Nueva polémica relacionada con los falsos positivos de los informes realizados por Citizen Lab, el laboratorio canadiense de tecnología y derechos humanos que publicó el pasado 18 de abril un informe según el cual 65 personas partidarias de la independencia de Catalunya fueron espiadas años atrás con los softwares maliciosos Pegasus o Candiru. En los últimos meses han aparecido noticias que cuestionan el rigor de las denuncias de Citizen Lab en sus informes sobre espionaje con estos programas. Análisis independientes de las denuncias presentadas por el equipo canadiense dirigido por Ronald Deibert han descubierto la existencia de falsos positivos en sus informes sobre espionaje de activistas, periodistas y políticos en India o Sri Lanka. Ahora se acaba de saber que el informe sobre el espionaje a una activista ruandesa también presentaba un incidente de seguridad equivocado como responsable de una intrusión de su teléfono con Pegasus.
Citizen Lab y Amnistía Internacional difundieron un informe según el cual el teléfono de Carine Kanimba, hija del disidente ruandés Paul Rusesabagina condenado a 25 años de cárcel, había sido espiado con el programa Pegasus. ZecOps, una empresa que analiza la seguridad de los teléfonos móviles advirtió de que el incidente de seguridad Diagnosticd que aparecía en el informe era un falso positivo. Amnistía Internacional lo reconoció. Sin embargo, un tiempo más tarde rectificó el nombre de esta incidente de seguridad y dijo que había cometido un error y que el correcto era diagnosticd.
EL TRIANGLE ya informó, el pasado 26 de agosto, que la justicia de la India había descubierto falsos positivos en otro informe en el que había participado Citizen Lab sobre espionaje con Pegasus supuestamente efectuado por el gobierno de ese país. El Tribunal Supremo indio anunció, el pasado 24 de agosto, que eran falsos positivos 24 de los 29 teléfonos de activistas, periodistas, políticos y jueces indios supuestamente infectados con Pegasus que analizó. El tribunal indio afirmó, además, que en los cinco teléfonos en los que había encontrado un posible programa malicioso no se podía asegurar que fuese Pegasus.
La acumulación de falsos positivos en los informes de Citizen Lab confiere mayor necesidad y urgencia a la reclamación de un análisis independiente de su CatalanGate que han planteado una quincena de profesores universitarios de centros docentes de numerosos países, el Foro de Profesores y seis eurodiputados de Ciudadanos. También lo reclaman varios expertos en ciberseguridad como Jonathan Scott, que el pasado 4 de julio publicó una investigación de 60 páginas titulada Descubriendo Citizen Lab. Desmintiendo el CatalanGate, en el que acusaba al laboratorio canadiense de haber actuado con una absoluta falta de rigor científico en la denuncia que hizo sobre espionaje a independentistas catalanes.
Scott explica en sus investigaciones que simular un falso positivo es muy sencillo. La sospecha de la existencia de falsos positivos en el CatalanGate crece a medida que se conoce su existencia en otros informes, las contradicciones entre el informe de Citizen Lab y las explicaciones de algunas de las supuestas víctimas independentistas y la negativa tozuda del equipo canadiense al análisis forense de sus datos por parte de un equipo científico independiente.
