Jak wyjaśniono wcześniej, w kryminalistyce cyfrowej niezwykle ważne jest, aby przeszkoleni specjaliści wykonywali analizy, gwarantowali przechowywanie dowodów i dokumentowanie procesów, aby zachować integralność danych, uniknąć utraty istotnych informacji lub ich zmiany. Niestety, w zeznaniach autorów i uczestników dochodzenia można dostrzec pewne istotne sprzeczności, które sugerują brak przestrzegania minimalnych standardów akademickich w dochodzeniu CatalanGate.

Pan Deibert twierdzi, że „żadne inne instytucje ani grupy nie były zaangażowane w analizę kryminalistyczną przeprowadzoną na potrzeby Raportu”, poza badaniem czterech próbek przez Amnesty Tech. Jednak to oświadczenie nie tylko przeczy zeznaniom pana Torrenta i pana Tortuelli (patrz poprzednia sekcja), ale także kłóci się z dokumentem opisanym w tym samym raporcie CatalanGate, który wyjaśnia, że ​​infekcja „Candiru” została zidentyfikowana na kampusie Uniwersytetu w Gironie, na urządzeniu p. Joana Matamali. W raporcie stwierdzono:

„Podczas prowadzenia wstępnego dochodzenia w sprawie oprogramowania szpiegującego Candiru zidentyfikowaliśmy dowody na żywą infekcję Candiru w rdzeniu sieci instytucjonalnej używanej przez konsorcjum katalońskich uniwersytetów”.

„Koledzy Matamali poprosili go, aby odszedł od komputera i wyszedł na korytarz. Po wyjaśnieniu sytuacji, wyraził zgodę na analizę kryminalistyczną urządzenia. Udało nam się z powodzeniem wyodrębnić złośliwe oprogramowanie szpiegujące i ustalić, że było ono trwale zainstalowane na jego urządzeniu”.

Pan Elies Campo wyjaśnia w wywiadzie telewizyjnym, że wykryli przypadek infekcji Pegasus podczas analizy sieci społecznościowych między końcem lipca a początkiem sierpnia 2020r. Opisuje, że badał źródło tej infekcji, ale mieli trudności z ustaleniem, w którym budynku i w którym biurze znajdowało się zainfekowane urządzenie. W końcu dowiedzieli się, że właścicielem urządzenia był pan Joan Matamala, a analiza jego telefonu potwierdziła, że ​​został on zainfekowany przez Pegasus. Kilka miesięcy później, ponownie za pomocą analizy sieci społecznościowych, udało im się zlokalizować infekcję Candiru, a pan Campo znalazł ten sam adres IP, który znalazł wcześniej, gdy odkrył infekcję Pegasus pana Matamali. Skontaktowali się z nim ponownie i potwierdzili, że jego komputer jest obecnie zainfekowany przez Candiru.

Pan Matamala — rzekomo „pacjent zero” Candiru — był współzałożycielem, obok pana Jordiego Bayliny, Fundació Nord, która promuje technologię blockchain do głosowania elektronicznego i tworzenia infrastruktury online wymaganej dla niezależnej Katalonii—.

Pojawia się kilka pytań:

1. Kto przeprowadził to badanie fizykalne na Uniwersytecie w Gironie?
2. Czy Fundació Nord z siedzibą w Gironie przeprowadziła część badań?
3. Ile urządzeń zbadano w Katalonii?
4. Kto badał te urządzenia?
5. Czy były to po prostu wstępne analizy kryminalistyczne? Jeśli tak, to kiedy, gdzie i przez kogo przeprowadzono potwierdzające analizy kryminalistyczne?
6. Dlaczego infekcje Candiru w Katalonii zostały pominięte w raporcie „Hooking Candiru” z lipca 2021r., ale później uwzględnione w raporcie CatalanGate?
7. Dlaczego CatalanGate zauważa, że ​​pan Matamala był „pacjentem zero” zakażenia Candiru, skoro nie wspomniano o nim w poprzednim raporcie?

