten al Tribunal de Cuentas.

Hoy sabemos que la comisión de secretos del Congreso va a ser convocada (por primera vez en esta legislatura) mientras crecen las tensiones entre partidos políticos que tratan de vetarse entre ellos: sin acuerdos será difícil esclarecer qué ha pasado en realidad en el 'Catalagate'.

(*) [Rectificación: Por error del redactor, se afirmaba que Pegasus fue adquirido durante el mandato de Mariano Rajoy, pero lo que el portavoz del PP ha afirmado es que se utilizó en algunas ocasiones; nada dice de su compra. Rogamos disculpen las molestias]