Operación Loco: Nexa utilizó una valija diplomática para exportar sin licencia equipos de espionaje a Madagascar
La avenida Raphaël, en el elegante distrito 16 de París, tiene la pesada calma de los barrios de embajadas: un parque extrañamente tranquilo, aceras salpicadas de bolardos antiaparcamiento, cámaras de vigilancia y altas verjas de hierro forjado. Una tarde de mayo de 2021 es, además, el escenario de un inusual ballet.
A las 15.13 horas, un hombre de unos 40 años aparca su coche frente al pequeño edificio blanco situado en el número 14, que alberga la Embajada de Madagascar. Coge su iPhone y marca un número. El intercambio es breve: “He llegado, estoy aparcado delante de la embajada, por las maletas”, dice Renaud Roques. Su interlocutor no se sorprende: “Vale, ya vamos”. Renaud Roques es el número tres del grupo francés Nexa, especializado en equipos de cibervigilancia. En aquel momento, Nexa comercializaba el programa espía Predator, diseñado por su socio Intellexa, un grupo con sede en Europa pero dirigido por antiguos ciberespías israelíes.
En la maleta que Renaud Roques entrega esa mañana en la Embajada de Madagascar hay equipos para espiar teléfonos. A los pocos empleados de la embajada que son informados de ello se les pide que guarden el máximo secreto.
Lo que no saben ni Renaud Roques ni estos empleados es que su jueguecito es seguido de cerca. Los gendarmes de la Oficina Central de Lucha contra los Crímenes de Lesa Humanidad, el Genocidio y los Crímenes de Guerra (OCLCH) habían intervenido el teléfono del número tres de Nexa en el marco de las dos investigaciones judiciales contra la empresa francesa por complicidad en torturas en Libia y Egipto.
La investigación judicial francesa estableció después que los directivos de Nexa e Intellexa exportaron a la presidencia malgache, sin autorización alguna, hardware y software que permitían piratear teléfonos móviles. Se trata de una “transacción ilícita”, realizada “en ausencia de contrato y de autorización”, escriben los gendarmes en un informe.
Durante las demos de los equipos que Nexa llevó a cabo in situ, el objeto del ataque fue el teléfono del director de un periódico de la oposición malgache, Roland Rasoamaharo. Ahora se encuentra en prisión. Además, dos meses después de que la presidencia malgache pidiera a Nexa que infectara teléfonos para frustrar un supuesto intento de golpe de Estado, seis personas han sido detenidas y condenadas por este motivo.
Las autoridades malgaches acabaron comprando, a finales de 2021, el producto estrella de Intellexa: el software Predator, competidor de Pegasus, también desarrollado por ciberespías israelíes –NSO Group–, que permite acceder a casi todos los datos de los teléfonos que infecta. Así lo revela la investigación Predator Files, basada en documentos confidenciales obtenidos por Mediapart y Der Spiegel, y realizada por 15 medios internacionales coordinados por la red de medios European Investigative Collaborations (EIC), a la que pertenece infoLibre, y con la asistencia técnica del Laboratorio de Seguridad de Amnistía Internacional.
La venta de estas potentes herramientas de espionaje a Madagascar es tanto más problemática cuanto que el Gobierno del presidente Andry Rajoelina encarcela a defensores de los derechos humanos y activistas medioambientales, persigue a los whistleblowers por “desorden público e incitación al odio al gobierno” e intimida a los activistas contra la corrupción. Las revelaciones de EIC llegan en el peor momento para el presidente Rajoelina, que lanzó este pasado martes su campaña para las elecciones presidenciales del 9 de noviembre en un contexto muy tenso, marcado por la represión de la manifestaciones organizadas por la oposición, que teme un fraude electoral.