Udział katalońskich ekspertów IT w ocenie urządzeń pana Matamali na Uniwersytecie w Gironie przeczy twierdzeniom pana Deiberta, że ​​żadna inna instytucja ani grupa nie była zaangażowana w analizy kryminalistyczne. Biorąc pod uwagę szczegóły podane w niektórych aspektach raportu, brak odniesień do dat, kiedy analizy zostały przeprowadzone we wszystkich przypadkach, jest również niezwykły. Nie ma informacji dotyczących tego, kiedy próby infekcji Candiru u pana Pau Escricha, pana Xaviera Vivesa i pana Eliesa Campo zostały odkryte przez Citizen Lab.

Pan Deibert nie odpowiedział na pytania dotyczące liczby zbadanych urządzeń, twierdząc, że w celu ochrony prywatności osób objętych badaniami, Citizen Lab nie komentuje przypadków, które nie zostały opublikowane ani ujawnione publicznie. Jednak pytanie to pozostaje istotne, a uzasadnienie niezadowalające. Pytanie nie oznacza żadnego zagrożenia dla prywatności, ale jest standardową praktyką w sprawozdawczości badań naukowych. Aby lepiej zrozumieć wielkość lub powagę problemu, ważne jest, aby zrozumieć przybliżoną częstość występowania lub współczynnik wyników pozytywnych (np. odsetek wyników pozytywnych/testów).

Na przykład 65 wyników pozytywnych na 100 testów byłoby o wiele bardziej niepokojące niż 65 wyników pozytywnych na 1000 testów. Bardzo wysoki stosunek wyników pozytywnych do przetestowanych urządzeń może również wskazywać na problem instrumentalny z oprogramowaniem do wykrywania oprogramowania szpiegującego. Opór przed odpowiedzią na to pytanie można interpretować jako próbę ukrycia nieujawnionego potencjalnego ograniczenia badań. 

Pan Deibert udzielił takiej samej odpowiedzi na pytanie, czy urządzenia niesecesjonistycznych liderów lub aktywistów były również badane: „Aby chronić prywatność osób objętych badaniami zgodnie z obowiązującym protokołem etyki badań, Citizen Lab zwykle nie komentuje przypadków, które nie są publikowane ani ujawniane publicznie”. W tym przypadku podane uzasadnienie nie jest logiczne i ponownie sugeruje nienormalną próbę uniknięcia zewnętrznej kontroli potencjalnie wątpliwych wyborów i procesów badawczych. Ujawnienie, czy osoby niesecesjonistyczne były badane nie oznacza ujawnienia ich nazwisk. Wyjaśnienie logiki stojącej za próbkowaniem jest standardem w badaniach naukowych.

Warto zauważyć, że po opublikowaniu wywiadu pana Oriola Tortuelli w La Vanguardia, w którym odnosi się on do zaangażowania Agència de Ciberseguretat de Catalunya w analizy, pan Deibert oskarżył gazetę o kłamstwo i poprosił o sprostowanie za pośrednictwem Twittera. Jednak później zmienił zdanie, usunął swojego oskarżycielskiego tweeta i złożył częściowe potwierdzenie:

„Dla przejrzystości: właśnie usunąłem poprzedniego tweeta dotyczącego historii @LaVanguardia. W rzeczywistości mieliśmy wcześniej pewne formalne wymiany zdań z Agència de Ciberseguretat de Catalanya”.

Ta reakcja wydaje się wskazywać, że albo pan Deibert był zaniepokojony tym, że opinia publiczna dowiedziała się o udziale kilku grup w technicznych analizach telefonów, które później służą przypisywaniu ofiary i obwinianiu, albo że pan Deibert naprawdę niewiele wiedział o tym, jak przeprowadzono badania —co przeczyłoby jego twierdzeniom dotyczącym nadzoru i niezależności pana Campo, a także skutecznego kierowania badaniami w Katalonii—.

