Barcelona, paradís assolellat i seu clandestina del ciberespionatge mundial durant 24 hores

BarcelonaEl motiu pel qual els ciberespies trien Barcelona no és gaire diferent del que mou més de dotze milions de turistes cada any a la capital catalana, segons dades de l'Ajuntament. "¿Necessites una injecció de vitamina D sense acabar amb cremades per culpa del sol? Al gener Barcelona sol ser assolellada i agradable!" I què dir del menjar: "Has guanyat quilos de més després de Nadal? Encara no toca fer exercici". Encara que ho pugui semblar, no són frases extretes d'una agència de viatges ni de l'oficina d'atenció al turista de la ciutat, sinó que és la manera que han fet servir els organitzadors d'una trobada secreta de ciberespies per promocionar-la. La reunió se celebra aquest dimecres a l'Eixample i només els assistents saben on. Tot és molt clandestí, perquè el contingut de les trobades serà especialment sensible.

La reunió s'ha batejat amb el nom d'Offensive i l'ha publicitat una pàgina web que promet "sol, gambes i programari espia". L'empresa organitzadora és Epsilon, dedicada a la recerca de vulnerabilitats en els sistemes informàtics, per exemple, en el programari d'Apple o Android. El consultor en seguretat informàtica José Nicolás Castellano, de l'empresa Andubay, explica que aquestes vulnerabilitats es coneixen com a 0-days. En altres paraules, es tracta d'una empresa que busca 0-days en programaris per poder-hi introduir un spyware (programari espia), com podria ser Pegasus. Busquen dreceres per poder espiar. De fet, trobar un 0-day és or. I es paga: les grans tecnològiques ofereixen altes recompenses per a qui trobi una fuita de seguretat en el seu sistema. Per exemple, Meta –l'empresa del fundador de Facebook, Mark Zuckerberg– ha pagat només en els primers 14 dies del 2026 fins a 129.000 dòlars a persones que han detectat vulnerabilitats.

Aquest dimecres, doncs, hi haurà moltes empreses que es dedicaran a buscar fuites de seguretat en els sistemes informàtics a Barcelona. Però no és l'única connexió que tenen amb la capital catalana. Epsilon, per exemple, té seu a Barcelona, tot i que un dels seus socis és Daniel Shapiro, vinculat amb diverses empreses israelianes del sector. Aquesta coincidència no és eventual. Una font experta en l'àmbit del ciberespionatge explica que des de fa anys les agències estatals d'intel·ligència dels Estats Units, Rússia i la Xina han invertit molts diners en ciberespionatge, deixant enrere l'època dels agents dobles de la Guerra Freda.

Europa, però, s'ha quedat enrere i, segons la mateixa font, ha hagut de recórrer a empreses privades. Moltes d'aquestes empreses estan ubicades a Israel, però últimament la situació en aquest país ha canviat i aquestes empreses han començat a buscar nous destins. I un d'aquests ha sigut Catalunya. "Hi ha hagut un boom del ciberespionatge a Barcelona", afegeix. I el motiu no torna a diferir gaire de les atraccions turístiques: "Condicions de vida assequibles i poc control per part dels governs".

El Govern no en té constància

De fet, l'Agència de Ciberseguretat de Catalunya, l'Ajuntament de Barcelona i els Mossos d'Esquadra asseguren que no tenien constància de l'esdeveniment d'aquest dimecres a la capital catalana. Una de les empreses que es presenten com a "amigues" de l'acte és Radiant. Té seu a Tel-Aviv i, segons diverses fonts del món del ciberespionatge, compta amb diversos exinvestigadors de NSO Group, l'empresa que va crear el programari Pegasus. També hi ha la companyia Obliviate, amb seu a Barcelona i a Israel. És habitual que en aquestes empreses hi hagi exmembres de les forces militars d'Israel, especialistes en l'ús de les tecnologies a la guerra. En aquest sentit, la mateixa veu del sector es fa una pregunta: "Si en lloc d'intercanviar spyware fossin escopetes, aquesta reunió a Barcelona seria legal? Les dues coses són armes", adverteix.

Una de les grans incògnites sobre aquest congrés és què s'hi farà, perquè tot és molt clandestí. Hi haurà dinars, còctels i programari espia, però els seus organitzadors avisen que l'ordre del dia es facilitarà a cada participant poques hores abans que comenci. José Nicolás Castellano apunta que segurament s'hi faran negocis per comprar vulnerabilitats en sistemes. Els clients són altres empreses, però també administracions. ¿En aquest congrés hi haurà agències d'intel·ligència de governs, com el CNI, per exemple? "No és descartable", avisa. S'ha de tenir en compte que aquests programaris no es poden vendre a països que tenen antecedents per haver vulnerat drets humans, tot i que aquesta norma no s'ha respectat més d'una vegada, alerten diverses veus.

Comptant l'organitzador de la trobada, hi ha deu empreses que apareixen a la pàgina web. Castellano apunta que segurament es tracta dels venedors, però que mai se sabrà qui han sigut els compradors. Només hi ha un nom que aparegui sense complexos a les pàgines, i és el perfil de X de Jeremy Fetiveau, fundador de l'empresa organitzadora i exinvestigador d'importants empreses nord-americanes del sector. El congrés acabarà aquest dimecres amb un còctel i una festa que, en aquest cas, no es preveu virtual.