Sin embargo, se desconoce si Nexa y sus directivos están siendo procesados por la Justicia francesa por haber vendido Predator a la presidencia malgache. Cuando los jueces de instrucción pidieron en junio de 2021 que se ampliara el alcance de la investigación sobre Egipto y Libia a Madagascar, el fiscal nacional antiterrorista respondió que no era competente e invitó a los magistrados a remitir el asunto al fiscal de París. Se desconoce si los jueces cursaron esa denuncia. La oficina del fiscal de París asegura a EIC que no ha encontrado rastro de ninguna investigación en curso relacionada con Nexa y Madagascar.
Los dos jefes de Nexa se han negado a responder a las preguntas de EIC sobre Madagascar, pero afirman que siempre han “cumplido toda la normativa aplicable”.
El grupo Nexa tiene al Estado malgache entre sus clientes potenciales al menos desde 2017. El país aparece mencionado en los “planes de acción comercial” de ese año, con la mención “a la espera de confirmación de necesidades para reunión in situ”. Para la plantilla de la empresa francesa, que pone un nombre en clave a todos sus contratos, es el inicio de la Operación Loco.
Las autoridades de la isla africana quieren adquirir material de cibervigilancia. Oficialmente, para luchar contra la corrupción. “En realidad, la presidencia malgache –bajo Rajoelina, pero también durante la época de su predecesor, Hery Rajaonarimampianina– quería sobre todo adquirir este tipo de material con fines políticos”, explica a EIC un antiguo alto funcionario malgache familiarizado con estos temas. “Cuando estamos en el poder, queremos permanecer en él. Y para eso, hay que estar informado de todo”, asegura.
Las cosas se aceleraron en octubre de 2020. Renaud Roques redactó un “borrador de contrato” con Madagascar por un importe de 11,75 millones de euros. Un mes después, el 7 de noviembre de 2020, voló a la gran isla en compañía de tres colegas, entre ellos el jefe y fundador de Nexa, Stéphane Salies. Al día siguiente, Renaud Roques toma una foto en el interior del hotel Radisson de Antananarivo, la capital, donde parece haberse instalado la delegación de Nexa. En la imagen, se ven los pies del fotógrafo, calzados con unas chanclas de plástico, y en el suelo, frente a él, una maleta que contiene material informático.
El equipo se dio ocho días para convencer al jefe de Estado de que comprara sus herramientas de vigilancia. Andry Rajoelina, de 46 años, es un antiguo empresario de la publicidad y la comunicación. Llegado al poder por primera vez en 2009 con el apoyo del ejército, conserva, según destacan las fuentes consultadas, un miedo tenaz a ser a su vez víctima de un golpe. Así que gestiona personalmente la adquisición de los equipos de cibervigilancia, estudiando los documentos y hablando regularmente con los franceses.
Éstos le ofrecen su “porfolio completo”: programas informáticos para la vigilancia masiva del tráfico de internet, así como una furgoneta de pirateo equipada con un Alpha Max, el IMSI catcher más sofisticado de Nexa. Este dispositivo no sólo permite escuchar los teléfonos móviles dentro del alcance de la antena, sino también infectarlos con Predator en modo zero-click y de forma invisible, sin que el usuario tenga siquiera que pinchar en un enlace malicioso.
Las pruebas realizadas en la capital malgache son un éxito. “Cuando estuvimos allí con el Alpha Max, vimos que todo se conectaba”, señalan los empleados de Nexa; es decir, el dispositivo era capaz de conectarse a los teléfonos, como confirmaron después.
Una prueba con el teléfono de un periodista
Entre prueba y prueba, los franceses disfrutan de buenos momentos. El 11 de noviembre, Renaud Roques hizo fotos de la piscina del Radisson. El 15 de noviembre, fotografió los jardines Rova, un palacio real transformado en museo. El mismo día, el equipo de Nexa parece haber puesto en su punto de mira a una figura del periodismo malgache: Roland Rasoamaharo, conocido como Lola, director y propietario de La Gazette de la Grande Ile, y crítico con el presidente Rajoelina.
