07.12.2024 - 21:40
“Sabem qui ens espia ara? Qui ens diu que això no passa ara mateix però que simplement no en queda l’evidència?” Aquest neguit, el té Jordi Baylina durant l’entrevista per vídeo-conferència que fem amb ell, que viu a Suïssa, per parlar del seu cas, un dels més impressionants del Catalangate. Vint-i-sis atacs al mòbil en pocs mesos. De què tenia por, l’estat espanyol, per a perseguir-lo així? Baylina és una de les autoritats mundials de la tecnologia de cadenes de blocs, el blockchain, amb què es poden desenvolupar votacions sense junta electoral i un sistema d’identitats digitals sobiranes, en què cadascú és amo de les seves dades. Vet ací la por.
Parlem a fons del seu cas, tan impactant, i ens avisa que tots som exposats a ser víctimes d’intromissió als nostres mòbils, perquè els forats per on poden entrar es trafiquen en un mercat negre de què treuen profit els estats, o vés a saber qui.
—Quan vau saber que us havien espiat?
—És una història una mica esperpèntica.
—Expliqueu-nos-la.
—El 2011 vaig crear una empresa que va tenir problemes de diners i per estalviar-me el gestor feia jo tots els formularis d’hisenda, l’IVA, l’IRPF, societats… I en una declaració em vaig confondre de número, vaig voler-ho corregir… i vaig tenir molts maldecaps, anades i vingudes, advocats, per poder-ho arreglar. És clar, des d’aleshores les notificacions d’Hisenda eren sagrades per mi.
—I al cap d’uns quants anys us van arribar uns missatges d’Hisenda…
—El 2020, ja durant la pandèmia, em van arribar per SMS unes notificacions d’Hisenda, i jo estava hipersensibilitzat. No és que cliqués l’enllaç de l’SMS una vegada, sinó trenta. És que fins i tot me’n vaig anar a Hisenda!
—Però si viviu a Suïssa…
—Vaig baixar expressament de Suïssa a l’Agència Tributària per culpa d’aquest missatge. Era pandèmia, era difícil, al final vaig aconseguir que em donessin una hora remota, i recordo de dir-los: “Mireu, si aquí hi ha el missatge que m’heu enviat, com és que no tinc el document?”, i ells em deien que no m’havien enviat res de res.
—I no sabíeu que amb aquell enllaç us introduïen Pegasus al mòbil. Quan ho vau saber?
—Uns mesos més tard recordo que parlava amb l’Elies [Campo] i em comentava que investigava això, m’explicava què feien i que [algunes víctimes] rebien missatges de la Seguretat Social. I fou aleshores que vaig recordar aquell missatge, i van investigar el meu mòbil. I va sortir tot.
—Sabien molt bé quina mena de missatge us havien d’enviar perquè hi féssiu clic.
—Sí, i el més bèstia en el meu cas van ser els missatges amb suposades targetes d’embarcament de Swissair que vaig rebre. Swissair les envia per SMS i jo les clico habitualment.
—Perquè veniu sovint a Barcelona.
—Cada vegada que vinc, una vegada el mes, si fa no fa, acostumo a viatjar amb Swissair. Doncs em van enviar un missatge d’aquests sobre uns vols que jo ja tenia comprats. El missatge era clavat, amb el mateix número de vol del bitllet que havia comprat. Vaig picar-hi, és clar.
—Us havien investigat molt abans d’infectar-vos.
—Hi havia molts recursos al darrere.
—També van infectar la vostra parella, Sònia Urpí, el juny del 2020.
—Sí, ella també ha estat infectada, i en el seu cas sense que consti cap autorització judicial. No sé si la van espiar perquè era companya meva, si la van espiar perquè va ser elegida al secretariat de l’ANC…
—Li van enviar uns missatges falsos de la Seguretat Social.
—Just acabava de tenir una feina nova i passava de règim autònom a treballadora i estava pendent d’aquesta mena d’informació.
—No som prou conscients de què vol dir que us espiessin amb Pegasus?