Pan Campo wyjaśnia również, że śledztwo odbyło się według nieco nietypowego procesu pobierania próbek. W wywiadzie przyznaje, że pytali ludzi, czy chcą, aby ich telefony sprawdzono, czy zostały zaatakowane i/lub zainfekowane. Następnie pytali ofiary:

„gdybyś był napastnikiem i wiedziałbyś wszystko, co wiesz, i znał każdego, z kim się kontaktowałeś, wysyłałeś wiadomości lub dzwoniłeś, kogo zaatakowałbyś?”.

To podejście nie wydaje się w pełni odpowiadać żadnym konkretnym kryteriom badań teoretycznych, jak zwykle oczekuje się w badaniach akademickich. Raport CatalanGate unika wyjaśnienia lub uzasadnienia kryteriów zastosowanych w próbkowaniu lawinowym.

Jedna z uczestniczek, pani Sonia Urpí, członkini zarządu ANC, złożyła zeznania wideo dotyczące jej sprawy, również wydają się sprzeczne z niektórymi wyjaśnieniami podanymi przez CitizenLab. W nagraniu wideo twierdzi, że dowiedziała się o infekcji swojego telefonu w lipcu 2020r., tuż po tym, jak jej partner, pan Jordi Baylina — przedsiębiorca IT i domniemana ofiara, który był badany przez Sąd Najwyższy w związku z jego udziałem w Tsunami Democràtic— odkrył podczas rutynowej kontroli bezpieczeństwa, że ​​jego telefon został zhakowany. Poprosił ją o przeanalizowanie jej własnego telefonu. Citizen Lab i Mr Torrent sugerują, że dziennikarze El País i The Guardian byli tymi, którzy wywołali dochodzenie w Katalonii, postępując zgodnie z listą udostępnioną przez WhatsApp. Dlaczego przypadki Pani Urpí i Pana Bayliny zostały wykluczone? Czy to był przypadek, że rutynowe badanie wykryło jego infekcję?

Zeznania pani Urpí przeczą zeznaniom jej partnera pana Bayliny, który w wywiadzie telewizyjnym z 30 kwietnia 2022r. twierdził, że wiedział o zakażeniu Pegasus od 5, 6 lub 7 miesięcy. Oznacza to, że pan Baylina dowiedział się o zakażeniu w 2021r. i że ani pani Urpí, ani pan Baylina nie mówią prawdy co do tego, kiedy dowiedzieli się o swoich domniemanych zakażeniach. Twierdzi, że pan Elies Campo powiedział mu o swojej pracy nad śledztwem Pegasus i że był szpiegowany po otrzymaniu kilku dziwnych wiadomości. Pan Baylina powiedział panu Campo, że on również otrzymywał dziwne wiadomości w 2020r. Pan Campo poprosił go, aby wysłał mu „swój telefon lub kopię”, aby mógł ją przeanalizować, a następnie najwyraźniej odkrył, że telefon pana Bayliny również był zainfekowany. Pan Baylina potwierdza również, że odwiedził Pan Puigdemont w Belgii „dwa lub trzy razy”, aby omówić strategię blockchain ruchu niepodległościowego.

W tym samym programie telewizyjnym, pan Gonzalo Boye, prawnik Pan Puigdemont i Pan Torry oraz domniemana ofiara szpiegostwa, twierdzi, że wiedzieli o tym „od jakiegoś czasu”, ale że „nie mieli dowodów, aby to powiedzieć i udowodnić. Teraz je mamy”. Mówi również, że mieli przeczucie, że są szpiegowani i że „prawie dwa lata temu zaczęliśmy od dynamiki próbowania zdobycia dowodów na to i ostatecznie wszystkie dowody się pojawiły, ponieważ przeprowadzono bardzo poważną, bardzo rygorystyczną i przede wszystkim niezależną analizę kryminalistyczną”. To stwierdzenie sugeruje, że w 2020r., kiedy sprawa Pegasusa w Katalonii została rozpowszechniona przez główne międzynarodowe media i złożono formalną skargę przez pana Torrenta i pana Maragalla, ruch niepodległościowy najwyraźniej nie miał żadnych dowodów na szpiegostwo.

