Perto do final de 2023, um pesquisador de segurança israelense de Tel Aviv disse que foi abordado no LinkedIn com uma oportunidade de trabalhar no exterior com “bom salário”. Ele disse que o departamento de RH da empresa lhe disse que se tratava de uma empresa de segurança ofensiva “legítima” que estava começando do zero em Barcelona, na Espanha.
Mas durante todo o processo de recrutamento, contou o pesquisador ao TechCrunch, as coisas pareciam um pouco estranhas.
“Todo o sigilo era muito estranho. Alguns funcionários que me entrevistaram não usaram o nome completo, demoraram muito para revelar onde fica a empresa e muito menos o nome. Por que é tão secreto se tudo é legítimo?” o pesquisador disse ao TechCrunch. “Parece uma empresa que pode ser sancionada no futuro e as coisas podem ficar sujas.”
Quando conversou com o diretor de tecnologia da empresa, o pesquisador disse que lhe foi dito algo como: “teremos apenas clientes legítimos e, ao contrário de outras empresas, não venderemos para nações duvidosas”.
Alexey Levin, o CTO contratante e ex-pesquisador do fabricante de spyware sancionado NSO Group, disse ao pesquisador que a empresa que está tentando contratá-lo se chama Palm Beach Networks e que desenvolve de tudo, desde explorações de dia zero usadas para comprometer dispositivos até o próprio implante de spyware, referindo-se ao software de vigilância que é instalado no dispositivo do alvo, segundo o pesquisador.
O pesquisador disse que Levin também lhe contou que a Palm Beach Networks tinha pelo menos um cliente do governo dos EUA. (Levin não respondeu a um pedido de comentário.)
Mas porquê encontrar uma startup de spyware em Barcelona, que apenas anos antes estava no centro de um escândalo político de grande alcance, onde funcionários do governo espanhol usaram spyware para atingir políticos locais que pressionavam pela independência? Assim como muitas outras startups na cidade; o pesquisador disse que os funcionários da empresa lhe disseram que era porque morar na cidade é semelhante a morar em Israel, que há bons benefícios fiscais e bom clima.
Essas são algumas das razões pelas quais Barcelona se tornou um centro improvável para empresas de spyware nos últimos anos, de acordo com várias pessoas que trabalham na indústria ofensiva de segurança cibernética que conversaram com o TechCrunch, bem como com registros de negócios que vimos.
O facto de Barcelona se tornar um posto avançado regional crucial para empresas ofensivas de cibersegurança coloca o problema do spyware diretamente nas portas da Europa, que tem uma relação turbulenta com a tecnologia de vigilância, devido a escândalos em Chipre, Grécia, Hungria e Polónia – todos envolvendo fabricantes israelitas de spyware.
“É um desenvolvimento preocupante se uma grande cidade da Europa se tornar um centro para fabricantes de spyware”, disse Natalia Krapiva, consultora jurídica da organização sem fins lucrativos Access Now, especializada em investigação e pesquisa de spyware, ao TechCrunch. Krapiva disse que o negócio do spyware “anda de mãos dadas com a corrupção e o abuso de poder”.
“Os cidadãos, a mídia e os legisladores espanhóis deveriam examinar cuidadosamente essas empresas em termos de saber se as suas operações são consistentes com as leis nacionais e da UE e se o governo espanhol pode estar envolvido no abuso das suas ferramentas de vigilância, especialmente tendo em conta a história da Espanha com a Pegasus”, disse. Krapiva.
John Scott-Railton, pesquisador sênior do Citizen Lab, onde ele e seus colegas investigam há mais de uma década abusos cometidos com ferramentas de spyware, também expressou preocupação. Scott-Railton observou que, no passado, houve casos de abuso de spyware não apenas contra ativistas de direitos humanos e dissidentes em países não democráticos como a Etiópia e a Arábia Saudita, mas também contra diplomatas dos EUA e indivíduos visados, incluindo políticos e cidadãos dentro das fronteiras da Europa. .
“Isto irá adicionar lenha ao fogo da crise de spyware na Europa. Se a experiência servir de guia, é apenas uma questão de tempo até que esta tecnologia acabe sendo usada pelos clientes contra os aliados da Espanha e parceiros da UE”, disse Scott-Railton ao TechCrunch. “Os governos que permitem que esta indústria floresça apostam nas suas próprias capacidades secretas e no seu capital humano. Essas capacidades tendem a ser drenadas para fora, inclusive para potenciais adversários futuros, uma vez que spyware mercenário e desenvolvedores de exploits cheguem à cidade e comecem a contratar.”