—Espiar una persona és com entrar a casa seva, començar a agafar tots els papers que té, els arxius, tota la documentació. Si t’entren dia sí i dia també a casa i comencen a regirar-ho tot i a mirar-te les coses, ens sentiríem incòmodes, oi? Doncs això és exactament igual. Han entrat al meu telèfon, on tinc molta més informació fins i tot que no la que tinc en papers a casa. I no sabem què han mirat, què han fet. No és agradable.
—Per què heu decidit de presentar ara una querella per l’espionatge de què vau ser víctima?
—És una qüestió d’oportunitat. Precisament ara amb la creació d’aquesta associació, Sentinel Alliance, i ja que tenim els recursos per fer-ho, tant econòmics com temporals, hem decidit que és el moment. Tinc una responsabilitat com a ciutadà que ha sofert uns abusos, que crec que és important que siguin denunciats i que es vagi fins al final, i que això es corregeixi. Si no ho fem nosaltres, no ho farà ningú.
—Com de gros és, l’iceberg?
—Qui ens garanteix que això no passa ara però que simplement no en queda l’evidència? En el Catalangate, per exemple, se sap la gent espiada que tenia un iPhone, perquè l’iPhone tenia un bug que deixava una traça quan hi entraven. No tenim ni idea de la gent espiada amb Android, però hi ha moltes probabilitats que sigui molta. I ara sabem qui ens espia? Ara sabem qui entra al meu mòbil, qui hi té accés?
—Ara ho poden fer sense necessitat que cliqueu cap enllaç d’SMS.
—Sí, però a part de la intromissió personal hi ha una qüestió més de fons, que és l’atac al sistema mateix. Totes aquestes entrades es fan utilitzant bugs que algú ha trobat i que, en comptes de reportar-ho a Apple o a Google o a qui sigui, ho ven al mercat negre. Aquestes empreses [NSO, Candiru] acaben comprant aquests bugs al mercat negre, i els paguen molt bé. I sobre aquests bugs munten tota la plataforma per a poder entrar dins els dispositius. Hi ha un mercat negre de forats.
—Hi ha un mercat negre de vulnerabilitats detectades en sistemes operatius?
—Sí, sí. Vulnerabilitats detectades en sistemes operatius, o maneres d’entrar-hi. I això és un mercat. Això ho pot comprar NSO, per vendre-ho als estats, però ho pot comprar també una empresa privada per vés a saber què. És com comprar cotxes robats; que un estat accedeixi a aquests productes vol dir que fomenta aquest mercat, i fomenta aquestes vulnerabilitats. Unes vulnerabilitats que potser ara les té l’estat, però al final les pot acabar tenint qualsevol altre.
—I què s’hi hauria de fer?
—S’haurien de perseguir aquestes vulnerabilitats perquè el codi, com a mínim, s’arregli. Jo treballo molt amb codi obert, que no és una garantia que sigui segur, però el fet que sigui obert vol dir que hi ha molts més ulls que el miren i és més fàcil que es trobin més vulnerabilitats. Amb el temps, com que les vulnerabilitats són més fàcils de trobar, acaben essent més segurs. Per això és important tenir el codi obert. Però és igual, encara que no sigui codi transparent, si hi ha un codi, aquest codi ha de fer allò que ha de fer, allò per què va ser dissenyat. Si algú troba un bug, doncs, evidentment, ha de ser recompensat, perquè ha fet una feina, però la recompensa no pot ser que aquesta persona ho vengui al mercat negre. Si em trobo una bossa al carrer, puc fer dues coses, portar-la a la policia o vendre-la al mercat negre. El que no pot ser és que la policia vagi al mercat negre a comprar la bossa robada.
—Els estats haurien de tenir prohibit de comprar aquesta tecnologia.
—Sí. Però per mi és tan important o més el fet que això pot afectar tothom, la potencialitat que té. Aquestes vulnerabilitats que no són corregides i que continuen allà, qui diu que no la trobarà algú altre i també l’aprofitarà? I pot ser que sigui una organització mafiosa que es dediqui a extorquir; o que es facin atacs de phishing, o simplement que t’introdueixin informació al portàtil. Tot això és molt greu, i comprar aquest programari és incentivar-ho, entrar a la selva.
