Otros spywares como Candiru: el mercado de los “mercenary spyware” sigue vivo y activo en 2026.

Candiru (ahora rebautizado como Saito Tech Ltd.) es un ejemplo clásico de spyware “mercenario” israelí: vende herramientas de espionaje solo a gobiernos, con exploits zero-click o muy sofisticados, y se usa sistemáticamente contra periodistas, opositores y activistas (no solo contra “terroristas”). Está en la Entity List de EE.UU. desde 2021, pero sigue operando (infraestructura activa en Hungría y Arabia Saudita en 2025-2026, según Insikt Group). Su spyware principal se llama DevilsTongue (o Sherlock) y ataca Windows, macOS, iOS y Android.Aquí tienes los principales equivalentes actuales, todos con el mismo modelo de negocio: venta exclusiva a estados, capacidad de leer mensajes encriptados, activar micrófono/cámara, rastreo y exfiltración total. La mayoría también han sido expuestos por Citizen Lab, Amnesty International y Google Threat Analysis Group.1. Predator (Intellexa Consortium / Cytrox)

• Origen: Consorcio greco-israelí-norte-macedonio. Cytrox es la empresa principal de desarrollo.
• Capacidades: Zero-click (incluso vía WhatsApp o enlaces), acceso completo al dispositivo. Puede infiltrarse sin interacción del usuario.
• Casos reales documentados (2024-2026):
  • Angola (2024): Periodista y activista de prensa Teixeira Cândido infectado (confirmado forensemente por Amnesty en 2026).
  • Pakistán (verano 2025): Abogado de derechos humanos de Baluchistán atacado vía WhatsApp.
  • Grecia (Predatorgate 2022-2026): 87 objetivos (ministros, periodistas, opositores). En febrero 2026, un tribunal griego condenó a 4 directivos de Intellexa (incluido fundador Tal Dilian) a más de 126 años de cárcel (suspendida por apelación). Sanciones de EE.UU. en 2024 parcialmente levantadas en diciembre 2025.
  • Otros: Egipto, Vietnam, Madagascar, Libia, etc. (más de 25 países según Predator Files).
• Estado actual: Sigue activo pese a sanciones. Leaks internos de diciembre 2025 (“Intellexa Leaks”) muestran que compran zero-days caros para mantener Predator operativo y que el personal de la empresa tiene acceso remoto a los datos de las víctimas.

2. Graphite (Paragon Solutions)

• Origen: Israelí. Especializado en Android (más difícil de parchear que iOS).
• Capacidades: Spyware de “intercepción legal” que se vende como herramienta policial, pero se usa contra civiles.
• Casos reales:
  • Italia (2025): Usado contra defensores de derechos humanos y sociedad civil (confirmado por Citizen Lab y Access Now).
  • EE.UU.: Contrato con ICE (Inmigración) reactivado en 2025-2026 pese a la orden ejecutiva de Biden de 2023 que prohibía spyware comercial riesgoso. Paragon fue comprada por un fondo de inversión estadounidense (AE Industrial Partners) en 2024.
• Estado actual: Muy activo en Europa y EE.UU. Es uno de los que más crece mientras NSO y Candiru están más vigilados.

3. Reign (QuaDream / InReach)

• Origen: Israelí (similar a NSO y Candiru).
• Capacidades: Zero-click en iOS (explotaba la misma vulnerabilidad que Pegasus en su momento). Incluye malware “KingsPawn”.
• Casos reales:
  • Víctimas confirmadas por Citizen Lab (2023, aún relevantes): periodistas, opositores políticos y trabajadores de ONG en Norteamérica, Asia Central, Sudeste Asiático, Europa y Oriente Medio.
  • Operadores detectados en Bulgaria, Chequia, Hungría, Ghana, Israel, México, Rumanía, Singapur, EAU y Uzbekistán.
• Estado actual: Menos mediático que Pegasus, pero sigue en el radar de Microsoft y Citizen Lab como uno de los “rivales directos” de NSO.

Patrones comunes (igual que Candiru y Pegasus)

• Uso real: 80-90 % de los casos documentados son contra civiles (periodistas, activistas, políticos opositores, abogados). Muy pocos contra “terroristas” o crimen organizado.
• Impunidad: Israel y otros países bloquean cooperación judicial. Empresas rebrandean (Candiru → Saito Tech) o cambian estructura corporativa para evadir sanciones.
• Mercado en auge: Google reportó en marzo 2026 que los vendors comerciales de spyware explotaron más zero-days en 2025 que grupos estatales (China, Rusia, EAU). Hay más de 80 países que han comprado este tipo de herramientas.
• Sanciones insuficientes: EE.UU. blacklistea (Entity List + sanciones OFAC), pero inversiones estadounidenses siguen llegando (ej. Integrity Partners invirtió en Saito Tech/Candiru en 2025) y algunos contratos se reactivan.

En resumen: Candiru no es un caso aislado. El modelo “espionaje como servicio” (vendido por empresas privadas a gobiernos) es un negocio multimillonario que prospera porque los gobiernos lo quieren y la regulación internacional es casi inexistente. Las víctimas casi siempre son las mismas: voces críticas.