Candiru, la empresa de ciberespionaje que consigue esquivar todos los radares aunque el escándalo en España sea ya un tsunami

Hay una empresa de origen israelí, como NSO Group, que fabrica programas espías, como Pegasus. Pero no es ni NSO Group ni su producto es Pegasus. Se trata de Candiru y ofrece Sourgum. Sus operaciones las descubrió el año pasado Microsoft, y aunque están implicados de lleno en el escándalo del CatalanGate, la firma ha logrado que casi nadie hable de ella.

El ciberespionaje ha puesto patas arriba la legislatura, hasta el punto de que la estaría poniendo en peligro, en palabras del diputado de ERC Gabriel Rufián. Una vez se conoció que líderes independentistas de Cataluña habían sido investigados con Pegasus, todas las miradas se cernieron sobre el Centro Nacional de Inteligencia, los servicios secretos españoles.

Este jueves, la directora del CNI, Paz Esteban, comparece en la Comisión de Secretos Oficiales del Congreso de los Diputados. Su intervención se hará sin cámaras y a puerta cerrada, aunque en la Comisión de Defensa de las Cortes la ministra del ramo, Margarita Robles, ha defendido a Esteban de las múltiples "imputaciones" que desde hace días viene sufriendo.

En realidad, el análisis técnico que volvió a poner a Pegasus en el foco catalán detalla que este programa espía no fue el único que actuó en la región contra sus líderes independentistas. El otro es menos conocido, se llama Sourgum, y su uso no se circunscribía al espionaje de teléfonos móviles.

Cómo funciona Pegasus, el malvado programa espía usado contra los móviles de Pedro Sánchez y Margarita Robles

También afectaba a ordenadores con sistemas operativos Windows. De hecho, fue la propia Microsoft la que detectó este código malicioso creado por otra empresa israelí distinta a NSO Group, esta llamada Candiru. Una empresa tecnológica israelí que ha logrado pasar mucho más desapercibida, y con la que NSO ya tuvo sus propios problemas.

La multinacional tecnológica propietaria de los sistemas operativos Windows se vio obligada a liberar una actualización urgente en julio del año pasado para cerrar los agujeros de seguridad que esa herramienta estaba aprovechando para penetrar en los dispositivos de sus víctimas. Entonces Microsoft detectó que Candiru se había estado usando en Cataluña.

El Gobierno ya negó ser usuario de Candiru en 2021

Meses después fue el propio Gobierno de España el que, mediante una respuesta parlamentaria en el Congreso, adujo que las Fuerzas y Cuerpos de Seguridad del Estado no habían sido en ningún momento usuarias de Candiru y de su siniestra solución Sourgum. Aunque la respuesta no fue todo lo contundente que pudo ser.

"Se señala que cualquier tipo de intervención de comunicaciones requiere que sean aprobadas por la Autoridad Judicial competente, que emite el correspondiente mandamiento habilitante". Las Fuerzas y Cuerpos de Seguridad del Estado "no realizan intervenciones de comunicaciones no autorizadas" ni "espían a personas o entidades".

De Jeff Bezos a Pedro Sánchez: empresarios, políticos, periodistas, millonarios o activistas por los derechos humanos, el club de los vigilados por Pegasus

Esa respuesta poco tiene que ver con la que dio la ministra Robles hace una semana en el Congreso, cuando se le volvió a inquirir sobre la posibilidad de que los servicios secretos españoles estuviesen detrás del espionaje a líderes independentistas con Pegasus (de NSO Group) y Sourgum (de Candiru). "¿Qué tiene que hacer un Estado cuando alguien declara la independencia?".

Con el transcurso de los acontecimientos se han ido esclareciendo solo unas pocas cuestiones. Por ejemplo, se sabe que el CNI sí compró una licencia para usar Pegasus siempre contra objetivos muy concretos y en el extranjero, y también qué posibles vulnerabilidades pudieron aprovechar tanto Pegasus como Sourgum para inocularse en los dispositivos de sus víctimas en España.

Pegasus saltó a la fama en 2019 tras aprovechar un hackeo masivo a nada más y nada menos que WhatsApp para inocularse en cientos de dispositivos. Sourgum, de Candiru, aprovechó varias vulnerabilidades de día cero que fueron reparadas por Microsoft en verano del año pasado.

Pero son todavía muchas las incógnitas que no se han despejado, y la gran mayoría afectan precisamente a Candiru, la desarrolladora de Sourgum. El análisis técnico que ha levantado toda esta polvareda destaca que de los líderes y activistas independentistas en Cataluña, 63 fueron víctimas de Pegasus y 4 fueron víctimas de Sourgum.

NSO y Candiru, una relación cercana y muy tensa

Lo cierto es que, a pesar de que el escándalo del CatalanGate ha señalado por igual a Pegasus y a Sourgum, el programa creado por Candiru sigue siendo bastante menos conocido fuera de Israel. Y es posible que, de no haber sido por NSO Group y por la investigación constante de CitizenLab, Candiru seguiría operando hoy de forma discreta, y al margen de toda controversia.

El CEO de NSO Group es Shalev Hulio, mientras que el CEO de Candiru es otro especialista llamado Eitan Achlow. Aunque NSO y Candiru eran firmas especializadas en ciberinteligencia ofensiva, Hulio acabó enfadándose con Achlow al ver que Candiru entraba de lleno en su mercado desarrollando herramientas para hackear teléfonos. Estuvieron años sin hablar.

Retomaron el contacto el año pasado, detalla el medio israelí Haaretz, después de que EEUU incluyese a ambas compañías en una lista negra que les impediría exportar su controvertida tecnología a la potencia norteamericana. Hulio, de NSO, decidió llamar a Achlow, de Candiru, tras conocer la noticia.

No tuvo tiempo a saludar. "Por tu culpa", le reprochó Achlow enfurecido. 

Los creadores de Pegasus "colaborarán con cualquier investigación gubernamental" sobre el espionaje a Sánchez o a Robles, aunque desconocen el caso denunciado

La relación entre NSO y Candiru siempre ha sido conflictiva. Más allá de relaciones societarias inexistentes, y exmiembros de la junta directiva de la primera entre los inversores de la segunda, nada ha atado a Hulio con Achlow. Pero cuenta Haaretzen este extenso reportaje que incluso en reuniones deslizaba y sugería que Candiru en realidad era una filial de su empresa.

Lo cual no es cierto.

Este peligroso juego se ha convertido en un efecto bumerán. A día de hoy todo el mundo conoce NSO Group, lo cual, para una empresa especializada en soluciones de ciberinteligencia, no resulta muy útil ni atractivo. Por el contrario, Candiru, la compañía con la que competía, ha logrado mantener un segundo plano y un perfil mucho más discreto.

Que de poco le sirve, teniendo en cuenta que al final figuran igualmente en los sumarios judiciales y en las listas negras que están confeccionando varios países del mundo. El primero de ellos, el propio Israel. A finales del año pasado, Tel Aviv anunció que limitarían la exportación de herramientas tecnológicas de 102 países a solo 37.

Se caían, entre otros estados, países como Emiratos Árabes Unidos, Arabia Saudí, México o Marruecos, señalaba en esta información el medio financiero israelí Calcalist. España sigue estando autorizada a ser importadora de tecnología israelí.

En el espionaje contra los líderes independentistas se sospecha de que fueron las autoridades españolas las que usaron tanto Pegasus como Sourgum.

En el caso del espionaje al propio presidente del Gobierno y a sus ministras de Defensa y de Exteriores, las sospechas podrían estar recayendo sobre un país que, precisamente, ya no puede importar tecnología de Tel Aviv.