El Catalangate, el macroespionatge a l’independentisme, ha posat al centre de l’escenari el programa espia Pegasus. Aquest sistema de ciberespionatge creat per NSO, grup israelià, amb tentacles societaris i empresarials a Europa, s’ha guanyat la primera plaça del protagonisme de la trama orquestrada per l’Estat espanyol per neutralitzar el procés sobiranista. Però el ciberespionatge que prové d’Espanya no només viu de Pegasus. De fet, al llarg de les investigacions judicials o polítiques -com la comissió al Parlament de Catalunya- Pegasus no estava sol, ans al contrari. Candiru, era l’actor secundari, però, com alerten molts dels afectats, aquest spyware és més agosarat i més potent que no pas Pegasus.
Així es delata en les explicacions tècniques que han aportat, tant a l’Audiència Nacional -en una denúncia ja arxivada- com aquesta setmana als jutjats d’instrucció de Barcelona, els cinc empresaris catalans afectats per la trama Pegasus. Joan Arús, Jordi Baylina, Pau Escrich, Joan Matamala i Xavier Vives, tots emprenedors tecnològics, van descobrir que havien estat espiats gràcies a la investigació del Catalangate realitzada per Citizen Lab l’any 2022. De fet, els seus noms apareixen en multitud d’informes, oficis i atestats policials d’investigacions prospectives contra l’independentisme que acostumaven a dirigir-se des del despatx de l’ex titular del Jutjat Central d’Instrucció número 6 de l’Audiència Nacional, Manuel García Castellón.
Tots cinc han presentat la primera querella on Candiru és el protagonista. De fet, han aguantat tots els seus dispositius electrònics infectats per tal que siguin analitzats per la unitat d’informàtica forense dels Mossos d’Esquadra. Una petició que els instructors de l’espionatge a Josep Maria Jové o Josep Lluís Alay van permetre i va servir per corroborar la infecció. La nova querella es dirigeix contra dos exdirectors de la Guàrdia Civil, María Gámez i Vicente Azón, contra l’exdirectora del Centre Nacional d’Intel·ligència (CNI) Paz Esteban –i contra els responsables mercantils del grup NSO, fabricant del programari espia. La novetat és que la informació tècnica sobre Candiru que aporten al jutjat mostra com aquest spyware és molt més amenaçador i perillós que Pegasus, que fins ara s’ha endut tota la fama.

La potencialitat de Candiru
Els denunciants aporten al jutjat una gran quantitat d’informació que avala la potencialitat i la perillositat del Candiru, molt superior a la de Pegasus. De fet, deixen clar que Candiru, que en alguns informes apareix amb el nom de “Sourgum”, té la “mateixa operabilitat, funcionament i finalitats que Pegasus”. En aquest sentit, recorden que el desenvolupa una empresa anomenada Saito Tech Limited, formada per antics directius i accionistes de NSO. El seu objectiu principal és infiltrar-se en dispositius tecnològics amb l’objectiu de monitorar les comunicacions a fi i efecte “d’extreure les dades delicades i rastrejar les seves activitats”, tot plegat, sense coneixement de l’afectat.
De fet, els informes tècnics aportats a la querella relaten com els mateixos investigadors de Citizen Lab van detectar una infecció “en viu i en directe” en un dels ordinadors de cas que ara es denuncia, el de Joan Matamala, i la van poder estudiar sense que els atacants se n’adonessin. Gràcies a la detecció, van alertar Microsoft de l’escletxa que aprofitaven els atacants per infectar més de 100 terminals, una megainfecció que es va poder aturar. Candiru és la marca comercial, però, el programa en si s’anomena Devi’ls Tongue. I, possiblement, la gran diferència amb Pegasus, a més de la seva discreció, és que a més de mòbils és capaç d’infectar terminals d’ordinadors, ordinadors portàtils, tauletes i PC amb qualsevol sistema operatiu.

Què fa Candiru?
Segons la documentació aportada a la querella, Candiru té com a principal funció “recol·lectar informació personal i sensible”. Per tant, pot obtenir contrasenyes, historials de navegació, missatges de text, llistes de contactes o correus electrònics. Per altra banda, fiscalitza i segueix les comunicacions en temps real. Això és, facilita la interceptació de trucades de veu, videotrucades, missatges encriptats tant de WhatsApp, com de Telegram o Signal. Així mateix, accedeix sense problemes a la càmera i el micròfon del dispositiu. De fet, l’spyware és capaç d’activar-los remotament, sense la detecció de l’usuari, per tal de gravar converses, gravar o retratar els contorns del dispositiu.
A més a més, rastreja la ubicació i l’activitat i obté dades de GPS, per tal de registrar les posicions del terminal infectat i generar un mapa detallat dels desplaçaments i rutes del dispositiu. Però, Candiru, a més, no estàtic. Una de les altres diferències amb Pegasus, perquè “persisteix i escala privilegis” mentre infecta i s’adapta a les vulnerabilitats que, de manera remota, descobreix l’atacant. Com que és molt difícil detectar-lo, “fa vida” dins el terminal.
Tècnicament, la seva manera d’operar es diferencia de Pegasus per l’ús dels exploits, és a dir, un element que aprofita un error o vulnerabilitat d’una aplicació o sistema per provocar un comportament involuntari o imprevist. Per tant, Candiru aprofita errades o escletxes desconegudes de navegadors com Chrome o Safari o dels sistemes operatius com Windows, Mac, Ios o Android i els infecta sense necessitat de clicar per part de l’usuari. És el que s’anomena, clic zero, amb un ús molt precís del que s’anomena “els enllaços trampa”, documents adjunts que s’obren sense voluntat expressa de l’usuari del terminal. A més, Candiru es “camufla” a través d’una extensa xarxa de servidors, dominis i IP per “disfressar les comunicacions entre el dispositiu i l’atacant”. “El rastreig de Candiru és particularment complicat”, alerta l’informe que sustenta la querella.

Proves falses i un preu caríssim
Atesa la querella, una de les funcions més perilloses és la facilitat que té Candiru per utilitzar de manera remota programes i així poder enviar missatges o bé publicar missatges o post a les xarxes socials. L’spyware es fa passar per l’usuari del dispositiu. Això el converteix en un vector molt perillós per introduir, per exemple, proves falses.
La diferència amb Pegasus també és el preu, ja que Candidura és força més car. En principi, segons un document aportat a la querella, Candiru té un preu de 16 milions d’euros. Una tarifa que permet un nombre d’infeccions il·limitat però només permet el control i monitoratge de deu terminals. Per 1,5 milions d’euros més, es poden controlar 15 terminals i per 5,5 milions, 25 terminals en cinc països diferents.