“Solo quienes deben saberlo lo saben”. Así se describe el lugar en el que se celebrará en Barcelona, el próximo 15 de enero, el encuentro de ciberespionaje Offensive. Nadie sabe la localización exacta de la reunión: se comunicará a los asistentes a las ocho de la mañana de ese mismo día.
El reclamo para el encuentro es “Sol, marisco y ‘spyware’” y reunirá a ciberespías de todo el mundo en la capital catalana durante tres días, citados por una compañía de spyware con sede en Barcelona pero fundada por un investigador israelí.
Son empleados y dirigentes de empresas de “ciberseguridad ofensiva”, un sector poco transparente que, sobre el papel, se dedica a identificar vulnerabilidades en sistemas informáticos y dispositivos móviles.
“Todo son eufemismos para definir lo que es un grito a voces: son empresas que venden spyware a gobiernos y a fuerzas de seguridad”, afirma un empleado del sector, que pide anonimato para hablar con elDiario.es.
El encuentro, cuyas charlas y conferencias no se podrán divulgar, pone de manifiesto hasta qué punto Barcelona se ha convertido en un hub internacional de hackers y empresas de ciberseguridad, con una notable presencia israelí.
“Barcelona se ha convertido en la capital europea de la ciberseguridad ofensiva”, afirmaba el periódico israelí Haaretz el pasado diciembre. El reportaje explicaba que al menos tres equipos de hackers de élite de ese país se habían instalado en la capital catalana, incluidos los primeros desarrolladores del programa Pegasus con el que se espió a decenas de cargos independentistas.
La reunión que se celebrará en Barcelona tiene un marcado sello israelí. La organiza la compañía Epsilon, fundada en 2024 y especializada en identificar vulnerabilidades de “día cero” —que nadie sabe que existen previamente— en teléfonos móviles. Epsilon se jacta de ofrecer productos “zero-click”. Es decir, que pueden instalarse sin que la víctima tenga que clicar en ningún enlace ni aplicación.
Según el Registro Mercantil, uno de los socios de Epsilon es Daniel Shapiro, veterano israelí del ciberespionaje y cofundador de otra empresa de spyware en Tel Aviv llamada Bindency, cuyo producto estrella era un spyware de “zero-click” para infectar teléfonos.
Al frente de esta compañía y como principal organizador del evento en Barcelona aparece el francés Jeremy Fetiveau, otro veterano del sector que trabajó anteriormente en Trenchant, una división de ciberseguridad del gigante de defensa estadounidense L3Harris.
Ni Fetiveau ni Epsilon han respondido a la solicitud de elDiario.es para comentar este artículo.
Otra compañía vinculada estrechamente al encuentro es la israelí Radiant Research. Con sedes en Tel Aviv y Barcelona, emplea a veteranos de la unidad de ciber inteligencia militar de élite 8200, perteneciente a las Fuerzas de Defensa de Israel, junto con antiguos trabajadores de NSO, la empresa que desarrolló el software Pegasus.
La compañía vende sus productos a actores estatales en Occidente o a través de contratistas de defensa. “Desarrollamos capacidades cibernéticas avanzadas para un grupo selecto de agencias militares, de inteligencia y de aplicación de la ley”, señalan en su web. “Asumimos los desafíos de los que otros podrían apartarse”, añaden.
También participará en la reunión Paradigm Shift, sociedad registrada en 2024 por tres socios italianos que ofrece sus servicios a agencias de seguridad y fuerzas del orden.
Todos los fundadores de Paradigm Shift son antiguos empleados de Variston, una compañía señalada en 2023 por Google por proveer desde Barcelona software espía a un grupo de hackers que atacaba a ciudadanos de Emiratos Árabes Unidos.
Una nueva vía para exportar spyware a Europa
¿Qué ha llevado a Barcelona a convertirse en la capital del spyware? ¿Por qué tantas empresas israelíes están abriendo sede en la capital catalana?
Según datos de la Generalitat de Catalunya, entre 2020 y 2025 los empleados en empresas de ciberseguridad en Barcelona aumentaron un 50%, hasta superar los 10.000 trabajadores en más de 550 compañías a finales del año pasado.
El sector está en auge: sólo en Catalunya el volumen de negocio alcanzó los 1.473 millones de euros en 2024.
“Los sueldos que pagan estas empresas de spyware a un investigador pueden ir de los 250.000 hasta los 500.000 euros anuales”, explica Marc Rivero, analista de ciberdelitos y coordinador del máster de ciberseguridad de la Universidad La Salle.
Rivero y otras fuentes del sector explican que un exploit —una herramienta que permite aprovechar una vulnerabilidad en un dispositivo o sistema— puede venderse por varios millones de euros.
El pasado octubre, Apple ofreció hasta dos millones de dólares para quien detectara exploits que permitieran espiar sus dispositivos. “Hay mucho dinero y muy poca gente capaz de hacer este trabajo”, sostiene un empleado de una empresa de ciberseguridad.
Más allá del clima, la ciudad y el bajo coste de la vida en comparación a otras grandes capitales europeas, salir de Israel es otro gran reclamo para estas empresas, pues les abre la posibilidad de exportar spyware sin las restricciones que impone el Gobierno israelí ni el control a los productos de doble uso que llegan desde ese país. Haaretz también informaba el año pasado de cómo los cambios en la regulación israelí de la ciberseguridad habían llevado a muchas empresas a cerrar y reabrir en otros lugares.
“Es un secreto a voces en el sector”, apunta la misma fuente. “Por eso hay tantas empresas israelíes que han venido aquí”. Rivero, por su parte, explica que una empresa creada en Europa puede tener más facilidades para comercializar sus productos a otros Estados miembros, pero matiza que si una agencia de inteligencia quiere un producto determinado le va a dar igual de dónde venga.
El mercado está cada vez más personalizado y los clientes ya no quieren comprar el mismo spyware que tienen otros países, sino productos desarrollados exclusivamente para ellos que generan grandes beneficios para estas compañías que investigan y localizan vulnerabilidades.
Lo que sigue envolviendo a estas empresas es un manto de misterio: en ninguna de ellas aparece quién las dirige ni de quién son propiedad. Algunas incluso ni siquiera tienen página web y confían en el boca oreja de un sector en auge que tiene Barcelona como una de sus grandes centros operacionales.
“Es un tema de seguridad operacional”, concluye Rivero. “No se puede saber quienes son los profesionales que han desarrollado una herramienta ofensiva para un Gobierno o agencia de seguridad”.