El Catalangate, el macroespionaje al independentismo, ha puesto en el centro del escenario el programa espía Pegasus. Este sistema de ciberespionaje creado por NSO, grupo israelí, con tentáculos societarios y empresariales en Europa, se ha ganado el primer lugar del protagonismo de la trama orquestada por el Estado español para neutralizar el proceso soberanista. Pero el ciberespionaje que proviene de España no solo vive de Pegasus. De hecho, a lo largo de las investigaciones judiciales o políticas -como la comisión en el Parlamento de Cataluña- Pegasus no estaba solo, sino todo lo contrario. Candiru, era el actor secundario, pero, como alertan muchos de los afectados, este spyware es más audaz y más potente que Pegasus.
Así se delata en las explicaciones técnicas que han aportado, tanto a la Audiencia Nacional -en una denuncia ya archivada- como esta semana a los juzgados de instrucción de Barcelona, los cinco empresarios catalanes afectados por la trama Pegasus. Joan Arús, Jordi Baylina, Pau Escrich, Joan Matamala y Xavier Vives, todos emprendedores tecnológicos, descubrieron que habían sido espiados gracias a la investigación del Catalangate realizada por Citizen Lab en el año 2022. De hecho, sus nombres aparecen en multitud de informes, oficios y atestados policiales de investigaciones prospectivas contra el independentismo que solían dirigirse desde el despacho del ex titular del Juzgado Central de Instrucción número 6 de la Audiencia Nacional, Manuel García Castellón.
Todos ellos han presentado la primera querella donde Candiru es el protagonista. De hecho, han mantenido todos sus dispositivos electrónicos infectados para que sean analizados por la unidad de informática forense de los Mossos d’Esquadra. Una petición que los instructores del espionaje a Josep Maria Jové o Josep Lluís Alay permitieron y sirvió para corroborar la infección. La nueva querella se dirige contra dos exdirectores de la Guardia Civil, María Gámez y Vicente Azón, contra la exdirectora del Centro Nacional de Inteligencia (CNI) Paz Esteban y contra los responsables mercantiles del grupo NSO, fabricante del software espía. La novedad es que la información técnica sobre Candiru que aportan al juzgado muestra cómo este spyware es mucho más amenazador y peligroso que Pegasus, que hasta ahora se ha llevado toda la fama.
La potencialidad de Candiru
Los denunciantes aportan al juzgado una gran cantidad de información que avala la potencialidad y la peligrosidad de Candiru, muy superior a la de Pegasus. De hecho, dejan claro que Candiru, que en algunos informes aparece con el nombre de «Sourgum», tiene la «misma operabilidad, funcionamiento y fines que Pegasus». En este sentido, recuerdan que lo desarrolla una empresa llamada Saito Tech Limited, formada por antiguos directivos y accionistas de NSO. Su objetivo principal es infiltrarse en dispositivos tecnológicos con el objetivo de monitorear las comunicaciones con el fin de «extraer los datos delicados y rastrear sus actividades», todo ello, sin conocimiento del afectado.
De hecho, los informes técnicos aportados a la querella relatan cómo los mismos investigadores de Citizen Lab detectaron una infección «en vivo y en directo» en uno de los ordenadores del caso que ahora se denuncia, el de Joan Matamala, y la pudieron estudiar sin que los atacantes se dieran cuenta. Gracias a la detección, alertaron a Microsoft de la brecha que aprovechaban los atacantes para infectar más de 100 terminales, una megainfección que se pudo detener. Candiru es la marca comercial, pero, el programa en sí se llama Devi’ls Tongue. Y, posiblemente, la gran diferencia con Pegasus, además de su discreción, es que además de móviles es capaz de infectar terminales de ordenadores, portátiles, tabletas y PC con cualquier sistema operativo.
¿Qué hace Candiru?
Según la documentación aportada a la querella, Candiru tiene como función principal «recolectar información personal y sensible». Por lo tanto, puede obtener contraseñas, historiales de navegación, mensajes de texto, listas de contactos o correos electrónicos. Por otro lado, fiscaliza y sigue las comunicaciones en tiempo real. Esto es, facilita la interceptación de llamadas de voz, videollamadas, mensajes encriptados tanto de WhatsApp, como de Telegram o Signal. Asimismo, accede sin problemas a la cámara y el micrófono del dispositivo. De hecho, el spyware es capaz de activarlos remotamente, sin la detección del usuario, para grabar conversaciones, grabar o retratar los contornos del dispositivo.
Además, rastrea la ubicación y la actividad y obtiene datos de GPS, para registrar las posiciones del terminal infectado y generar un mapa detallado de los desplazamientos y rutas del dispositivo. Pero, Candiru, además, no es estático. Una de las otras diferencias con Pegasus, porque «persiste y escala privilegios» mientras infecta y se adapta a las vulnerabilidades que, de manera remota, descubre el atacante. Como es muy difícil detectarlo, «hace vida» dentro del terminal.
Técnicamente, su manera de operar se diferencia de Pegasus por el uso de los exploits, es decir, un elemento que aprovecha un error o vulnerabilidad de una aplicación o sistema para provocar un comportamiento involuntario o imprevisto. Por lo tanto, Candiru aprovecha errores o brechas desconocidas de navegadores como Chrome o Safari o de los sistemas operativos como Windows, Mac, iOS o Android y los infecta sin necesidad de hacer clic por parte del usuario. Es lo que se llama, clic cero, con un uso muy preciso de lo que se llama «los enlaces trampa», documentos adjuntos que se abren sin voluntad expresa del usuario del terminal. Además, Candiru se «camufla» a través de una extensa red de servidores, dominios y IP para «disfrazar las comunicaciones entre el dispositivo y el atacante». «El rastreo de Candiru es particularmente complicado», alerta el informe que sustenta la querella.
Pruebas falsas y un precio carísimo
Según la querella, una de las funciones más peligrosas es la facilidad que tiene Candiru para utilizar de manera remota programas y así poder enviar mensajes o bien publicar mensajes o post en las redes sociales. El spyware se hace pasar por el usuario del dispositivo. Esto lo convierte en un vector muy peligroso para introducir, por ejemplo, pruebas falsas.
La diferencia con Pegasus también es el precio, ya que Candiru es bastante más caro. En principio, según un documento aportado a la querella, Candiru tiene un precio de 16 millones de euros. Una tarifa que permite un número de infecciones ilimitado pero solo permite el control y monitoreo de diez terminales. Por 1,5 millones de euros más, se pueden controlar 15 terminales y por 5,5 millones, 25 terminales en cinco países diferentes.