Sol, frutos do mar e spyware
Além da Palm Beach Networks, como era conhecida na época, Barcelona é o lar de vários outros criadores de exploits e spyware que também estão aproveitando ao máximo o clima ensolarado e temperado da cidade, os frutos do mar frescos e a vibrante comunidade de expatriados.
Entre eles estão o Paradigm Shift, um spin-off da startup Variston, que perdeu funcionários e estava lutando para sobreviver em 2024; e a Epsilon, liderada por Jeremy Fetiveau, um veterano da indústria que trabalhava para uma divisão da gigante de defesa dos EUA L3Harris, criada depois que a empresa adquiriu a startup australiana Azimuth.” Fetiveau não respondeu ao pedido de comentário.
Diz-se que a cidade também abriga um grupo não identificado de pesquisadores israelenses que se mudaram de Cingapura para Barcelona para trabalhar no desenvolvimento de explorações de dia zero. A existência desta equipa não identificada, bem como a presença da Epsilon em Barcelona, foram noticiadas pela primeira vez pelo jornal israelita Haaretz, cujo artigo gerou cobertura em jornais locais e sites de notícias.
Outras empresas de cibersegurança estão presentes em Barcelona, mesmo que não estejam sediadas lá. Andrijana Šekularac, presidente-executiva da empresa austríaca de segurança cibernética SAFA, mora na cidade, de acordo com seu perfil público no LinkedIn. A SAFA patrocinou conferências ofensivas sobre segurança cibernética, incluindo OffensiveCon e Hexacon, e emprega pelo menos dois pesquisadores de segurança com experiência anterior em empresas de spyware, de acordo com seus perfis públicos no LinkedIn. Šekularac também não respondeu a um pedido de comentário.
Essas empresas de dia zero e de spyware fazem parte de um ecossistema mais amplo de cibersegurança e startups em Barcelona. No ano passado, segundo o governo regional catalão, havia mais de 10.000 pessoas a trabalhar para mais de 500 empresas de segurança cibernética em Barcelona, ou cerca de 50% mais trabalhadores do que cinco anos antes.
Contate-nos
Você tem mais informações sobre Epsilon, Head and Tail, Paradigm Shift ou outros fabricantes de spyware governamental? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail. Você também pode entrar em contato com o TechCrunch via SecureDrop.
Barcelona não é apenas um foco para fabricantes de tecnologia de vigilância, mas também para startups em geral, com alguns classificando a cidade entre os principais centros de startups da Europa. A cidade é a sede da startup de entrega de alimentos Glovo, cujo concorrente DeliveryHero avaliou em 2,3 mil milhões de euros em 2021, quando adquiriu uma participação maioritária na empresa catalã; a startup de ortodontia Impress, que arrecadou US$ 125 milhões em 2022 e US$ 114 milhões em 2024; e a plataforma de gerenciamento de viagens de negócios TravelPerk, que arrecadou US$ 105 milhões em 2024; entre mais de 2.200 outras startups, de acordo com o Barcelona and Catalonia Startup Hub, um projeto do governo local que acompanha o ecossistema de startups na região.
A cidade é atraente para os trabalhadores porque o seu custo de vida é mais barato do que outros centros europeus de startups, como Londres, Amesterdão e Berlim. Depois, há as razões talvez mais óbvias, pelo menos para quem já esteve em Barcelona: a cidade tem belas praias, semelhantes a Tel Aviv, Chipre e Grécia, lugares que abrigam ou abrigaram empresas de spyware como NSO Group, Circles e Intellexa.
Existem também outras razões, para além da atractividade da cidade, que trouxeram investigadores de segurança israelitas, em particular, a Barcelona. Tal como informou o Haaretz no final de Dezembro de 2024, Israel tornou-se mais restritivo na concessão de licenças para exportar spyware para outros países na sequência dos escândalos envolvendo o Grupo NSO, deixando a porta aberta para as empresas se deslocarem para o estrangeiro. É agora mais difícil para as empresas exportarem spyware de Israel para o resto do mundo, incluindo a União Europeia, do que dentro do próprio bloco.
