¿Qué es Candiru, el otro 'Pegasus' con el que se ha espiado al independentismo catalán?

El Candiru es un pez amazónico conocido por parasitar las branquias de otros peces e incluso la uretra humana. Candiru es también el nombre de la segunda compañía de ciberespionaje más poderosa de Israel y la responsable del programa informático con el que se ha infectado los teléfonos móviles de líderes políticos y activistas independentistas, vigilados desde hace años con este método vampírico.

La investigación publicada este lunes por CitizenLab, laboratorio de investigación tecnológica de la Universidad de Toronto, destapa que cuatro de los más de 60 objetivos catalanes fueron vigilados con las herramientas de esta empresa, descrita como una "mercenaria de la piratería". Su presidente y principal accionista, Isaac Zack, es también uno de los fundadores de NSO Group, fabricante del célebre 'spyware' Pegasus.

La tecnología de Candiru permite espiar en móviles Android, iPhone, en ordenadores Mac o PC e incluso en la nube, teniendo acceso a todo tipo de información privada de sus víctimas. La compañía, cuya estructura es deliberadamente opaca, asegura que puede extraer esa información de aplicaciones como Facebook, Gmail, Skype o Telegram, entre otras.

Las víctimas catalanas

Uno de ellos es Joan Matamala, librero y amigo de infancia del 'expresident' Carles Puigdemont. Entre agosto del 2019 y julio del 2020 su teléfono móvil fue atacado hasta 16 veces con Pegasus, la herramienta de espionaje más conocida y usada, pero también con Candiru. El móvil de Matamala fue analizado por el equipo forense de CitizenLab.

Otros tres catalanes fueron espiados con esta tecnología. Se trata de Xavier Vives y Pau Escrich, cofundadores de la plataforma de voto digital seguro Vocdoni que Òmnium utilizó para sus elecciones internas. La tercera víctima fue Elies Campo, asesor de esta plataforma, inversor de capital riesgo y miembro de CitizenLab.

De la misma manera que hace Pegasus, el programa espía de Candiru se infiltró en los móviles de sus objetivos aprovechando vulnerabilidades de los sistemas o mandando correos electrónicos con enlaces maliciosos. Para ello, los atacantes se hicieron pasar por el Gobierno de España con un mensaje sobre el covid-19, por la organización del Mobile World Congress o por el Registro Mercantil de Barcelona. Esta suplantación de identidad es una estrategia habitual.

El caso de Elies Campo es especialmente revelador. El fabricante de Pegasus asegura que su software no puede 'hackear' móviles de los Estados Unidos, algo que sí hace Candiru. Campo vive al otro lado del Atlántico, con lo que tuvo que ser vigilado con esta herramienta. Aún así, sus padres, residentes en España y ajenos a la vida política, sí fueron vigilados con Pegasus.

España, en la lista negra

El año pasado una investigación de Microsoft junto a CitizenLab detectó al menos 100 personas espiadas por Candiru en países como Israel, Palestina, Turquía, Armenia, Yemen, Singapur, Líbano, el Reino Unido y en España, entre muchos otros. Como con Pegasus, las víctimas de ese espionaje son disidentes, periodistas, activistas, políticos y defensores de los derechos humanos.

Suscríbete para seguir leyendo