Tymczasem pani Diana Riba, domniemana ofiara i wiceprzewodnicząca Komisji Śledczej PEGA, twierdziła na przesłuchaniu w Paryżu w Radzie Europy w dniu 12 grudnia 2022r., że Citizen Lab wykrył dwie infekcje w jej telefonie, pierwszą w czerwcu 2019 r., kiedy rzekomo omawiała kwestie prawne i polityczne ze swoją partią i prawnikami na temat tego, jak bronić pana Oriola Junquerasa. Jednak wg raportu pani Riba wydaje się być ofiarą infekcji dopiero około 28 października 2019r. Ta pierwsza infekcja była wygodna dla strategii niezależnej, aby zażądać unieważnienia procesów przeciwko ich liderom, w oparciu o domniemane nielegalne monitorowanie prawników i powiązane prywatne dyskusje prawne. Jednak nie zostało to odzwierciedlone w raporcie.

Chociaż pan Antoni Comín zeznawał jako ofiara w PEGA Komitet 6 października 2022r. 22 grudnia 2022r. Citizen Lab wydał oświadczenie, w którym przyznał się do popełnienia błędu, identyfikując pana Comína jako ofiarę Pegasusa. Twierdzą, że popełnili błąd w swoich systemach etykietowania i niesłusznie założyli, że inicjały AC odnoszą się do pana Comína. Wyjaśnienie przedstawione w tej notatce budzi dalsze obawy dotyczące rygoru w kodowaniu i etykietowaniu dowodów. Żadna ofiara w raporcie nie ma inicjałów AC. To oświadczenie zawiera również dziwne twierdzenie: „Chociaż nie mamy żadnych dowodów kryminalistycznych infekcji w urządzeniach Comína, które sprawdziliśmy, główne urządzenie używane w okresie, kiedy inne były celem, nigdy nie było dostępne do analizy, ponieważ właściciel nie pamiętał hasła”. Próbując zasugerować możliwość, że pan Comín pozostaje ofiarą, ujawniają inny problematyczny fakt. Pan Comín oświadczył przed Komisją PEGA, wiedząc, że jego główny telefon nigdy nie został przeanalizowany. Wyjaśnił nawet wtedy, dlaczego szpiegowanie go rozpoczęło się w styczniu 2020 r. i powiązał je z wydarzeniem, które zorganizował we Francji. Członkowie Komisji i opinia publiczna powinni zostać poinformowani przez pana Comína o tej poważnym fakcie, podczas oceny wartości jego zeznań jako „ofiary”.

W wywiadzie dla El País, pan Deibert słyszy, że hiszpańskie służby specjalne uznały monitorowanie tylko 18 z 65 przypadków wymienionych w raporcie. Zareagował, mówiąc: „Jak możemy to zweryfikować? Co pokazali w komisji Official Secrets Congressional? Czy uwierzylibyście?”.

Wydaje się to być zdrowym, choć nieco niespójnym sceptycyzmem. Dlaczego pan Deibert oczekuje, że społeczność naukowa uwierzy w jego oskarżenia wobec Hiszpanii, oparte na niezrecenzowanych i niepowtórzonych „dowodach poszlakowych” (jak dosłownie wyrażono w raporcie), podczas gdy jednocześnie kwestionuje odpowiedź rządu Hiszpanii, przez ujawnienie tylko częściowych informacji (ograniczonych przez Ustawę o Tajemnicach Oficjalnych)? Zwyczajowo ciężar dowodu spoczywa na oskarżycielu, a nie na oskarżonym. Teoretycznie hiszpański rząd nie musi wykazywać, że nie złamał prawa.