En el teléfono de Renaud Roques, los gendarmes encontraron un informe de vigilancia de siete páginas dedicado a Roland Rasoamaharo, con el sello de “clasificado” y creado el 15 de noviembre de 2020. El documento detalla en particular su historial de geolocalización y los datos relativos a sus teléfonos.
De vuelta a Francia, el equipo se muestra confiado. Roques escribe en sus notas: “Viaje a Madagascar, oferta de nuestro porfolio completo y demos [...] La firma debería tener lugar en los próximos días”. Mantiene informado al jefe de Intellexa, Tal Dilian, que proporciona a Nexa el programa espía incluido en la oferta: “Tenemos que volver a hablar con el presidente esta semana”.
Sin embargo, durante muchos meses, las autoridades malgaches dudaron sobre qué equipo adquirir. Al final, optaron tanto por herramientas de vigilancia masiva del tráfico de internet como de pirateo de teléfonos. El 18 de mayo de 2021, Renaud Roques se muestra optimista: “Proyecto Loco. Parece muy positivo. Negociaciones del contrato final en curso”.
Pero la historia da un giro inesperado. En los días siguientes, el jefe de Nexa, Stéphane Salies, recibe una llamada de sus interlocutores malgaches. “Piden ayuda por una situación tensa y me preguntan si puedo ayudarles a realizar infecciones”, informa Salies a Tal Dilian el 20 de mayo. El jefe de Intellexa no pone objeciones. Propone suministrar a Madagascar sólo una parte de las herramientas de pirateo, a cambio de un anticipo.
En una entrevista en la revista Forbes en 2019, este exmiembro de la famosa Unidad 81 de ciberinteligencia del ejército israelí había prometido, sin embargo, no volver a espiar a nadie sin la preceptiva licencia o sin contrato previo, después de darse cuenta de que una redada militar había asolado un pueblo sudamericano donde había localizado dos teléfonos a petición de las autoridades, como parte de una demostración comercial. “Éramos jóvenes. Hoy diría que no”, declaró Tal Dilian a Forbes. Pero dos años después dijo sí a las exigencias del presidente malgache, Andry Rajoelina.
Así, la alianza franco-israelí puede haber violado la normativa de varios países, entre ellos Francia. Cuando vendió sus equipos a Madagascar, Nexa aún no había firmado un contrato y no había obtenido una licencia de exportación. Sin embargo, esa licencia es obligatoria, incluso para los equipos que se utilizan en las demos.
Durante el interrogatorio bajo custodia policial, Stéphane Salies intentó justificar esta infracción legal, así como el envío de material por valija diplomática, por la urgencia de frustrar un intento de golpe de Estado: “Esa fue la solución que se eligió porque existía la posibilidad de que se ocurriera un incidente grave”. Salvo que él ya había hecho lo mismo el año anterior, durante la estancia de su equipo en Madagascar, cuando ningún acontecimiento excepcional lo justificaba.
La valija diplomática no puede ser registrada
La falta de licencia no disuadió en absoluto a los equipos de Nexa. El presidente Rajoelina “está de acuerdo en firmar el contrato” y “hacer la transferencia antes de finales de mayo”, dice el director general Stéphane Salies a su colega Renaud Roques el 20 de mayo de 2021. Pero el asesor del presidente malgache quiere que los franceses “vengan inmediatamente con equipo porque hay una docena de tipos que están intentando dar una especie de golpe de Estado”, apremia Salies.
“Quiere que les infectemos enseguida, es superimportante, es dramático [...] Me dice: ‘Anda, ven con un Alpha Max y luego hacemos una infección de zero click”, añade el fundador de Nexa. Alpha Max es el IMSI catcher más potente de Nexa, capaz de inyectar Predator en los teléfonos.
Renaud Roques reprende a su jefe: “Joder, hacer una misión antes de firmar el contrato, Steph, t’as fait une connerie [la cagaste]”. “Lo sé, lo sé”, responde Stéphane Salies. Pero, siete días más tarde, Roques acepta participar en esa misma connerie. Se encuentra en un coche, delante de la Embajada de Madagascar, en el distrito 16 de París. Allí coloca discretamente varias maletas, que contienen “un IMSI catcher y un interceptor wifi”, según declaró más tarde a los investigadores.