—Algú pot pensar que té lluny l’espionatge del Catalangate, però segons que dieu, tothom hi és exposat.
—Sí. En el meu cas, han detectat que m’han espiat en un mòbil. Però tot el que sé del meu espionatge és per la premsa. Ningú no m’ha dit “mira, t’hem espiat”. He vist documents que en teoria eren secrets però que la premsa tenia, una cosa absolutament esperpèntica. Però és que en el cas de la meva companya, que també va ser espiada, no hi ha cap jutge que autoritzés res. L’han espiada. I amb quines garanties? I la persona que m’ha espiat, qui és? I qui em diu que aquesta persona no ha agafat una altra informació i l’aprofita per fer no sé què? Han entrat a casa teva i no saps ni qui hi ha entrat, ni per què, ni allò que t’han agafat. Per mi no hi ha gaire diferència que m’hi entri el CNI o que m’hi entri un delinqüent comú; és algú que hi ha entrat, que no sé què ha fet ni per què ho ha fet, és exactament el mateix.
—I l’angoixa que això us deu haver causat.
—És que molta d’aquesta informació que hi havia no només estava relacionada amb mi, sinó amb el meu entorn. Hi havia documents de feina, perquè sóc informàtic, de vegades he de tractar dades delicades, confidencials, i he d’anar amb compte, perquè no es poden filtrar i això em posaria en un compromís molt greu, a mi i al meu entorn. Doncs que t’entrin d’aquesta manera causa problemes amb el teu entorn. “Aquesta conversa que vam tenir ha sortit o no?”, “quan parlo amb tu és segur?”.
—Us han demanat explicacions d’aquesta mena?
—He tingut la sort que el meu entorn és molt sòlid. La meva família m’estimarà, faci el que faci; els meus socis… El meu perfil de Twitter diu que sóc independentista, no m’he amagat mai de què sóc, de què faig i de què he deixat de fer. Dins la meva comunitat professional tinc una reputació molt important. Per exemple, en el món de criptomonedes, he salvat més de dos-cents milions d’euros que han estat al meu portàtil, els he salvat directament i els he tornat a la gent. Com et pots imaginar tinc una reputació molt gran. I al final la gent et creu.
—Hi ha una confiança.
—Una confiança establerta abans. Però imagina’t que passa a gent més jove, que els coneixen menys, que no tenen aquesta confiança guanyada…
—Sense comptar les campanyes d’intoxicació mediàtica.
—Això ha estat la part més bèstia que he vist: l’atac al teu entorn. El modus operandi és que t’investiguen, legalment o no, se’t fiquen al mòbil amb Pegasus; agafen tota la informació de la teva vida, piulets, xarxes socials, tot el que trobin, munten una història, basada en mitges veritats, i això es publica normalment en un mitjà de comunicació digital, d’aquells petits; l’endemà surt a tota la premsa madrilenya, i la font és el diari petit aquell que ha muntat tota la pel·lícula; es difon així i que cadascú s’aguanti. És legal? No ho sé, però això fa mal a les persones, són atacs directes, i això ho hem vist en moltíssima gent.
—Com ho han fet amb vós?
—Us en posaré un exemple. Em dedico a les criptomonedes, sóc en el món d’Ethereum, i conec en Vitalik [Buterin], el fundador d’Ethereum. Però el conec d’haver estat amb ell quatre o cinc vegades i de fer-hi un intercanvi de missatges de Twitter. El conec professionalment. Doncs en un mateix paràgraf [d’un diari espanyol] hi posaven Puigdemont, Vitalik, que Vitalik s’havia reunit amb Putin, màfia russa i Jordi Baylina. Es manipula la informació. Hi ha una part de la realitat, sí, jo em dedico a les criptomonedes, en Vitalik el conec de poques converses, en Vitalik es va reunir una vegada amb Putin abans que comencés la guerra d’Ucraïna… i hi fan aparèixer la màfia russa per allà i, evidentment, hi foten en Puigdemont, no fos cas, perquè és l’enemic. I s’encarreguen especialment de posar-hi el teu nom. Falta que ho llegeixi algú perquè ho passi a algú altre, i al final això acaba arribant al teu entorn, i aleshores el teu entorn és quan pot començar a desconfiar.
