Una nova i important investigació d'Amnistia Internacional revela escandalosos intents d'atac amb programari espia contra la societat civil, periodistes, figures polítiques i intel·lectuals a la Unió Europea (UE), els Estats Units i Àsia. Entre els objectius del programari espia Predator figuren funcionaris i funcionàries de l'ONU, un senador i un congressista dels Estats Units i fins i tot les presidentes del Parlament Europeu i de Taiwan. L’investigació forma part del projecte dels “Arxius Predator”, en associació amb European Investigative Collaborations (EIC) i amb el suport de reportatges addicionals en profunditat de Mediapart i Der Spiegel.

Entre febrer i juny de 2023, es van utilitzar les plataformes de xarxes socials X (abans Twitter) i Facebook per a atacar públicament 50 comptes com a mínim pertanyents a 27 persones i 23 institucions. L'arma de cibervigilància emprada per a l'atac va ser una eina de programari espia invasiu anomenada Predator, desenvolupada i venuda per l'aliança Intellexa. Aquesta aliança, que es publicita com una entitat “regulada i radicada a la UE”, és un grup d'empreses complex i sovint canviant que desenvolupa i ven productes de vigilància com el programa espia Predator.

Predator és un tipus de programa espia summament invasiu. Això significa que, una vegada que s'ha infiltrat en un dispositiu, té accés sense restriccions al seu micròfon i la seva càmera, i a totes les seves dades, com a contactes, missatges, fotos i vídeos, amb total desconeixement de la persona usuària. En l'actualitat, aquest programari espia no pot ser auditat de manera independent. A més, el seu funcionament no pot limitar-se només a les funcions necessàries i proporcionades a un ús específic.

“Una vegada més, tenim proves que s'estan usant potents eines de vigilància en atacs descarats. En aquesta ocasió, els objectius són periodistes en l'exili, figures públiques i funcionaris i funcionàries intergovernamentals. Però no ens equivoquem: les víctimes som tota la població, les nostres societats, la bona governança i els drets humans de totes les persones”, ha afirmat Agnès Callamard, secretària general d'Amnistia Internacional.

"Però no ens equivoquem: les víctimes som tota la població, les nostres societats, la bona governança i els drets humans de totes les persones"

 Agnès Callamard, secretària general d'Amnistia Internacional.

“L'aliança Intellexa, desenvolupadors amb seu a Europa del Predator i altres productes de vigilància, no ha fet res per a limitar qui pot usar aquest programa espia i amb quina fi. Contràriament, s'omple les butxaques sense tenir en compte les greus implicacions per als drets humans en joc. Arran d'aquest escàndol, no hi ha dubte que l'única resposta eficaç és que els Estats imposin una prohibició mundial immediata dels programes espies summament invasius.”

Segons un detallat informe publicat avui pel Security Lab d'Amnistia Internacional, entre les persones atacades —encara que no necessàriament infectades— figuren la presidenta del Parlament Europeu, Roberta Metsola; la presidenta de Taiwan, Tsai Ing-Wen; el congressista nord-americà, Michael McCaul; el senadornord-americà, John Hoeven; l'ambaixadora alemanya als Estats Units, Emily Haber; i l'europarlamentari francès, Pierre Karleskind. També van ser atacats múltiples funcionaris i funcionàries, intel·lectuals i institucions.

Una onada descarada d'atacs

El Laboratori sobre Seguretat d'Amnistia Internacional porta algun temps investigant l'ús del programari espia Predator, potent i summament invasiu, i la seva relació amb l'aliança Intellexa.

Un compte de X (abans Twitter) controlada pels atacants sota el nom de @Joseph_Gordon16 va compartir molts dels enllaços d'atac identificats que tenien com a finalitat infectar objectius amb el programa espia Predator. Un dels primers objectius d'aquest compte va ser el periodista originari del Vietnam establert a Berlín, Khoa Lê Trung, redactor cap de thoibao.de, lloc web de notícies bloquejat al Vietnam, que rep amenaces de mort per la seva feina periodística des de 2018. El Vietnam té un panorama mediàtic repressiu en el qual se sol intimidar periodistes, bloguers i blogueres, i activistes de drets humans perquè guardin silenci.

L'atac, encara que va ser infructuós, és especialment significatiu perquè el lloc web i el periodista estan radicats a la UE, i tots els Estats membres de la Unió tenen l'obligació de controlar la venda i transferència de tecnologies de vigilància.

“No es pot vendre-les sense més a països com el Vietnam. Això també danya la llibertat de premsa i la llibertat d'expressió de la ciutadania aquí, a Alemanya”, ha declarat Khoa a Amnistia Internacional.

La investigació va trobar que el compte @Joseph_Gordon16 estava estretament vinculada al Vietnam i podria haver estat actuant en nom d'autoritats o grups d'interès vietnamites.

A l'abril de 2023, el Security Lab d'Amnistia Internacional va començar a observar que el mateix usuari @Joseph_Gordon16 es dirigia a múltiples intel·lectuals i persones que treballaven en afers marítims, concretament personal d'investigació i responsables de les polítiques de la UE i de l'ONU sobre pesca il·legal o indocumentada. Vietnam havia rebut una “targeta groga” d'advertiment de la Comissió Europea en 2017 per pesca il·legal, no declarada i no reglamentada.

