El Cesicat és objecte d'una denúncia per espionatge de correus privats

Un consultor extern que va treballar per al Centre de Seguretat de la Informació de Catalunya (Cesicat) va presentar el passat juliol una denúncia penal contra els responsables de l'organisme, als quals acusa d'interceptar les seves comunicacions personals amb alts càrrecs de la Generalitat –els consellers Felip Puig i Ramon Espadaler– i amb una altra treballadora de l'administració. En aquests correus, l'expert en seguretat informàtica, que prefereix mantenir-se en l'anonimat, denunciava la situació d'alta inseguretat que havia detectat a la Generalitat com un fet greu al qual calia donar resposta.

Segons explica, es tractava d'una botnet que hauria permès a “ciber-criminals” capturar més de 2.000 credencials de la Generalitat de Catalunya amb les quals podrien accedir als seus recursos i aplicatius, comprometre dades personals, suplantar identitats o fins i tot “realitzar certs atacs contundents”, diu. En termes pràctics, això implicaria que qui tingués accés a aquestes dades podria, per exemple, modificar l'historial mèdic o un registre d'ajut econòmic d'un ciutadà. No obstant, des del Cesicat insisteixen que, a pesar d'aquesta acusació, les xarxes de la Generalitat són segures i no hi ha hagut cap intrusió.

La manca de resposta a la denúncia interna al Cesicat, el va portar a apel·lar als responsables polítics per denunciar “la inseguretat i malversació” al conseller d'Empresa i Ocupació Felip Puig, a alts càrrecs de CDC i, finalment, als diferents grups parlamentaris. A pesar de la gravetat de la inseguretat denunciada, l'única formació que va mostrar interès per la seva denúncia va ser la CUP.

Intervenció de correus electrònics

En aquest procés va detectar que els correus que enviava a treballadors i alts càrrecs de la Generalitat eren interceptats en diferents ocasions, segons mostrarien les proves que aporta amb la denúncia, per Xavier Panadero, treballador del Cesicat, per Carles Flamerich, director general de Telecomunicacions i Societat de la Informació de la Generalitat i màxim responsable de l'organisme, i per una adreça de correu creada amb aquest propòsit. Des del Cesicat, expliquen que estan pendents de si el jutge decideix o no obrir aquest cas per pronunciar-se al respecte, però admeten que el denunciant era un col·laborador de la institució.

En cas que es provessin aquests fets, es tractaria d'un delicte contra la intimitat, com recull l'article 197 del Codi Penal, pel qual es contemplen penes de presó de fins a quatre anys. Les proves aportades s'haurien aconseguit, segons explica la denúncia, mitjançant un senzill procediment. El remitent va enviar els correus sol·licitant notificació que s'havien rebut i, contra el que seria d'esperar, va rebre confirmacions d'adreces a les quals no havia dirigit els missatges.

El denunciant remarca la gravetat d'aquests fets i explica que el procediment que s'hauria aplicat per interceptar els seus correus, de provar-se, es podria donar amb qualsevol comunicació que passi pels servidors de correu de la Generalitat. Per això, en la denúncia demana que una investigació policial determini si es tracta d'una pràctica generalitzada en els sistemes de la Generalitat. Afegeix, a més, que hauria de córrer a càrrec de la Policia Nacional i la Guardia Civil, i no dels Mossos d'Esquadra.

Davant d'aquests fets, el consultor va presentar una sol·licitud a l'Autoritat Catalana de Protecció de Dades per exercir el dret d'accés a les seves dades personals que estiguessin tractades per la Generalitat, però denuncia que no va obtenir resposta en el termini d'un mes que marca la llei, ni tampoc l'ha rebut posteriorment.

Adjudicacions a empreses properes a Convergència

En declaracions a Catalunya Plural, aquest expert en seguretat informàtica assegura que “mai no hi haurà seguretat si els proveïdors i el personal s’avaluen en base a relacions més enllà d'allò professional, com sembla ser el cas d'Incita Security”. Incita Security (abans anomenada TB Security, l'empresa que hauria el·laborat els informes de seguiment d'activistes atribuïts al Cesicat) té com a responsable territorial de vendes Marc Lapuente, que segons aquesta font seria membre del secretariado de la sectorial TIC de Convergència.

El Cesicat ha atorgat enguany el contracte de servei derivat de l'Acord Marc de Serveis TIC a Incita Security i a Pricewaterhouse Coopers, la creixent relació de la qual amb la Generalitat des del canvi de govern s'assenyalava al darrer anuari Mèdia.cat. L'adjudicació ha estat per un valor de un milió i mig d'euros en el cas de la primera i 2,7 milions en el cas de la segona.

El grup Incita ha protagonitzat recentment un important conflicte laboral i ha tancat totes les empreses menys Incita Security. L'administrador de totes les empreses del grup és Gorka Jiménez, que va ser guardonat empresari de l'any 2011 i ara afronta el tancament de les seves empreses amb deutes amb administracions públiques i amb els treballadors, que van plegar a l'agost després de quatre mesos sense cobrar.