Una empresa española con subvenciones del Gobierno vendió un programa espía a la dictadura vietnamita

Antonio Ramos Varón, accionista de Mollitiam, durante una charla.

La compañía francesa Nexa y la israelí Intellexa crearon una galaxia de empresas que colaboraban y se complementaban en la tarea de desarrollar sistemas de cibervigilancia punteros y venderlos después a gobiernos de todo el mundo, fueran democráticos y respetuosos con los derechos humanos o no. También una empresa española, de turbio currículo, intentó integrarse en la órbita de Nexa. Se trata de Mollitiam Industries, una pequeña firma con sede en Toledo nacida en 2018, según consta en los Predator Files, obtenidos por Mediapart y Der Spiegel y compartidos con la red de medios European Investigative Collaborations (EIC), a la que pertenece infoLibre,  que publica estos días una extensa investigación que desvela ventas de material de vigilancia a dictaduras con complicidad europea [ver aquí]. En el trabajo colaboran Shomrim (Israel), Die Wochenzeitung (Suiza), Reporters United (Grecia), Domani (Italia), Daraj Media (Líbano) y The Washington Post (EEUU), con el apoyo del Security Lab de Amnistía Internacional.

Mollitiam Industries, que facturó una media de 1,12 millones de euros anuales entre 2019 y 2021, firmó un acuerdo de confidencialidad con la compañía francesa en diciembre de 2019, válido por un periodo de dos años y renovable por otros cinco. También le proporcionó un folleto de presentación de sus productos, en concreto, uno que describía sus sistemas de infección y control remoto invisible de objetivos conectados a internet. Es decir, ofrecía las mismas herramientas de cibervigilancia en las que se ha especializado la galaxia Nexa-Intellexa.

Pero no sólo coincidía la firma española con el grupo franco-israelí en el producto, sino también en sus escasos escrúpulos respecto a los clientes a quienes se los vendían. La investigación realizada sobre los Predator Files revela que Nexa vendió su spyware estrella, Predator, a Vietnam, una dictadura comunista que persigue a los disidentes y muestra escaso respeto por los derechos humanos. Según la información a la que ha tenido acceso infoLibre, Mollitiam Industries también suministró al régimen vietnamita uno de sus programas más publicitados, que lleva el nombre de Invisible Man.

infoLibre ha preguntado a Mollitiam por el resultado de su acercamiento comercial a Nexa y por sus negocios en el país del sureste asiático, sin obtener respuesta. Más abajo se detallan las cuestiones que la empresa no ha querido contestar [ver La caja negra].

En cualquier caso, la dictadura vietanmita no es su único cliente sospechoso. La empresa de Toledo saltó a los titulares en marzo de 2020, cuando su nombre apareció en la lista de los 20 mayores depredadores digitales de la prensa publicado por Reporteros sin Fronteras. Compartía protagonismo con los líderes mundiales del spyware, como el israelí NSO Group, ahora en el disparadero internacional por culpa de Pegasus, y la italiana Hacking Team, cuyos sistemas fueron utilizados para espiar al presidente de Amazon, Jeff Bezos.

Espionaje del Ejército colombiano

El honor de figurar en tan dudosa compañía se lo debió Mollitiam Industries entonces a que había vendido al Ejército de Colombia la herramienta informática con la que en 2019 fueron espiados hasta 130 periodistas, políticos, funcionarios y sindicalistas. El escándalo, destapado por la revista Semana en enero de 2020 y conocido como Carpetas Secretas, reveló que los militares colombianos habían utilizado Invisible Man, una “plataforma de penetración” diseñada por Mollitiam Industries, para “perfilar” a periodistas colombianos pero también a corresponsales estadounidenses, a una magistrada del Tribunal Supremo, a un senador e incluso a exmilitares. La empresa española vendió su software por 3.000 millones de pesos –unos 710.000 euros–, tras firmar un contrato a dedo, sin licitación previa.

Según publicó la revista Wired, que pudo leer folletos promocionales de Invisible Man, éste es un producto de interceptación, capaz de acceder de forma remota a los archivos y la localización de un dispositivo e incluso activar la cámara y el micrófono sin que lo note el usuario. El spyware también incluye un keylogger, que registra las teclas pulsadas por el espiado; las contraseñas, por ejemplo. No importa el sistema operativo, el producto de Mollitiam puede tomar el control de cualquier dispositivo con Android, MacOS o Windows. Además, es “invisible” porque el ataque es indetectable para el 90% de los sistemas de seguridad. Así consiguieron los militares colombianos teléfonos, direcciones, correos electrónicos, conversaciones de WhatsApp y Telegram, fotos… de objetivos civiles a los que no podían investigar legalmente.

