El Candiru és un peix amazònic conegut per parasitar les brànquies d’altres peixos i fins i tot la uretra humana. Candiru també és el nom de la segona companyia de ciberespionatge més poderosa d’Israel i la responsable del programa informàtic amb què s’ha infectat els telèfons mòbils de líders polítics i activistes independentistes, vigilats des de fa anys amb aquest mètode vampíric.

La investigació publicada dilluns per CitizenLab, laboratori de recerca tecnològica de la Universitat de Toronto, destapa que quatre dels més de 60 objectius catalans van ser vigilats amb les eines d’aquesta empresa, descrita com una «mercenària de la pirateria». El seu president i principal accionista, Isaac Zack, és també un dels fundadors de NSO Group, fabricant del famós spyware Pegasus.

La tecnologia de Candiru permet espiar en mòbils Android, iPhone, en ordinadors Mac o PC i fins i tot al núvol, tenint accés a tota mena d’informació privada de les víctimes. La companyia, que té una estructura deliberadament opaca, assegura que pot extreure aquesta informació d’aplicacions com Facebook, Gmail, Skype o Telegram, entre d’altres.

Les víctimes catalanes

Un és el gironí Joan Matamala, llibreter i amic d’infància de l’expresident Carles Puigdemont. Entre l’agost del 2019 i el juliol del 2020 el seu telèfon mòbil va ser atacat fins a 16 vegades amb Pegasus, l’eina d’espionatge més coneguda i usada, però també amb Candiru. El mòbil de Matamala va ser analitzat per l’equip forense de CitizenLab.

Tres catalans més van ser espiats amb aquesta tecnologia. Es tracta de Xavier Vives i Pau Escrich, cofundadors de la plataforma de vot digital segur Vocdoni que Òmnium va utilitzar per a les eleccions internes. La tercera víctima va ser Elies Campo, assessor d’aquesta plataforma, inversor de capital risc i membre de CitizenLab.

De la mateixa manera que fa Pegasus, el programa espia de Candiru es va infiltrar als mòbils dels seus objectius aprofitant vulnerabilitats dels sistemes o enviaant correus electrònics amb enllaços maliciosos. Per això, els atacants es van fer passar pel Govern central amb un missatge sobre la covid-19, l’organització del Mobile World Congress o el Registre Mercantil de Barcelona. Aquesta suplantació d’identitat és una estratègia habitual.

El cas d’Elies Campo és especialment revelador. El fabricant de Pegasus assegura que el seu programari no pot hackejar mòbils dels Estats Units, cosa que sí que fa Candiru. Campo viu a l’altra banda de l’Atlàntic, de manera que va haver de ser vigilat amb aquesta eina. Tot i així, els seus pares, residents a Espanya i aliens a la vida política, sí que van ser vigilats amb Pegasus.

Espanya, a la llista negra

L’any passat una investigació de Microsoft juntament amb CitizenLab va detectar almenys 100 persones espiades per Candiru a països com Israel, Palestina, Turquia, Armènia, Iemen, Singapur, Líban, el Regne Unit i a Espanya, entre molts d’altres. Com amb Pegasus, les víctimes d’aquest espionatge són dissidents, periodistes, activistes, polítics i defensors dels drets humans.