Sekcja raportu Citizen Lab zatytułowana „Przypisanie rządowi” stwierdza:

W tej chwili Citizen Lab nie przypisuje jednoznacznie tych operacji hakerskich konkretnemu rządowi, jednak szereg dowodów poszlakowych wskazuje na silne powiązania z jednym lub większą liczbą podmiotów w hiszpańskim rządzie, w tym:

• Cele te były oczywistym przedmiotem zainteresowania rządu hiszpańskiego;
• Konkretny czas namierzania pokrywa się z wydarzeniami będącymi przedmiotem szczególnego zainteresowania rządu hiszpańskiego;
• Wykorzystanie treści stanowiących przynętę w wiadomościach SMS sugeruje dostęp do danych osobowych osób, których dotyczą, takich jak hiszpańskie numery identyfikacyjne;
• Według doniesień hiszpański CNI jest klientem NSO Group, a hiszpańskie Ministerstwo Spraw Wewnętrznych podobno posiada nienazwaną, ale podobną zdolność.

Te argumenty nie mają mocy dowodowej. Niektóre z celów były oczywistym przedmiotem zainteresowania hiszpańskiego wymiaru sprawiedliwości i sił bezpieczeństwa. Ale niektóre były również potencjalnymi celami dla innych aktorów politycznych w Katalonii. W rzeczywistości katalońscy politycy nacjonalistyczni zostali oskarżeni o szpiegowanie różnych polityków, aktywistów i dziennikarzy w tej Wspólnocie Autonomicznej kilka lat wcześniej, a rząd Katalonii wykazał zainteresowanie pozyskaniem technologii szpiegowskiej. Jeśli chodzi o czas namierzania, raport pokazuje, że Citizen Lab nie miało możliwości wiarygodnego określenia, kiedy lub nawet czy doszło do infekcji. Co więcej, raport nie uzasadnia przekonująco tego argumentu i po prostu opiera to twierdzenie na kilku przykładach, a nie na systematycznej analizie. Fałszywe wiadomości instytucjonalne są często używane przez firmy zajmujące się oprogramowaniem złośliwym i spyware, więc argument, że próby infekcji należy przypisać hiszpańskiemu rządowi lub służbom specjalnym, jest niewiarygodny. Wreszcie, przeciek od byłego pracownika NSO jest jedynym dowodem, że Hiszpania używa Pegasusa. Ani rząd, ani firma spyware nie przyznały się do tego. Ale nawet gdyby Hiszpania miała Pegasusa, Citizen Lab nie dostarczyło żadnych dowodów technicznych, że to oprogramowanie spyware było rzeczywiście używane przez hiszpańskie siły bezpieczeństwa przeciwko katalońskim politykom secesjonistycznym i aktywistom. Demokracje zwykle nabywają oprogramowanie spyware, aby walczyć z terroryzmem, handlem narkotykami, przestępczością zorganizowaną itp.

            Ponadto, jest również dość niezwykłe, aby profesor nauk politycznych, taki jak pan Deibert, wykazywał tak niewielkie i stronnicze zrozumienie polityki katalońskiej i hiszpańskiej, będąc współautorem raportu na ten temat. Na przykład w dokumencie o katalońskiej aferze pt. „Szpieg w twojej kieszeni”, wyemitowanym w październiku w TV3, twierdził, że „…w Katalonii, ze względu na sytuację z Konstytucją i fakt, że nawet sam akt orędownictwa niepodległości jest uważany za nielegalny…” To stwierdzenie jest obiektywnie fałszywe, ponieważ pro-niepodległościowe partie polityczne i orędownictwo są nie tylko legalne, ale w rzeczywistości kontrolują rząd regionalny i większość instytucji publicznych w Katalonii.

Niedawno pan Deibert opublikował artykuł w Foreign Affairs, w którym twierdzi, że „część ataków miała miejsce w trakcie delikatnych negocjacji między rządami Katalonii i Hiszpanii na temat losu katalońskich zwolenników niepodległości, którzy byli uwięzieni lub przebywali na wygnaniu”. Jednakże negocjacje, do których nawiązuje pan Deibert, prawdopodobnie miały miejsce między rządem pana Pedro Sáncheza a panem Pere Aragonèsem po wrześniu 2021r., poza okresem infekcji, które wykryto według Citizen Lab.