TRIBUNALS

Felip Puig diu que un exempleat del Cesicat va fer-li xantatge per no revelar irregularitats

Dos exdirectius del centre de ciberseguretat s'enfronten a quatre anys de presó per copiar mails dirigits a consellers

per NacióDigital , 21 de setembre de 2020 a les 17:07 |
Felip Puig, declarant com a testimoni en el judici del Cesicat | ACN
L'exconseller d'Empresa Felip Puig ha insinuat aquest dilluns que un excol·laborador del Cesicat va intentar fer-li xantatge demanant-li favors a canvi de no revelar suposades irregularitats i falles de seguretat a l'organisme que garanteix la seguretat informàtica de la Generalitat. L'exconseller ho ha dit en el judici de l'Audiència de Barcelona contra Carles Flamerich, expresident del Centre de Seguretat de la Informació de Catalunya (Cesicat) i Xavier Panadero, exresponsable de Gestió d'Incidents del mateix organisme, que s'enfronten a quatre anys de presó per suposadament haver creat un sistema per poder llegir els correus que un exempleat del Cesicat enviava a tots els correus de la Generalitat.

Segons Puig, aquest extreballador inicialment el va informar per correu que hi havia hagut intrusions il·legítimes als sistemes informàtics del Cesicat i de la Generalitat, així com suposades contractacions irregulars de serveis. Es van trobar per esmorzar un dimarts de principis d'abril del 2013. Puig va reenviar els correus al seu secretari general i a Flamerich i els va mantenir informats. No obstant això, el col·laborador del Cesicat no es donava per satisfet, i semblava "ressentit" amb Flamerich per haver acabat la col·laboració amb l'organisme públic. Per això, quan el cas va arribar als jutjats, l'home es va posar més agressiu i va intentar demanar favors a Puig, fins i tot econòmics, per tal de no seguir endavant amb el procediment judicial.


En tot cas, Puig ha dit que ell gestionava directament totes les seves adreces de correu electrònic i que sempre reenviava els correus als càrrecs i funcionaris pertinents, com va ser el cas. Va demanar al secretari general, Xavier Gibert, i a Flamerich que seguissin el tema i va donar per suposat que es s'aplicarien els protocols de seguretat preestablerts per evitar fugues d'informació, robatori de dades o ús fraudulent de correus corporatius de la Generalitat.

Per la seva banda, l'altre conseller afectat, Ramon Espadaler, ha explicat que també va rebre un correu d'Albert G. la primavera del 2013 i ell mateix ho va comentar amb el seu secretari general. El correu li va semblar estrany, però confiava en els mecanismes de seguretat de la Generalitat per evitar intrusions.


El director general del Cesicat aleshores, Xavier Gatius, ha explicat que els correus d'Albert G. els van considerar una "amenaça creïble" i per això es van canviar els usuaris i contrasenyes d'uns 150.000 correus corporatius de la Generalitat. Gatius ha explicat que va ser Flamerich qui va decidir crear un filtre dels correus, assessorat per l'equip de resposta d'incidències, encapçalat per l'altre acusat, Panadero. Es tractava d'un dels incidents de seguretat més rellevants que havien tingut mai i per això van avisar la unitat de delictes informàtics dels Mossos d'Esquadra.

Un altre càrrec del Cesicat i del CTTI ha explicat que el propi correu enviat per Albert G. a Felip Puig es va considerar una amenaça, perquè ja incloïa captures de pantalla de nòmines de funcionaris i, per tant, ja s'havia produït la intrusió. "No era un risc potencial", ha emfatitzat. Per últim, el gerent del Cesicat en aquella època, i tiet segon del denunciant, ha explicat que el fet de filtrar prèviament els correus ho va considerar il·legal i era una eina que no existia prèviament.


El cap de la unitat de delictes informàtics dels Mossos ha explicat que el denunciant era conegut per la policia perquè s'havia ofert per col·laborar amb el cos policial en la creació d'una eina per detectar pornografia infantil a les xarxes.   També ha declarat com a testimoni una tècnica de l'assessoria jurídica de la Conselleria de Governació, que va rebre la informació sobre el possible mal ús de comptes de correu de la Generalitat o fins i tot l'accés a nòmines de funcionaris.

Un treballador que explica irregularitats

Segons la fiscalia, l'excolaborador Albert G. va començar el març del 2013 a enviar correus electrònics als dos acusats i a altres alts càrrecs de la Generalitat, com al conseller d'Empresa i Ocupació Felip Puig, de qui depenia el Cesicat, i posteriorment al d'Interior, Ramon Espadaler. En els missatges explicava suposades irregularitats i deficiències observades en el funcionament del Cesicat. Segons aquest treballador, els contractes públics del Cesicat s'adjudicaven a empreses relacionades amb la sectorial de les TIC de CDC, liderada per Flamerich, i també denunciava vulnerabilitats de seguretat.

Els acusats van decidir descobrir tot el que el treballador podia comunicar "qüestionant la seva professionalitat" i, sense autorització judicial ni cap paràmetre d'actuació pautat legalment, van crear un sistema d'interceptació de correus. Així, es filtraven tots els 'mails' que el treballador enviava des del seu correu a destinataris del domini gencat.cat. Aquest sistema va crear una bústia accessible pels acusats a la qual arribaven tots aquests correus, que també arribaven als seus destinataris legítims. Un dels correus, enviat el 14 de maig als consellers citats, va ser llegit i respost per Flamerich. A més, molts dels correus que l'extreballador enviava rebien un missatge automàtic de resposta poc després que deia que havia estat llegit per Flamerich o Panadero.

Un judici ajornat

​La investigació va ser arxivada provisionalment pel jutjat d'instrucció número 13 de Barcelona, el mateix que va investigar bona part de l'organització de l'1-O, arran d'un informe dels Mossos d'Esquadra que no veia cap delicte, però l'Audiència va obligar a reobrir i a jutjar el cas. La fiscalia demana quatre anys i tres mesos de presó i vuit anys d'inhabilitació per a tots dos per un delicte de descobriment de secrets. L'acusació particular demana cinc anys de presó i dotze d'inhabilitació.

El judici s'havia de celebrar al gener, però es va ajornar. Al març es va fer la primera sessió, amb la declaració del denunciant, però la resta de sessions es van suspendre pel confinament. En la seva declaració, Albert G. va ratificar els fets, però les defenses van intentar desacreditar la seva versió evidenciant que va enviar els correus quan ja no treballava al Cesicat, va aportar documents molt després de la denúncia i va posar-se en contacte amb els acusats els anys 2018 i 2019 per demanar-los diners a canvi de retirar la denúncia.

 

Mostra el teu compromís amb NacióDigital.
Fes-te subscriptor per només 5,90€ al mes, perquè és el moment de fer pinya.

Fes-te subscriptor

 

Participació