L’ex-diputat de la CUP i actual vocal segon de la Junta d’Òmnium Cultural, David Fernández, ha estat l’última de les suposades víctimes d’espionatge telefònic amb el programari maliciós Pegasus en el cas conegut com a CatalanGate en desautoritzar l’informe que va elaborar l’equip canadenc Citizen Lab i que va publicar el 18 d’abril del 2022. En una entrevista, publicada pel digital Vilaweb el passat dia 21, Fernández assegura que té constància d’haver rebut dos missatges falsos de sms amb la voluntat d’infectar el seu telèfon i que aquests atacs al seu telèfon mòbil s’haurien produït l’any 2019. Al CatalanGate de Citizen Lab se l’inclou com a víctima d’espionatge amb Pegasus però només s’hi recull una infecció amb sms i es reconeix que s’és incapaç de detectar quan es va produir la temptativa d’espionatge.
En les declaracions a Vilaweb, l’actual dirigent d’Òmnium Cultural explica així com va saber que intentaven espiar-lo amb Pegasus: “En tinc coneixement quan em truquen de Citizen Lab i m’adverteixen, arran de les fuites d’informació que hi ha a WhatsApp, que hi som també l’Anna Gabriel i jo. Em demanen que repassi una sèrie de dates i de missatges, i efectivament tinc dos SMS que no vaig obrir mai, de SEUR, d’una empresa de transport, però falsos. Són els dos intents que detecten d’infecció”. Alguna cosa no quadra quan ell diu que Citizen Lab va detectar dos intents i, en canvi, a l’informe només es fa referència a un.
L’entrevistador li demana a Fernández si els missatges falsos que va rebre coincideixen amb les dates en què l’investigaven per la seva participació en la creació del moviment Tsunami Democràtic i ell contesta que “una mica abans, aquell mateix 2019. I és curiós, perquè quan vaig rebre el missatge, poques hores després em va escriure l’Arnaldo [Otegi] dient-me: “Aquest missatge és estrany, oi?” Tan estrany que era el mateix que havia rebut jo. Les dates eren pre-Tsunami, i coincidia amb activitat política internacional, que no tenia res a veure amb el Tsunami” . Tingués a veure amb Tsunami Democràtic o no, el cert és que l’informe de Citizen Lab no sap situar la temptativa d’infecció amb Pegasus en un període concret. Fernández afirma que va ser el 2019.
La desautorització de David Fernández del CatalanGate de Citizen Lab per part de les seves suposades víctimes s’afegeix a les que han fet el president de la Generalitat, Pere Aragonès, i l’eurodiputada d’ERC Diana Riba. Aragonès, va declarar, el 13 de desembre, davant el titular del jutjat d’instrucció número 29 de Barcelona, que el seu telèfon mòbil va ser infectat amb Pegasus entre juliol del 2018 i març del 2020. A l’informe de Citizen Lab s’assenyala que el telèfon d’Aragonès va patir tres infeccions mitjançant sms però es reconeix que s’“és incapaç de determinar les dades específiques d’aquestes infeccions”. Diana Riba, va afirmar el desembre de l’any passat, en una compareixença davant el comitè d’Afers Legals i Drets Humans de l’Assemblea Parlamentària del Consell d’Europa, que el seu telèfon va ser espiat amb Pegasus i va atribuir a Citizen Lab la informació segons la qual el seu telèfon havia estat infectat el juny del 2019 i l’octubre del 2019. A l’informe de Citizen Lab, només hi consta que el seu telèfon va ser infectat un cop, el dia 28 d’octubre o els dies immediatament anteriors o posteriors.
La desautorització de David Fernández afegeix desprestigi al CatalanGate de Citizen Lab, acusat de manca de rigor per diversos acadèmics i experts internacionals en ciberseguretat. Va introduir rectificacions en el seu contingut després de publicar-lo al seu portal d’Internet. Va modificar, per exemple, la data del suposat espionatge a Andreu Van der Eynde, advocat d’Aragonès. Primer va publicar que la seva infecció s’havia produït el 14 de juny del 2020 però dos mesos després va canviar aquesta data per la del 14 de maig del 2020, la qual cosa permet a l’advocat dir que aquesta data coincideix amb reunions amb clients seus afectats pel suposat espionatge. L’equivocació més xocant d’aquest informe és la que va considerar que el telèfon de l’eurodiputat d’ERC Toni Comín havia estat infectat amb Pegasus. El 6 d’octubre del 2022, Comín va intervenir a la comissió del Parlament europeu que investigava l’ús de Pegasus per diversos països europeus, i va demanar explicacions al govern espanyol per l’espionatge que se suposava que havia patit. El 22 de desembre, però, el director de Citizen Lab, Ronald Deibert, va penjar un comunicat al portal web de l’entitat explicant que incloure Comín en el llistat d’espiats havia estat un error i que no hi havia constància que el seu telèfon hagués estat infectat. Malgrat això, Toni Comín continua apareixent com a víctima de l’espionatge al portal catalangate.cat creat per l’Assemblea Nacional Catalana.