Para eludir la falta de licencia, el material se envía a Madagascar por valija diplomática, que no puede ser registrada ni escaneada. “Estamos preparando todas las maletas, tenemos que ir a dejarlas a la embajada para que las envíen en viaje diplomático, [...] como la última vez”, dice Renaud Roques el 27 de mayo de 2021 a su pareja. “Es un lío”, se queja por teléfono, antes de preguntarse cuál es el mejor sitio para comprar los candados que necesita para cerrar el equipaje.
En la embajada, la tensión es palpable. El 30 de mayo, la primera consejera malgache llama a Renaud Roques presa del pánico: no puede llevar las baterías de los equipos en la cabina del avión, porque ya va demasiado cargada. Tiene que meterlas en el equipaje que había llevado antes Roques, pero no se puede abrir debido a los candados.
Así que Renaud Roques se ofrece a enviar a un colega a la embajada para llevar a cabo la operación. La diplomática acepta, pero insiste: los franceses no deben “sobre todo abrir” la maleta “delante de ellos” –es decir, los demás empleados de la embajada–. “No quisiera arriesgarme en absoluto”, insiste. “No se preocupe [...], él es consciente de la confidencialidad”, intenta tranquilizarla el ejecutivo de Nexa.
Preguntados al respecto por Mediapart, ni Renaud Roques, ni el embajador de Madagascar en París, ni la presidencia malgache han contestado.
El 9 de junio de 2021, Renaud Roques compró un iPhone en Leboncoin, un popular sitio web que permite vender productos de segunda mano. Al día siguiente, hace una prueba de infección destinada a preparar la operación en Madagascar, según declaró posteriormente a los gendarmes. El Laboratorio de Seguridad de la ONG Amnistía Internacional, que analizó a petición de EIC los mensajes recibidos por el teléfono, concluyó que esos SMS contenían un enlace de infección gestionado por la infraestructura técnica de Predator.
La operación de ciberespionaje en Madagascar parece haber sido un éxito. Dos meses después, seis ciudadanos malgaches y franceses fueron detenidos por “atentar contra la seguridad interior del Estado” y acusados de intento de asesinato del presidente. Al final de un juicio exprés marcado por la desaparición de numerosas pruebas –en particular el ordenador y los teléfonos del principal acusado–, los seis fueron condenados a penas de hasta 20 años de trabajos forzados. Siempre han dicho que son inocentes.
Una licencia en Grecia, una empresa británica
Los directivos de Nexa recogieron los frutos de sus esfuerzos para convencer al presidente malgache. En junio de 2021, el contrato estaba “ultimándose”, por un importe de unos 14 millones de euros, según un documento interno al que ha tenido acceso EIC. Y más tarde se cerró un acuerdo entre las autoridades malgaches y una de las empresas de la galaxia Intellexa.
El 16 de diciembre de 2021, el CitizenLab de la Universidad de Toronto anunció que había detectado probables rastros de Predator utilizados en Madagascar. Luego, el 8 de diciembre de 2022, el Gobierno griego admitió haber concedido a Intellexa una licencia para exportar Predator a Madagascar en noviembre de 2021.
La venta se realizó a través de la empresa británica Signum, propiedad de un empresario alemán residente en el Reino Unido llamado Oliver Böcking. Este último está relacionado con Nexa, ya que es accionista, junto con el grupo francés, de una sociedad registrada en Seychelles, que posee la propiedad intelectual del Alpha Max. ¿Se utilizó a Oliver Böcking como intermediario para ocultar la participación de Nexa en este contrato? La empresa no ha contestado a esa pregunta. Los directivos del grupo francés, Stéphane Salies y Olivier Bohbot, tampoco quisieron hacer comentarios al respecto.