Tres años después, una filtración de correos internos del Comando General de las Fuerzas Militares de Colombia, que publicó Forbidden Stories y en la que participó también infoLibre, desveló que el Ejército de ese país había puesto en marcha otro procedimiento para adquirir una nueva herramienta de ciberespionaje. Y una de las siete empresas contactadas por las fuerzas armadas colombianas fue, de nuevo, Mollitiam Industries. De las tres que finalmente enviaron una oferta, una era la empresa de Toledo.

El objetivo del Ejército colombiano era adquirir un software de inteligencia con fuentes abiertas, lo que se conoce como Osint por sus siglas en inglés. Ese es precisamente uno de los productos estrella de Mollitiam, que publicita en su página web bajo el nombre de Phoenix: “un sistema modular de monitorización masiva para producir inteligencia a partir de la descarga anónima de datos no estructurados procedentes de redes sociales, darknets y deepwebs”.

En una ponencia enviada a un congreso sobre computación e ingeniería aplicada, que se celebró en el verano de 2022 en Las Vegas (Estados Unidos) y que firma entre otros uno de los socios de la compañía, Mollitiam da un detalle más sobre los usos de su software. Publicita que una parte de Phoenix es “un prototipo para la detección de posibles radicales en las redes sociales”.

Mollitiam ya trabajaba en 2021y 2022 para la Dirección de Inteligencia de la Policía Nacional en un proyecto conjunto con la empresa colombiana Newsat. Mollitiam Industries aportó el software Osint y dispone del 40% del capital de la unión temporal de empresas constituida en el país sudamericano y también denominada Phoenix. La licencia para transferir el material a la Policía Nacional colombiana la concedió el Gobierno español en enero de 2022. La compañía española prestará actividades de mantenimiento hasta finales de 2026.

Subvenciones españolas

Además, para desarrollar Phoenix, la empresa de Toledo contó con una subvención de 641.827 euros, abonados a partes iguales por la Unión Europea –a través del Fondo Europeo de Desarrollo Regional (FEDER)– y por el Gobierno español, a través del CDTI (Centro para el Desarrollo Tecnológico y la Innovación, dependiente del Ministerio de Ciencia e Innovación). La subvención le fue concedida en 2019, la duración del proyecto era de dos años y el objetivo, crear una plataforma para el análisis de la información y el tratamiento de grandes volúmenes de datos (big data) obtenidos a partir de fuentes abiertas.

Pero no fue la única ayuda pública que recibió Mollitiam Industries. En total, se embolsó más de 1,6 millones de dinero de los contribuyentes en sus cortos cinco años de vida. En mayo de 2021, el CDTI le concedió 450.000 euros en una operación para promover la innovación empresarial en la que también invirtió el fondo del Gobierno vasco Easo Ventures. Y le subvencionó con otros 410.394 euros a través de los proyectos Cien y Eureka, según figura en las cuentas de 2021 de Mollitiam.

Además, una subvención de 59.636 euros sirvió a Mollitiam Industries para desarrollar el proyecto Electro I+D, que mide el nivel de “resiliencia en redes OT (civiles y defensa) frente a ciberataques”. El 80% del dinero vino de Europa, vía Feder, y el resto lo puso la Junta de Castilla-La Mancha. Esas mismas instituciones le otorgaron 50.751 euros para el proyecto Cibermarkint, “una plataforma Osint de inteligencia artificial”. Finalmente, recibió del Gobierno de Emiliano García-Page (PSOE) una nueva ayuda de 15.941 euros a través del programa Adelante Inversión.

Antes fue In-Nova

Aunque Mollitiam es una empresa joven, sus promotores tienen larga experiencia en el sector de la cibervigilancia. Los socios mayoritarios, Esther y Samuel Álvarez González, ya crearon en 2007 el Grupo In-Nova, que en 2016 trabajó para el Ejército de Brasil en la formación de un grupo de élite especializado en luchar contra el cibercrimen.

Además, en 2012 es posible rastrear a la empresaria española en Perú y ese mismo año la Fundación In-Nova, que preside Esther Álvarez, firmó un convenio de colaboración con el Consejo Nacional de Ciencia, Tecnología e Innovación Tecnológica (Concytec) peruano. En 2014 Esther Álvarez viajó a Ecuador, donde expuso sus conocimientos sobre ciberdefensa. Cuatro años después, In-Nova figuraba como habilitada en el Registro de Proveedores de Bienes Estratégicos del Gobierno ecuatoriano.

De vuelta a Colombia, que es donde más clientes tienen, los hermanos Álvarez crearon la empresa In-Nova Colombia SAS, que dirige un proyecto de consultoría con el Comando de Apoyo Tecnológico del Ejército (COATE). Como ya publicó infoLibre, en 2016 In-Nova participó en un proyecto de cooperación tecnológica entre España y Colombia para la transferencia de conocimiento en relación con sistemas autónomos de navegación y plataformas aéreas, con aplicación en vehículos aéreos no tripulados (UAV o drones), dirigido a oficiales de las Fuerzas Armadas colombianas.

