EL CONFIDENCIAL – 12/05/16
· El director del CNI catalán acaba de reconocer ante el juez que los correos electrónicos de funcionarios que representan una amenaza son ‘filtrados’ sin orden judicial ni policial.
El Centro de Seguridad de la Información de Cataluña (Cesicat) tiene un“equipo de respuestas de incidentes” que interviene correos electrónicos de la Administración pública catalana bajo su propio criterio y sin control judicial o policial alguno. El centro realiza habitualmente ‘filtros’ (en el argot interno) sobre correos de los funcionarios por si pudieran ser “potencialmente peligrosos”. Así lo afirmó ante un juez de Barcelona el director del centro,Xavier Gatius, que tuvo que declarar en un procedimiento judicial que investiga la intervención de varios correos electrónicos de un asesor del Gobierno. Todos los que tengan correo corporativo del Gobierno catalán están expuestos a la eventualidad de que su ‘mail’ pueda ser ‘filtrado’.
Gatius dijo al juez que “en numerosas ocasiones, se han creado filtros por cuanto es una medida que adopta frente a las direcciones de correos vinculados a una amenaza concreta”. Y, además, los resultados obtenidos con estos filtros “no se conservan, sino que se destruyen a los seis meses de haber desactivado los mismos, por entender que no hace falta preservar las evidencias salvo que existiera alguna investigación policial o judicial”. Todo ello depende de un “equipo de respuestas de incidentes”.
En otras palabras, lo que está reconociendo el alto cargo del Gobierno es que los ‘mails’ de los funcionarios pueden ser interceptados por el Cesicat sin que medie orden judicial o policial alguna. Y son los propios miembros del Cesicat los que deciden si un funcionario es ‘sospechoso’ o no.
El primer correo intervenido
Eso es lo que le ocurrió a Albert Gabàs, que en 2012 fue contratado por la Generalitat. Tras descubrir que piratas electrónicos habían robado más de 3.000 credenciales de los correos del Gobierno catalán, puso el tema en conocimiento del entonces consejero de Empresa y Empleo, Felip Puig, a quien también denunció diversas irregularidades que había detectado en el Cesicat, en una reunión ‘tête à tête’ que tuvieron el 2 de abril de 2013. Al día siguiente, Gabàs le remitió todas las pruebas de las que habían hablado el día anterior, donde le alertaba de la “alarmante situación de inseguridad de la Generalitat” y de “negligencias” del personal del Cesicat. Esos documentos fueron enviados también a los dirigentes del centro.
La respuesta fue la intervención de su correo electrónico. Gabàs se enteró de ello cuando envió una comunicación a Puig y al consejero de Interior, Ramon Espadaler, y le contestó desde Estados Unidos el director general de Telecomunicaciones y Sociedad de la Información, Carles Flamerich. Su correo, sin embargo, no constaba en las direcciones a las que Gabàs había enviado su ‘mail’. ¿Cómo era posible que a los pocos minutos de enviar su comunicación exclusivamente a dos consejeros un alto cargo del Gobierno le contestaran desde los Estados Unidos? Le olió a chamusquina y decidió interponer una querella contra Flamerich y contra el director del área técnica del Cesicat,Xavier Panadero, por interceptación de comunicaciones.
Una historia alucinante
En el otoño de 2013, Flamerich fue cesado, aunque ya había nombrado a Gatius como director general de Cesicat en abril de ese año. El 8 de noviembre de 2013, el juez archivó la querella dando por bueno un supuesto ‘informe’ de los Mossos d’Esquadra de apenas unas líneas donde solo decían que no había interceptación de las comunicaciones, aunque reconocían que los correos de Gabàs eran desviados “a otros de absoluta confianza del receptor”, lo que contradecía lo que había dicho el propio consejero Puig. La Audiencia le ordenó, entonces, seguir con la instrucción y la investigación, ya que las evidencias eran demasiado evidentes y notorias, pero el juez, sin practicar más diligencias, volvió a archivar el caso y un nuevo auto del 29 de enero de 2014 volvía a ordenar al magistrado que continuase tramitando diligencias por haber indicios de delito.
En su declaración ante el juez, Gatius afirmó que el correo de Gabàs fue intervenido después de que este comunicara a Flamerich y Panadero que “terceras personas le habían proporcionado credenciales con las que acceder a sistemas corporativos, documentando el acceso por él mismo mediante una documentación que adjuntaba, si bien no identificaba a qué credenciales hacía referencia”.
Puig se limitó a negar la mayor hasta que, agobiado por las pruebas, admitió que unos ‘hackers’ habían robado información de varios sistemas públicos.
La denuncia de que 3.417 correos electrónicos de la Generalitat habían sido robados también fue realizada por Gabàs personalmente a Felip Puig durante una reunión en abril de 2013. Después de que este diario desvelase esa fuga de información confidencial, Puig se limitó a negar la mayor hasta que, agobiado por las pruebas, admitió que unos ‘hackers’ vinculados a países del Este de Europa habían robado información sensible de varios sistemas públicos, entre ellos los nombres de usuarios y contraseñas de 3.000 correos de la Generalitat de Cataluña.
El director del Cesicat admitió ante el juez que los ‘mails’ de Gabàs fueron ‘filtrados’ porque “ante dicha información, se trata de averiguar inicialmente el motivo de la fuga y determinar la credibilidad de la misma, analizando el impacto que dicha fuga pudiera proporcionar para con ello decidir sobre las medidas a adoptar, y cuando consiguieron revertir las credenciales comprometidas, se entendió entendida [sic] la amenaza procediendo a desactivar el filtro, queriendo señalar que el peligro no estaba en el hecho de que el señor Gabàs les comunicara la existencia de dichas amenazas, sino deque él pudiera tener acceso a la información de la que manifestaba disponery que además acreditaba mediante un documento”.
Alucinante, pero cierto: en otras palabras, al asesor que alertó de que habían sido robados los nombres de usuarios y contraseñas de correos de la Generalitat le intervinieron su propio correo, sin orden judicial alguna, para conocer si utilizaba alguna de esas contraseñas.
El propio Puig también declaró la pasada semana en relación con este caso, en calidad de testigo. Contrariamente a lo que dijo en su primera declaración en septiembre de 2014 (contestó por escrito al juez que no había dado ninguna autorización para que se interviniesen los correos dirigidos a él), en esta ocasión afirmó que el Cesicat “no cometió ninguna ilegalidad” y que “funciona perfectamente y se activan los protocolos de seguridad aprobados por el Gobierno con instrucciones claras y precisas”.
EL CONFIDENCIAL – 12/05/16