Nota aclaridora: Una primera versió d’aquesta notícia deia que Microsoft havia afirmat que l’estat espanyol era un dels clients del programari, però fonts de Microsoft han matisat que, si bé les víctimes són catalanes, no afirmen que l’estat espanyol sigui client de Candiru.

Microsoft ha denunciat que una desena d’estats havien comprat un programa a l’empresa israeliana Candiru per espiar polítics, periodistes, dissidents, activistes i ambaixadors. El gegant informàtic també ha dit que el programa, que només poden comprar governs, s’havia fet servir contra ciutadans catalans. La investigació ha especificat que Candiru venia el programari, però que els governs en triaven els objectius i l’executaven, i les eines que feien servir eren molt sofisticades i complexes. Candiru permet d’entrar il·lícitament en telèfons mòbils, ordinadors, tauletes, dispositius connectats a internet, espais d’emmagatzematge al núvol i tecnologies similars.

En la identificació de les víctimes hi han contribuït els investigadors de Citizen Lab, de la Universitat de Toronto, al Canadà, que ja havien descobert que l’estat espanyol havia comprat a la companyia israeliana NSO un programari anomenat Pegasus, amb què va espiar el president del parlament, Roger Torrent, i més dirigents polítics independentistes. Candiru és una empresa competidora directa d’NSO. Microsoft diu que Candiru és part d’un conglomerat d’empreses que anomena Sourgum. “Aquesta mena d’empreses fan créixer el risc que les armes vagin a mans equivocades i posin en perill els drets humans”, ha denunciat Microsoft.

El programa entrava als dispositius de les víctimes a través de forats localitzats als navegadors d’internet més populars i del sistema operatiu de Windows. Microsoft explica que va descobrir que era víctima del programa de Candiru arran d’una alerta de CitizenLab. Diu que els equips de seguretat es van posar de seguida a investigar el programari maliciós, que han anomenat DevilsTongue (la llengua del diable, en català), i que ja han solucionat els errors informàtics que li permetien de penetrar els seus serveis. També diu que han compartit les troballes amb altres empreses del sector per evitar noves intrusions.

A més de l’estat espanyol, Microsoft ha explicat que també van fer servir el programa a Israel, l’Iran, el Líban, el Iemen, el Regne Unit, Turquia, Armènia i Singapur. Prop de la meitat de les cent víctimes del programari que s’han pogut identificar formen part de l’Autoritat Nacional Palestina. La denúncia és compartida per més empreses del sector, que han criticat sovint els riscs per als drets humans que impliquen les empreses de la mena de Candiru o NSO, contra les quals demanen més legislació. “Un món on hi ha qui fabrica i ven ciberarmes és més perillós per a consumidors, empreses de tota mena i governs”, ha denunciat Cristin Goodwin, directora general de la Unitat de Seguretat Digital de Microsoft.

Candiru es va fundar el 2014 i sempre ha mirat de restar a un segon pla. “L’empresa s’ha esforçat molt per a mantenir les operacions, la infrastructura i la identitat dels treballadors en l’opacitat, lluny de l’escrutini públic”, ha denunciat CitizenLab. Per això s’ha canviat el nom unes quantes vegades. El més recent és Saito Tech Inc., però al sector se la continua coneixent pel nom original, Candiru.

Una escletxa judicial pot portar fins a Espanya en l’escàndol Pegasus

Fes-te'n subscriptor i construeix amb VilaWeb25 el diari nou que els Països Catalans necessiten ara.

60€/any
120€/any
Si encara vols ajudar-nos més, pots fer-te'n com a Protector.

Si no pots, o no vols, fer-te'n subscriptor, ara també ens pots ajudar fent una donació única.