“Observem desenes de casos en els quals @Joseph_Gordon16 va enganxar en posts públics en xarxes socials un enllaç maliciós que portava a Predator. A vegades l'enllaç semblava pertanyent a un mitjà de notícies benigne, com The South China Morning Post, per a induir a qui ho veiés a clicar-hi”, ha explicat Donncha O Cearbhaill, director del Security Lab d'Amnistia Internacional.

“La nostra anàlisi va demostrar que clicar en l'enllaç podia fer que el dispositiu de l'usuari o usuària fos infectat amb Predator. No sabem si algun dispositiu va ser infectat i no podem dir amb absoluta certesa que el perpetrador estava dins del propi govern del Vietnam, però tant els interessos del compte com els de les autoritats vietnamites estaven estretament alineats.”

L’investigació també va revelar proves que una empresa integrada en l'aliança Intellexa havia signat un acord de diversos milions d'euros per “solucions d'infecció” amb el Ministeri de Seguretat Pública de Vietnam a principis de 2020, amb el nom en codi de “Angler Fish”. Documents i registres d'exportació van confirmar també la venda de Predator a aquest ministeri, a través d'empreses d'intermediació.

“Creiem que aquesta infraestructura d'atac de Predator està associada a un actor governamental de Vietnam”, va exlicar a Amnistia Internacional l'equip d’investigació de seguretat de Google, que també va analitzar de manera independent els enllaços maliciosos.

Programari espia regulat per la UE lliure per a recórrer el món sense control

Predator també es pot utilitzar en atacs de clic zero, cosa que significa que pot infiltrar-se en un dispositiu sense que la persona usuària hagi clicat en un enllaç. Això pot fer-se, per exemple, mitjançant el que es coneix com a “atacs tàctics”, que poden infectar dispositius pròxims. En l'actualitat, el programari espia altament invasius no pot ser auditat de manera independent i el seu funcionament no pot limitar-se; Per consegüent, és summament difícil investigar abusos lligats al seu ús.

L’investigació va trobar la presència de productes de l'aliança Intellexa en almenys 25 països d'Europa, Àsia, Orient Mitjà i l'Àfrica; i documenta com s'han utilitzat per a soscavar els drets humans, la llibertat de premsa i moviments socials de tot el planeta.

L'aliança Intellexa té entitats corporatives en diversos Estats, entre ells França, Alemanya, Grècia, Irlanda, República Txeca, Xipre, Hongria, Suïssa, Israel, Macedònia del Nord i Unió dels Emirats Àrabs (UEA). Amnistia Internacional demana a tots aquests Estats que revoquin immediatament totes les llicències de comercialització i exportació emeses a l'aliança Intellexa. Així mateix, han de dur a terme una investigació independent, imparcial i transparent per a determinar l'abast de la selecció il·legítima d'objectes de vigilància.

“Intellexa diu que és una ‘empresa regulada radicada a la Unió Europea’, la qual cosa, en si mateix, és una acusació condemnatòria de com els Estats membres i les institucions de la Unió no han aconseguit impedir l'abast cada vegada major d'aquests productes de vigilància malgrat una sèrie de recerques, com el Projecte Pegasus en 2021. Tant és així que, com posa en relleu aquesta investigació, fins i tot les institucions i el funcionariat de la mateixa UE van quedar atrapats en la seva xarxa”, va dir Agnès Callamard, secretària general d'Amnistia Internacional.

L’investigació dels Arxius Predator va trobar que s'havien venut productes de l'aliança Intellexa a 25 països com a mínim, Suïssa, Àustria i Alemanya entre ells. Altres clients són Congo, EAU, Jordània, Kenya, Oman, el Pakistan, Qatar, Singapur, i Vietnam.

L'aliança Intellexa ha de posar fi a la producció i venda de Predator i de qualsevol altre programari espia similarment invasiu que no inclogui salvaguardes tècniques que permetin el seu ús legítim en virtut d'un marc normatiu que respecti els drets humans. També hauria de proporcionar una indemnització adequada o altres formes de rescabalament efectiu a les víctimes de vigilància il·legítima.

L'anàlisi d'Amnistia Internacional de la infraestructura tècnica recent lligada al sistema del programa espia Predator indica una activitat relacionada, d'una forma o una altra, a Angola, Egipte, Mongòlia, el Kazakhstan, Indonèsia, Madagascar, Sudan i Vietnam entre altres. Amnistia Internacional ha publicat indicadors de risc per a ajudar especialistes tecnològics de la societat civil a identificar aquest programari espia i respondre-hi.

Amnistia Internacional es va posar en contacte amb les entitats implicades per a demanar-los comentaris, però no va rebre resposta. No obstant això, el consorci EIC sí que va rebre resposta de les principals entitats accionistes i de persones que van ocupar càrrecs executius del grup Nexa, que afirmen que l'aliança Intellexa ha deixat d'existir. En relació amb el Vietnam, diuen que el Grup Nexa només va complir part del contracte sobre ciberseguretat. També afirmen que les entitats de l'aliança Intellexa “van respectar escrupolosament la normativa en matèria d'exportació”, si bé reconeixen que van entaular “relacions comercials” amb països que “distaven molt de ser perfectes en el que es reifere a l'Estat de Dret”, afegint que sovint això estava en funció de “opcions polítiques” del govern francès.

Amnistia Internacional va escriure al Ministeri de Seguretat Pública de Vietnam sol·licitant els seus comentaris, però no va obtenir resposta.

+ Versió íntegra de l'informe The Predator Files: caught in the net. The global threat from "EU regulated" spyware