También un equipo de dicha empresa realizó, a principios de febrero de 2022, una “demostración de equipos” en la Sección de Control Telemático de la Dirección del Cuerpo Técnico de Investigación de la Fiscalía General de Colombia. Entre las personas a las que se autorizó la entrada a las instalaciones de la Fiscalía General estaba Samuel Álvarez.

Mientras, en España, Mollitiam vendió a la Guardia Civil en 2019 y por 302.500 euros un sistema de monitorización remota de comunicaciones desde móviles. También una herramienta para monitorizar redes sociales por 18.059, según publicó en su día El Salto. A In-Nova, el Ministerio de Defensa le adjudicó en 2015 el suministro de un prototipo de red de comunicaciones tácticas y, entre 2018 y 2022, cuatro contratos más por un importe total de 134.950 euros. Una de esas licitaciones fue para un sistema de interceptación.

Confluencia tecnológica

La confluencia tecnológica de Mollitiam e In-Nova con Nexa es significativa. A principios de 2017, In-Nova participó en Homsec, una feria internacional que reúne en Madrid a vendedores y compradores del sector de la defensa y la seguridad nacional. En esa ocasión, según relató en detalle la prensa especializada, Samuel Álvarez mostró una tableta a la que se le había “conectado un dispositivo hardware o ‘sonda’ con el que se realizó un rastreo de las comunicaciones y dispositivos inalámbricos que se encontraban en la feria, mostrando los diferentes niveles de seguridad en función de las configuraciones y vulnerabilidades detectadas”. La sonda permitía rastrear el entorno, explorar las diferentes redes inalámbricas, tanto visibles como ocultas, así como explorar todos los dispositivos en un entorno cercano (varias decenas de metros), logrando información sobre éstos sin necesidad de interceptarlos. Por otro lado, y dentro del modo ‘misión’, de una forma sencilla de operar, se pueden construir operaciones de interceptación y captura de información de los dispositivos seleccionados”. Como revelan los Predator Files, los dispositivos de interceptación telefónica eran uno de los productos estrella de Nexa Technologies.

Es más, Invisible Man, el programa vendido a Colombia y Vietnam, y Night Crawler, que Mollitiam promociona de forma conjunta con el anterior, comparten habilidades con Predator, que puede recuperar todos los datos del teléfono, desde páginas web visitadas y correos electrónicos, hasta los mensajes cifrados de Signal o WhatsApp, e incluso contraseñas y certificados, además de activar el micrófono y la cámara. Y la interceptación es anónima, indetectable para la víctima, como en Invisible Man y Night Crawler.

¿Países amigos de Occidente?

Además de los hermanos Álvarez, un tercer accionista de Mollitiam es Antonio Ramos, conocido por su pasado como presentador de Mundo Hacker, un programa emitido en Discovery Max y en TVE. En abril de 2019, Ramos acudió a La Resistencia, de David Broncano., donde presumió de trabajar para los ministerios de Defensa de distintos países, que no identificó pero de los que quiso dejar claro que “siempre son países amigos de Occidente”. También aseguró que había recibido una medalla blanca al mérito policial por ayudar a desarticular una red de pederastas. En otras intervenciones públicas, afirmó que había sido asesor internacional para la Organización de Estados Americanos (OEA) en Washington y se presentó así: “Soy un hacker, lidero un grupo de hackers internacionales y hackeamos cosas para hacer la vida digital tanto de los ciudadanos como de las organizaciones más segura”.

Lo cierto es que, como revelan los Predator Files, no todos los clientes de Nexa, la empresa francesa a la que quería vender sus productos, eran países “amigos de Occidente”, ni éstos utilizaron sus herramientas informáticas para hacer “más segura” la vida de sus ciudadanos. Otro tanto puede decirse del uso que el Ejército colombiano dio al spyware de Mollitiam y del que es más que probable que haya hecho una dictadura como Vietnam.

Mollitiam: la empresa que crea con dinero público herramientas para un ciberespionaje total

Mollitiam: la empresa que crea con dinero público herramientas para un ciberespionaje total

Un cuarto accionista de la empresa toledana, con el 6,8% del capital, es Sabadell Venture Capital, la filial del banco que preside Josep Oliu y que se dedica a invertir en startups. Un portavoz de la entidad aseguró a infoLibre que no había tenido conocimiento del escándalo de espionaje a periodistas en Colombia porque el banco carece de ningún tipo de control”. “No somos consejeros y nuestra inversión es puramente financiera”, explicó.

--------------------------------------------------------------

#PredatorFiles se basa en documentos confidenciales obtenidos por Mediapart y Der Spiegel, y está siendo publicado por medios asociados a European Investigative Collaborations (EIC): NRC, Politiken, Expresso, Le Soir, De Standaard, VG, infolibre y Domani en colaboración con Shomrim (Israel), Die Wochenzeitung (Suiza), Reporters United (Grecia), Daraj Media (Líbano) y The Washington Post (EEUU).

Más sobre este tema
stats