Genocidio
La administración vasca gasta 335.533 euros en software israelí desde el inicio del genocidio en Gaza

En febrero de 2024, NEIKER —el instituto vasco de investigación agraria dependiente del Gobierno Vasco— firmó un contrato menor de 18.029 euros con la sociedad israelí S.R.M T.E.S Investments Ltd para adquirir “Israeli indoor tech”, tecnología de cultivo bajo cubierta. Es el único contrato desde que comenzó el genocidio en Gaza en el que una empresa con razón social israelí aparece directamente como adjudicataria de un poder público vasco. El resto, los doce contratos por 317.504 euros, se adjudican a integradoras españolas que renuevan licencias, soporte y hardware de dos firmas israelíes que se han convertido en infraestructura básica de ciberseguridad de las administraciones de la Comunidad Autónoma Vasca (CAPV).

Los datos proceden del análisis con Python de los 230.273 contratos publicados en KontratazioA, la plataforma única de contratación pública de Euskadi, desde el 7 de octubre de 2023. La API oficial del Gobierno Vasco no expone la nacionalidad del adjudicatario, hay que ir nombre a nombre, CIF a CIF, leyendo el objeto del contrato. La fotografía resultante es la de una administración que, mientras el Parlamento Vasco aprobaba mociones en favor de la paz, seguía renovando suscripciones a dos de las marcas más reconocibles del complejo cibermilitar israelí.

Check Point y CyberArk: dos veteranas de la Unidad 8200

Las dos tecnológicas que concentran el gasto comparten genealogía. Check Point Software Technologies, con sede en Tel Aviv, fue fundada en 1993 por Gil Shwed y otros oficiales recién licenciados de la Unidad 8200, la división de inteligencia de señales del Ejército israelí —equivalente funcional de la NSA estadounidense— responsable de la vigilancia masiva sobre Cisjordania y Gaza. CyberArk, con sede en Petah Tikva, fue fundada por Udi Mokady, también veterano de la 8200, y está especializada en la gestión de cuentas privilegiadas (PAM), un software que controla quién puede entrar en los servidores más sensibles de una organización.

Las dos figuran en los listados de objetivos prioritarios del movimiento Boicot, Desinversiones y Sanciones (BDS), que reclama a universidades, hospitales y administraciones públicas que dejen de renovar contratos con tecnológicas que el movimiento vincula con la economía de la ocupación.

Check Point y CyberArk fueron fundadas por oficiales de la Unidad 8200, la división de inteligencia de señales del Ejército israelí responsable de la vigilancia masiva sobre Cisjordania y Gaza

El reparto institucional del gasto dibuja el mapa de la dependencia vasca sobre el software israelí. La Sociedad Foral Gipuzkoana de Servicios Informáticos (IZFE) firmó dos contratos por 152.583 euros: uno por 120.395 euros para renovar la plataforma Check Point a través de Thales S21Sec en diciembre de 2024 y otro de 35.090 euros con Beclever por mantenimiento de CyberArk a finales de 2023. El Departamento de Seguridad del Gobierno Vasco —del que depende la Ertzaintza— acumula dos renovaciones de licencias CyberArk en marzo de 2025 y marzo de 2026, ambas adjudicadas por contrato menor a la integradora TRC BAT, por un total de 35.171 euros.

ITELAZPI, sociedad pública de telecomunicaciones, suma dos contratos menores Check Point (11.939 euros). BILBAOTIK, sociedad municipal de Bilbao para la tarjeta única, adjudicó el pasado mes de marzo —ya con el alto al fuego suspendido en Rafah— 48.398 euros a Thales S21Sec por el mantenimiento de sus firewalls Check Point. EITB, el ente público de radiotelevisión vasco, renovó en noviembre de 2023 el soporte del firewall Check Point por 30.225 euros; una relación que las fuentes de Ahoztar Zelaieta datan de 25 años de antigüedad. El Ayuntamiento de Getxo, gobernado por el PNV, es el adjudicador con más contratos: cuatro renovaciones y servicios Check Point firmados a Grupo S21Sec y Thales S21Sec entre marzo y julio de 2025, por 36.186 euros.

El Departamento de Seguridad del Gobierno Vasco, del que depende la Ertzaintza, renovó dos veces en doce meses las licencias de CyberArk para blindar sus servidores

Los nombres de los integradores también dicen algo sobre cómo se produce el transvase de recursos públicos a empresas israelís. Thales S21Sec, que se queda con los contratos de mayor importe, es la filial ibérica de la multinacional francesa de defensa Thales, que en octubre de 2022 cerró la compra de la empresa guipuzcoana de ciberseguridad por 120 millones de euros. Lo que en los pliegos vascos se etiqueta como “ciberseguridad” llega, por tanto, ensamblado por una de las grandes industrias del armamento europeo y construido sobre código de una compañía nacida en la inteligencia militar israelí.

