Un creciente enjambre de empresas y equipos de ciberespionaje procedentes de Israel ha escogido Barcelona para desarrollar sus actividades. El buen tiempo de la ciudad habría pesado en su elección. Pero no es el único motivo. Entre otras cosas, desde Barcelona tienen más a mano el mercado de la UE. Según publicó el periódico israelí Haaretz, se han instalado en la urbe empresas nutridas con ex empleados de compañías como NSO Group o Variston. Dos nombres asociados desde hace años a la compra-venta y desarrollo de ciberarmas y spyware.
Algunos de estos hackers, investigadores de ciberseguridad —aunque en este caso más bien se dedican al ciberataque— podrían tener una vinculación pasada con la ciudad. O más bien con la región. Porque a raíz del Procés el CNI habría utilizado el malware Pegasus, desarrollado por NSO Group, para espiar a algunos líderes independentistas. Más allá de esta circunstancia, Barcelona parece haber sido elegida como criadero de este tipo de compañías.
Palm Beach Networks, Paradigm Shift o Epsilon son ejemplos de estas empresas establecidas en Barcelona. No pertenecen al hampa ni nadan en la ilegalidad ni comercian en el mercado negro de los grupos cibercriminales. Pero se deslizan por una frontera ética cenagosa y operan en un llamado mercado gris de las ciberarmas.
Este tipo de empresas se dedican a desarrollar vulnerabilidades de día cero (agujeros de seguridad desconocidos hasta la fecha) y software de ciberespionaje. Son capaces de infiltrar smartphones y ordenadores para extraer datos o instalar un programa de cibervigilancia en un objetivo. Y todo esto lo venden a gobiernos y agencias de inteligencia.
El buen tiempo de Barcelona no sirve por sí solo para explicar el desembarco del éxodo del ciberespionaje israelí. Ni tampoco el carácter abierto de la ciudad, atractivo para los foráneos, o su cantera de talento tecnológico. Todo suma. Pero el negocio del ciberespionaje no se ha marchado de Israel por capricho.
Años de polémicas sonadas, especialmente en torno a NSO Group, cuyos productos se habrían utilizado para espiar a activistas, opositores y líderes sociales, han perjudicado la imagen de Israel. El país comenzaba a verse como una incubadora de empresas de ciberespionaje y esto hizo mella. Algo debía rumiarse desde hacía tiempo cuando el pasado diciembre Israel impuso restricciones a la exportación de programas de spyware a otros países, según recoge Haaretz.
Para estas compañías, las dificultades significaban abandonar una gran parte de su mercado. El sector ha reaccionado saliendo del país y engendrando nuevas aventuras empresariales. Barcelona, que ha hecho un esfuerzo por atraer industria tecnológica, tiene el atractivo de estar dentro de la Unión Europea. Las facilidades para acceder a gobiernos y agencias en el Viejo Continente, así como en Estados Unidos, son mayores que desde Israel.
A esto se suma la invasión de Gaza. En Israel no solo es mala época para hacer negocios. A la incertidumbre que genera el conflicto se suma el reclutamiento forzado que alienta el país. Miles de trabajadores procedentes de la industria tecnológica han tenido que servir en el ejército, según The Times of Israel. Una de cada cinco empresas tecnológicas ha trasladado parte de sus operaciones y personal fuera del país en los últimos meses.
¿Por qué Barcelona y no otra? No queda claro. El clima y las playas, sí. También un coste de vida más bajo que el de importantes polos tecnológicos europeos, como París o Berlín. Y puede que un lugar más en la sombra respecto a las grandes capitales. No estar en primera línea pero sin dejar de estar en el meollo. Quizá un sitio ideal para este tipo de industria.
Un sector polémico
Desde Barcelona, estas empresas podrán acceder con facilidad a clientes europeos. El spyware ya es un viejo conocido dentro de la UE. Tanto es así que el Parlamento Europeo ha impulsado reformas para evitar el abuso de este tipo de malware por parte de los gobiernos, con tirón de orejas incluido a España, entre otros.
El sector que florece en Barcelona se lucra vendiendo vulnerabilidades en sistemas operativos, como Android, iOS o Windows, o en aplicaciones populares. Las empresas tienen un equipo que busca estos agujeros de seguridad, a través de los cuales infectar dispositivos para robar información (fotos, contactos, emails, grabaciones de audio y vídeo) o interceptar comunicaciones. Pero también trabajan con hackers freelance, a quienes compran los vectores de ataque.
Tradicionalmente, los investigadores de seguridad que descubrían agujeros en programas populares recibían una recompensa económica. Google, Apple o Microsoft cuentan con planes que remuneran el descubrimiento de vulnerabilidades en su software, para que puedan parchearlas antes de que caigan en malas manos. Sin embargo, la industria del ciberespionaje, en lugar de informar a las compañías sobre estos agujeros, los mantienen en secreto hasta que encuentran comprador.
Las empresas de este controvertido sector tienen un discurso higiénico. Afirman que solo venden a gobiernos con el fin de combatir el terrorismo y la criminalidad. Pero hay estudios de organizaciones como Citizen Lab o Amnistía Internacional que revelan el uso de spyware de tipo Pegasus por regímenes autoritarios. Así, estos gobiernos han tenido herramientas de vanguardia tecnológica para espiar a disidentes y defensores de los derechos humanos.
Estas empresas han permitido que el software avanzado de ciberespionaje, hasta entonces solo disponible para las agencias de inteligencia con más recursos, esté al alcance de muchos gobiernos. El negocio es tan lucrativo que contratistas estadounidenses habituales, como Lockheed Martin, Raytheon o Northrop Grumman, se han sumado a él. Aunque los sospechosos habituales son la mencionada NSO Group, las israelíes Candiru o Cellebrite, la francesa Vupen (rebautizada como Zerodium) o la alemana Gamma Group (desarrolladora del spyware FinFisher).
Son solo algunos nombres en un panorama donde las empresas de cuño israelí destacan. Ahora parece que algunas de ellas se afincan en Barcelona. Y esto ocurre tras años de alboroto en torno a ciberespionaje que se habría llevado a cabo a líderes independentistas con el spyware Pegasus. Una investigación de Citizen Lab apuntaba que se intervinieron los móviles de más de 60 activistas y políticos catalanes y vascos. El CNI tildó de poco riguroso el estudio, pero esto no frenó el vendaval. Según fuentes cercanas al organismo, consultadas por El País en su momento, la agencia de inteligencia compró el malware por unos seis millones de euros antes de que sucediera el 1-O. La amenaza de un uso indiscriminado de estos programas es motivo de preocupación. Siempre existe el riesgo de cruzar líneas rojas y ampliar el ciberespionaje más allá de la legitimidad ética. Además, la falta de transparencia del sector impide saber quiénes son los clientes de estas empresas y cómo usan el spyware. Un nido de inquietud que germina al calor de Barcelona.