—Us investigaven en la causa contra el Tsunami Democràtic, deien que formàveu part de la pota tecnològica.
—És que no he tingut mai res a veure amb el Tsunami Democràtic. A més, quan va esclatar jo era en una conferència al Japó, i més aviat em va saber greu no ser aquí, amb tot allò que passava, i no poder ajudar més i no poder manifestar-me ni poder expressar el meu rebuig a la sentència.
—Les infeccions al vostre mòbil comencen en aquelles dates. Què els preocupava, de vós?
—És molt difícil de fer suposicions, però anteriorment m’havia reunit unes quantes vegades amb el president Puigdemont, però igual que m’he reunit amb molta gent més. Li explicava temes de cadena de blocs, de tecnologia… Tinc la teoria que es van fixar en mi des que vaig ser a la Casa de la República. I sé que arran del Tsunami Democràtic hi va haver el famós decret digital, que implicava que per a poder censurar no cal ni autorització ni res; però també hi havia tota la qüestió de la identitat digital, i van prohibir la identitat digital sobirana. Crec que la cosa anava més per aquí. Jo havia assessorat la Generalitat sobre la identitat digital sobirana, vaig parlar-ne amb el conseller Puigneró.
—Identitat i sobirania.
—Sí, dues coses que suposo que eren sospitoses per a ells. Però sobirana vol dir és que és sobirana a escala personal, és a dir, que la identitat no la té Google o Twitter o Facebook, sinó que la tens tu com a persona.
—Però què els feia tanta por per a espiar-vos tant? El potencial que té aquesta tecnologia usada pels qui consideren els enemics de l’estat?
—Treballo amb una tecnologia que permet de muntar una societat transparent, justa, amb regles que no depenguin d’autoritats centrals controlades per persones, o sigui, són sistemes descentralitzats, que no són controlats per ningú, sinó que són un bé comú. Simplement tu pots ser-hi i fer-ho servir.
—Un exemple?
—Un exemple molt clar és el Bitcoin, que és una mica com l’or, una moneda que no pertany a ningú. Això permet que qualsevol usuari del món amb una connexió a internet pugui crear un compte i fer transaccions econòmiques amb uns altres comptes, sense demanar permís a ningú. De la mateixa manera que ningú no et demana permís per respirar o per caminar pel carrer. El Bitcoin ha estat la primera aplicació en aquesta línia, però ha obert la porta a aquestes aplicacions, que són dels usuaris, i que un dels primers passos que cal fer és tenir-hi una identitat, identificar-t’hi.
—Una identitat que no controla ningú més que nosaltres?
—Quan tu ara, per exemple, entres a Facebook o a qualsevol pàgina, moltes vegades et demana el teu correu electrònic, o que et registris amb alguna identitat centralitzada. La gràcia d’aquest sistema és que aquesta identitat sigui teva i et puguis identificar en diferents llocs. La idea és que qualsevol identitat pot fer atestats sobre unes altres identitats. La idea dels sistemes d’identitat descentralitzats és que les claus són teves, unes altres identitats poden fer atestats sobre tu i tu pots provar coses sobre aquests atestats…
—L’estat espanyol ho veia com una eina perillosa.
—Penseu que aquests sistemes es caracteritzen perquè qui els dissenya no hi té cap control. La persona que els fa crea els protocols. Són protocols neutres, i un sistema d’identitat com aquest no té res a veure amb Catalunya.
—Té a veure amb què vol ser i què vol fer la gent, no?
—Sí, és clar. Es pot fer servir a qualsevol lloc del món per fer qualsevol cosa. De fet, a l’estat espanyol li aniria molt bé… Qualsevol estat necessita el sistema d’identitat. I en aquest moment, per exemple, la identitat digital és en mans dels Googles i els Facebooks de torn. I això sí que és centralitzat, i aquí sí que Google i Facebook tenen molta informació. De fet, els estats haurien de ser els primers interessats que aquestes identitats digitals sobiranes existissin. Perquè garanteix que realment la identitat no és controlada per unes entitats privades…
—… que fan un ús espuri de les nostres dades.