El dinero invisible

Cabe señalar una advertencia metodológica: en los contratos indirectos, el importe no se desplaza íntegro hasta Tel Aviv. El integrador español se queda con su margen de servicios, despliegue y soporte, y solo una fracción se transfiere a las casas matrices israelíes en concepto de licencias. Aun así, la elección de marca importa. Renovar Check Point o CyberArk significa asumir la dependencia tecnológica a varios años vista: migrar de plataforma de seguridad perimetral o de gestor de accesos privilegiados es una operación costosa que los responsables informáticos de las administraciones aplazan año tras año.

Hasta el Gobierno español ha reconocido la dimensión infraestructural de este problema. En mayo de 2025, fuentes del Ejecutivo admitieron a varios diarios que “la mayoría de la ciberseguridad es israelí” y que prescindir de esa tecnología resultaba “inviable” a corto plazo, en pleno debate sobre el embargo de armas a Israel. 

El grueso del gasto militar español con Israel se concentra en el Ministerio de Defensa, por lo que las administraciones vascas no compran armas, sino servicios de ciberseguridad nacida en la misma industria

El cuadro vasco también obliga a una segunda lectura. El grueso del gasto militar español con Israel —los misiles Spike de Rafael, el sistema SILAM, los drones Hermes de Elbit— se concentra en el Ministerio de Defensa, fuera del perímetro vasco. Las administraciones de Euskadi no compran armas a Israel: compran sus servicios de ciberseguridad. Pero el límite entre ambos negocios es poroso. La propia Unidad 8200, semillero de Check Point y CyberArk, es la que opera los sistemas de vigilancia que documentan organismos como la ONU sobre la población palestina ocupada.

En septiembre de 2021, Hordago-El Salto reveló que el Gobierno Vasco, la Ertzaintza y el Ayuntamiento de Bilbao habían adjudicado 1,66 millones de euros a Guardian Defense & Homeland Security, la empresa de Ilan Arzoolan, exagente del Mossad, para barreras antiembestida, uniformes y formación policial. Aquel reportaje trazaba la huella material israelí en las calles vascas. Este nuevo recuento traza la huella inmaterial: el software que filtra el tráfico, custodia las contraseñas administrativas y vigila los servidores de las instituciones vascas.

Los datos publicados tienen, además, varias zonas de sombra. Los contratos menores —por debajo de 15.000 euros sin IVA en servicios— publican menos información, y la API oficial no permite descargar el pliego íntegro. Los grandes acuerdos marco interadministrativos, que muchas entidades vascas usan para comprar licencias de manera agregada, no siempre desglosan el fabricante. Y la base de datos tampoco registra subcontratas: si una integradora española factura un servicio “propio” y por debajo despliega Check Point, el rastro se pierde. La cifra de 335.533 euros es, por tanto, un mínimo. Lo que esconde la opacidad de los contratos públicos está, casi con seguridad, por encima de esa cifra.

Lavender, Gospel y la genealogía 8200

La Unidad 8200, además de ser el lugar de procedencia de los fundadores de Check Point y CyberArk, es la unidad que desarrolló los sistemas de inteligencia artificial Lavender y The Gospel, que el Ejército israelí ha empleado en su campaña sobre Gaza desde octubre de 2023. Según la investigación de la revista israelí-palestina +972 Magazine y Local Call, Lavender llegó a marcar como objetivo militar a 37.000 palestinos —en muchos casos hombres con vínculos remotos con Hamás o la Yihad Islámica— y permitió bombardear viviendas con sus familias durante la noche con un umbral admitido de “15 o 20” víctimas civiles colaterales por cada objetivo de bajo rango. Tribunales internacionales y relatores de la ONU han incorporado estos programas a su escrutinio sobre presuntas violaciones del derecho internacional humanitario y, en el procedimiento abierto por Sudáfrica ante el Tribunal Internacional de Justicia, al posible cargo de genocidio.

Ni Check Point ni CyberArk son contratistas militares directos de esos sistemas, pero ambas comparten una bolsa de talento y una doctrina técnica con la unidad que los opera: el ecosistema cibermilitar israelí es un mismo continuum del que las administraciones vascas compran su rama “civil”.

Además, los dos proveedores también han tenido un rol importante durante el genocidio. CyberArk reconoció públicamente el 13 de octubre de 2023, en un comunicado firmado por su consejero delegado Matt Cohen, que parte de su plantilla en Israel había sido movilizada como reservistas; medios especializados informaron, además, de que la compañía planeaba apoyarse en su creciente centro de I+D en la India para cubrir las ausencias.

Según un reportaje del medio especializado The Record, el sector cibernético israelí absorbió en las primeras semanas tras el 7 de octubre la llamada masiva a la reserva de buena parte de su plantilla, mientras profesionales del sector se organizaban en paralelo para reforzar la ciberdefensa de empresas e instituciones israelíes frente a la oleada de ataques hacktivistas. En julio de 2025, con la Operación Carros de Gedeón en curso sobre Gaza, la estadounidense Palo Alto Networks anunció la compra de CyberArk por 25.000 millones de dólares, una operación que blinda al ecosistema cibernético israelí dentro del mayor conglomerado de ciberseguridad del mundo. Check Point, por su parte, sigue cotizando en Nasdaq con sede central en Tel Aviv y mantiene plantilla en el país sin que su consejo haya hecho declaración alguna que tome distancia del genocidio.