Pero, en su respuesta a EIC, afirmaron que su filial Advanced Systems en Dubái “actuaba como distribuidor/intermediario y no era responsable del control de las exportaciones”, y que la responsabilidad de obtener las licencias de exportación recaía exclusivamente en Intellexa.
Stéphane Salies y Olivier Bohbot añaden que tras los registros y el interrogatorio al que fueron sometidos por los investigadores franceses en junio de 2021, transfirieron a Intellexa todos los contratos relacionados con Predator “antes de que fueran operativos”, y que cesaron en toda actividad relacionada con la interceptación de de teléfonos móviles.
El periodista Roland Rasoamaharo, objetivo de la demo de Nexa en 2020, afrontó después muchas adversidades. El 10 de noviembre de 2021, los locales de La Gazette de la Grande Ile sufrieron una explosión de origen desconocido, que causó importantes daños materiales. El 30 de marzo de este año la policía registró los locales del periódico, y su director fue detenido por impagos a la compañía nacional de agua y electricidad que databan de... 2016. El 14 de junio fue declarado inocente por un tribunal en este caso, pero fue condenado a cinco años de cárcel por extorsión en un caso de litigio inmobiliario que le enfrentó a la esposa de un cónsul. A día de hoy sigue en la cárcel.
Para su periódico, no hay duda: las autoridades malgaches le hicieron pagar por sus reportajes exclusivos sobre el jefe del Estado y su entorno. A principios de marzo, La Gazette había revelado que el presidente Rajoelina poseía la nacionalidad francesa, lo que podría haber comprometido su candidatura a las eleccions del 9 de noviembre.
Infecciones con Predator con las elecciones a punto
Dos informes técnicos sugieren que el Gobierno malgache puede haber utilizado Predator desde principios de año para facilitar la reelección de Andry Rajoelina.
El primero, publicado el pasado 2 de octubre por la empresa francesa de seguridad informática Sekoia, se basa en el estudio de servidores informáticos utilizados para infectar teléfonos con Predator. Sekoia detectó que esta infraestructura de infección creó y alojó, a partir del pasado mes de abril, sitios web que usurpaban la dirección y la identidad de los medios de comunicación malgaches L'Express de Madagascar y Midi Madagasikara, así como varios sitios que se presentaban como blogs políticos pro Rajoelina, como Soutien à Rajoelina o Emergence Mada.
Por tanto, es “plausible que los servicios gubernamentales de Madagascar, como la policía o la inteligencia local utilizaran “malware Predator para llevar a cabo vigilancia política nacional, meses antes de las elecciones", concluye Sekoia.
Un grupo franco-israelí vendió software espía a dictaduras con la complicidad europea
Ver más
Las conclusiones técnicas de este informe han sido confirmadas por un análisis realizado para el EIC por el Laboratorio de Seguridad de Amnistía Internacional como parte de nuestra investigación Predator Files. Amnistía ha detectado al menos ocho sitios web maliciosos relacionados con Madagacar, creados entre el 15 de febrero y el 26 de julio de este año dentro de la infraestructura de infección de Predator. Las URL de estos sitios web, susceptibles de desencadenar una infección cuando se consultan con un smartphone, imitan las URL de los periódicos malgaches L'Express y Midi, pero también de dos bancos del país, el BNI y el MCB.
La campaña electoral fue lanzada este martes por Andry Rajoelina en un ambiente nocivo. El presidente del Senado, que según la Constitución debe ejercer temporalmente el poder durante la campaña, indicó el lunes que había renunciado al cargo tras recibir “amenazas de muerte” de miembros del Gobierno. La presidencia lo ha negado. En consecuencia, es el Ejecutivo el que ejerce el poder, lo que hace temer a la oposición que se manipule el voto.
Once de los 12 candidatos de la oposición que se presentan contra el presidente Rajoelina han declarado que no participarán en la votación hasta obtener garantías de su imparcialidad. Las manifestaciones callejeras pacíficas que han organizado todos los días desde principios de octubre han sido reprimidas por las autoridades.