—És clar. Quin ús en farà, Facebook? Facebook sap totes les webs a què em connecto, què hi faig. I dic Facebook, Instagram, el que vulguis, qualsevol xarxa social, al final són cinc empreses americanes. Un poder enorme. Aquí, els estats, els governs, els ajuntaments, haurien de voler-ho, perquè és la manera neutra de fer atestats, d’identificar-te i de provar coses sobre la veritat a uns altres.
—Doncs per què feia tanta por a l’estat espanyol?
—Pots organitzar una votació sense demanar permís a ningú. Amb coses petites més o menys ho sabem fer de manera analògica, diguem-ne; però quan ho vols escalar és més complicat, perquè necessites uns altres sistemes, autoritats de confiança, algú que munti unes juntes centrals, que organitzi les votacions. Un sistema d’aquests obre la porta a tenir censos, per a tenir gent, per a poder-te identificar, pera poder provar de manera fefaent que pertanys a una comunitat, a una organització… Suposo que els feia por això, però és por que la gent parli, que la gent s’expressi o que la gent digui què pensa.
—De fer un altre referèndum.
—Crec que a Catalunya el referèndum va ser clar i que ja va haver-hi un 90%. Catalunya va dir molt clar què volia, encara que hi hagi algú que no ho vulgui reconèixer. Crec que ja no som en aquesta fase, però suposo que a algú encara li preocupa demanar a la gent què pensa. Aquestes tecnologies són precisament per a saber la veritat.
—Joan Matamala va dir fa poc: “Amb el desenvolupament que hi ha avui dia, es podria organitzar un referèndum sense que l’estat el pogués evitar en absolut. El que els fa por de veritat és la democràcia.”
—La tecnologia ha evolucionat molt però encara li queda. La gent de Vocdoni us pot explicar les dificultats amb les votacions digitals. Hi ha moltes coses que encara falta superar per poder fer votacions homologables. La principal dificultat és que els errors són multiplicatius. Totes les votacions del món tenen un cert marge d’error, però en una votació electrònica aquest marge d’error amb una cosa molt petita pot ser molt gran.
—Per exemple?
—Imagineu que hi ha un virus informàtic que es fica a tots els ordinadors i que vota automàticament. És una vulnerabilitat molt petita, però que té un efecte multiplicatiu. Pot afectar tothom. És cert que amb les tecnologies de cadena de blocs i el zero-knowledge moltes d’aquestes dificultats s’han superat i hi ha solucions per a moltes d’aquestes coses. Però la tecnologia encara és en procés de maduració. Abans de començar a veure votacions d’estat amb cadena de blocs, segurament encara hi ha més coses que veurem a escala més petita, potser en ajuntaments o en organitzacions més petites.
—Què us sembla com víctima que passats dos anys i mig d’ençà de la publicació del Catalangate els responsables no hagin passat comptes?
—Si voleu que us digui la veritat, em sento pitjor perquè va haver-hi un referèndum, un 90% va votar per fer la independència i fa cinc anys o sis anys i aquí ningú no ha dit res. Em sap més greu això políticament.
—La inacció dels partits independentistes?
—Hi va haver ciutadans que van votar, molts ens vam deixar la pell perquè la gent pogués votar, i no s’ha donat cap resposta. Com a ciutadà no em puc oblidar que hi va haver una majoria molt àmplia a Catalunya que va votar ser independent. I no em serveixen excuses que si el referèndum no sé quins mínims no complia. Si no els agrada, que en facin un altre. Va haver-hi una expressió popular molt clara de què volia el poble de Catalunya.
—Els dos principals partits que van encapçalar aquell procés donen estabilitat política al president espanyol que us va fer espiar.
—[Esbufega, somriu.] Què voleu que us digui? És així. Què hem de fer? Mireu, sóc a Suïssa i tinc la meva feina. Però com a català dic que ens ho hem de fer mirar.