Uma pessoa disse ao Haaretz que este processo não é “emigração para Espanha, é expulsão para Espanha”.
Embora a Paradigm Shift se anuncie abertamente como uma empresa ofensiva de segurança cibernética, com listas de empregos para funções que se enquadram neste tipo de negócio, outras empresas não são tão transparentes, como a Variston costumava ser. A Paradigm Shift é liderada por Leone Pontorieri, de acordo com os registros comerciais da empresa, bem como por Filippo Roncari e Simone Ferrini, de acordo com seus perfis públicos no LinkedIn. Os três faziam parte de uma startup italiana adquirida pela Variston em 2018, quando a empresa foi lançada em Barcelona, e uma das primeiras empresas de spyware a instalar-se na cidade catalã.
Os representantes da Paradigm Shift não responderam a um pedido de comentários.
Uma startup furtiva com muitos nomes
Até agora, a Palm Beach Networks evitou quaisquer alegações públicas de envolvimento em violações dos direitos humanos, ao contrário dos fabricantes de spyware NSO Group, e antes dele, Hacking Team e FinFisher, fizeram no passado. Mas a empresa tem um histórico intrigante de mudança de nomes, uma estratégia que outros fornecedores de spyware usaram anteriormente para mascarar a sua propriedade corporativa. Os fabricantes israelenses de spyware Candiru mudaram de nome várias vezes antes de a empresa ser adicionada à lista de proibição comercial do governo dos EUA em 2021, e a própria NSO tinha uma estrutura corporativa complexa.
O nome Palm Beach Networks “era um pouco secreto e só foi dito por Levin e outros em fases posteriores”, segundo o pesquisador israelense.
Acontece que Palm Beach Networks já pode ser um nome obsoleto e a segunda iteração de uma startup com uma identidade diferente.
Uma empresa chamada Defense Prime Inc. tornou-se Palm Beach Networks em 11 de maio de 2023. Em 16 de junho de 2023, uma empresa chamada Head and Tail iniciou suas operações em Barcelona. Então, em 28 de junho de 2024, a Palm Beach Networks foi dissolvida, de acordo com registros comerciais arquivados na Flórida e na Espanha.
A Defense Prime e a Palm Beach Networks parecem estar ligadas à Head and Tail devido à sobreposição de executivos e figuras-chave.
Uma pessoa chamada Sai Gopal está listada como signatário autorizado da Head and Tail nos registros comerciais espanhóis, e alguém com o mesmo nome foi listado como tesoureiro do Defense Prime nos registros comerciais da Flórida. Gopal não foi encontrado para comentar.
Os registros comerciais também mostram que Alexey Levin, o CTO que tentou contratar o pesquisador de segurança israelense para a Palm Beach Networks, é o diretor da Head and Tail. Representantes da Head and Tail não responderam ao pedido de comentários do TechCrunch.
Um atual executivo de uma fabricante de spyware, que pediu para permanecer anônimo, disse ao TechCrunch que Levin trabalha na Palm Beach Networks. Anteriormente, disse o executivo, Levin foi um dos primeiros desenvolvedores do Grupo NSO e depois também trabalhou na Candiru.
No seu website oficial, a Head and Tail não faz menção explícita ao facto de desenvolver tecnologia de vigilância, mas afirma que aborda “uma miríade de questões de segurança cibernética, incluindo inteligência de ameaças, avaliações de vulnerabilidades, formação de sensibilização para a segurança e resposta a incidentes”. A empresa tem listas de empregos para Barcelona, Madrid e Sevilha.
No final, o investigador israelita recusou a oportunidade de trabalhar na Palm Beach Networks, apesar de pessoas que ele conhece lhe terem dito que a empresa paga a alguns dos seus funcionários salários exorbitantes que excedem largamente a média anual bruta do país.
O pesquisador disse estar preocupado com a possibilidade de acabar como alguns funcionários do Grupo NSO, que tiveram que lidar com as consequências dos escândalos de direitos humanos, do bloqueio e exclusão do Facebook de suas contas pessoais e da ameaça do governo dos EUA de negar seus vistos.
“Eu poderia conseguir dinheiro suficiente em outro lugar e não ter que me preocupar com o que vai acontecer ou com quem estou trabalhando”, disse o pesquisador, “especialmente quando senti que eles não são uma empresa transparente e eu não saberia quem é o os clientes são.”