Barcelona, paraíso soleado y sede clandestina del ciberespionaje mundial durante 24 horas

BarcelonaEl motivo por el que los ciberespías eligen Barcelona no es muy distinto al que mueve más de doce millones de turistas cada año en la capital catalana, según datos del Ayuntamiento. "¿Necesitas una inyección de vitamina D sin acabar con quemaduras por culpa del sol? En enero Barcelona suele ser soleada y agradable!" Y qué decir de la comida: "¿Has ganado kilos de más después de Navidad? Todavía no toca hacer ejercicio". Aunque pueda parecerlo, no son frases extraídas de una agencia de viajes ni de la oficina de atención al turista de la ciudad, sino que es la manera que han utilizado los organizadores de un encuentro secreto de ciberespías para promocionarla. La reunión se celebra este miércoles en el Eixample y sólo los asistentes saben dónde. Todo es muy clandestino, porque el contenido de los encuentros será especialmente sensible.

La reunión se ha bautizado con el nombre de Offensive y la ha publicitado una página web que promete "sol, gambas y software espía". La empresa organizadora es Epsilon, dedicada a la búsqueda de vulnerabilidades en los sistemas informáticos, por ejemplo, en el software de Apple o Android. El consultor en seguridad informática José Nicolás Castellano, de la empresa Andubay, explica que estas vulnerabilidades se conocen como 0-days. En otras palabras, se trata de una empresa que busca 0-days en softwares para poder introducir un spyware (software espía), como podría ser Pegasus. Buscan atajos para poder espiar. De hecho, encontrar un 0-day es oro. Y se paga: las grandes tecnológicas ofrecen altas recompensas para quien encuentre un escape de seguridad en su sistema. Por ejemplo, Meta –la empresa del fundador de Facebook, Mark Zuckerberg– ha pagado sólo en los primeros 14 días de 2026 hasta 129.000 dólares a personas que han detectado vulnerabilidades.

Este miércoles habrá muchas empresas que se dedicarán a buscar fugas de seguridad en los sistemas informáticos en Barcelona. Pero no es su única conexión con la capital catalana. Epsilon, por ejemplo, tiene sede en Barcelona, ​​aunque uno de sus socios es Daniel Shapiro, vinculado a varias empresas israelíes del sector. Esa coincidencia no es eventual. Una fuente experta en el ámbito del ciberespionaje explica que desde hace años las agencias estatales de inteligencia de Estados Unidos, Rusia y China han invertido mucho dinero en ciberespionaje, dejando atrás la época de los agentes dobles de la Guerra Fría.

Europa, sin embargo, se ha quedado atrás y, según la misma fuente, ha tenido que recurrir a empresas privadas. Muchas de estas empresas están ubicadas en Israel, pero últimamente la situación en este país ha cambiado y estas empresas han empezado a buscar nuevos destinos. Y uno de ellos ha sido Catalunya. "Ha habido un boom del ciberespionaje en Barcelona", añade. Y el motivo no vuelve a diferir demasiado de las atracciones turísticas: "Condiciones de vida asequibles y poco control por parte de los gobiernos".

El Gobierno no tiene constancia de ello

De hecho, la Agencia de Ciberseguridad de Catalunya, el Ayuntamiento de Barcelona y los Mossos d'Esquadra aseguran que no tenían constancia del evento de este miércoles en la capital catalana. Una de las empresas que se presentan como "amigas" del acto es Radiant. Tiene sede en Tel-Aviv y, según diversas fuentes del mundo del ciberespionaje, cuenta con varios ex investigadores de NSO Group, la empresa que creó el software Pegasus. También está la compañía Obliviate, con sede en Barcelona y en Israel. Es habitual que en estas empresas existan exmiembros de las fuerzas militares de Israel, especialistas en el uso de las tecnologías en la guerra. En este sentido, la propia voz del sector se hace una pregunta: "Si en lugar de intercambiar spyware fueran escopetas, ¿esta reunión en Barcelona sería legal? Ambas cosas son armas", advierte.

Una de las grandes incógnitas sobre este congreso es qué se hará, porque todo es muy clandestino. Habrá almuerzos, cócteles y software espía, pero sus organizadores avisan de que el orden del día se facilitará a cada participante pocas horas antes de que comience. José Nicolás Castellano apunta que seguramente se realizarán negocios para comprar vulnerabilidades en sistemas. Los clientes son otras empresas, pero también administraciones. ¿En este congreso habrá agencias de inteligencia de gobiernos, como el CNI, por ejemplo? "No es descartable", avisa. Hay que tener en cuenta que estos softwares no pueden venderse en países que tienen antecedentes por haber vulnerado derechos humanos, aunque esta norma no se ha respetado más de una vez, alertan varias voces.

Contando el organizador del encuentro, hay diez empresas que aparecen en la página web. Castellano apunta que seguramente se trata de los vendedores, pero que nunca se sabrá quiénes han sido los compradores. Sólo hay un nombre que aparezca sin complejos en páginas, y es el perfil de X de Jeremy Fetiveau, fundador de la empresa organizadora y ex investigador de importantes empresas estadounidenses del sector. El congreso terminará este miércoles con un cóctel y una fiesta que, en este caso, no se prevé virtual.