Vietnam intentó infectar con Predator a altos funcionarios de la UE, congresistas de EEUU y un académico español

Vietnam utilizó el programa Predator para espiar a la presidenta del Parlamento Europeo, Roberta Metsola; al eurodiputado Pierre Karleskind, a la presidenta de Taiwán, Tsai Ing-wen y al congresista estadounidense Michael McCaul.

Yann Philippin (Mediapart) / Begoña P. Ramírez

Hugo Martínez Ballesteros es profesor en la Facultad de Económicas de la Universidad de Santiago e investiga las repercusiones económicas del furtivismo marisquero en Galicia. Fue el tema de su tesis doctoral, que defendió en 2018. El pasado 16 de mayo un usuario de Twitter –rebautizado como X– llamado @Joseph_Gordon16 respondió a un tuit suyo de noviembre de 2022 con una pregunta: “¿Cuál es su solución para deshacerse de la tarjeta amarilla?”. Y adjuntaba un enlace. Esa URL conducía a un servidor que infecta los teléfonos móviles con Predator, el programa espía diseñado por Intellexa –un grupo de empresas con sede en Europa pero creado por antiguos ciberespías israelíes– y vendido por su socio francés Nexa. Predator puede recuperar todos los datos de los teléfonos infectados y activar a distancia el micrófono y la cámara.

Sin embargo, Martínez Ballesteros no pinchó el enlace. “El tuit me pareció raro”, explica a infoLibre. Cuando este periódico le informó de la amenaza de infección, la Universidad de Santiago, a la que pertenecen los dispositivos informáticos que utiliza el profesor para su trabajo, comprobó que el intento de intrusión había fracasado. Todos estaban limpios.

La cuenta @Joseph_Gordon16, cuya foto de perfil es la de un joven asiático con gafas, fue utilizada muy probablemente por Vietnam para llevar a cabo un ataque informático a gran escala. Así lo revelan los Predator Files, una investigación de 15 medios de comunicación internacionales coordinados por la red European Investigative Collaborations (EIC), a la que pertenece infoLibre, basada en un informe del Laboratorio de Seguridad de Amnistía Internacional y en documentos confidenciales obtenidos por Mediapart y Der Spiegel .

La investigación técnica de Amnistía constata que @Joseph_Gordon16 atacó, entre febrero y junio de este año, a 59 personas y organizaciones en Europa, Estados Unidos y Asia, entre ellas políticos de alto nivel, periodistas, académicos, así como opositores al régimen vietnamita. Se desconoce si alguno de estos intentos de infección tuvo éxito.

La sorpresa de Hugo Martínez Ballesteros al enterarse del ataque fue mayúscula. Es experto en lo que se conoce como pesca ilegal, no declarada y no reglamentada, pero su enfoque es exclusivamente nacional, y muy centrado en el furtivismo marisquero gallego. “Ahora voy a publicar un artículo sobre su enorme impacto económico: cuánto marisco se deja de recoger por culpa de esta actividad ilegal, qué efecto tiene en mariscadores y pescadores...”, detalla. Pero nunca ha estado en Vietnam ni ha “investigado o publicado nada relacionado con ese país, tampoco sobre las sanciones de la UE ni sobre la tarjeta amarilla”, niega categórico Martínez Ballesteros.

Sin embargo, participa en proyectos europeos e internacionales sobre pesca y suele publicar en “revistas de alto impacto”, en inglés, como Marine Policy, or Ocean and Coastal Management. “Es tan sencillo como escribir mi nombre y añadir poaching (furtivismo) o IUU fishing (pesca ilegal, no declarada y no reglamentada por sus siglas en inglés) en Google y aparecen mis artículos”, apunta como única razón para haber aparecido en el radar de interés de Vietnam.

La pesca es uno de los principales recursos económicos de este país del sureste asiático –es el tercer exportador mundial, con un volumen de ventas de casi 6.000 millones de dólares en 2020– y la UE, el primer importador de pescado del mundo. Sólo a la Unión Europea, Vietnam vendió pescado por valor de 777 millones de euros en 2021. Pero esta dictadura comunista también lidera las estadísticas mundiales en pesca ilegal. Al menos un 20% de sus capturas llevan esa etiqueta. En 2017, Bruselas sacó a Vietnam una “tarjeta amarilla” porque sus esfuerzos para eliminar la piratería pesquera no habían sido suficientes, una amonestación que iba a ser reevaluada el pasado mes de mayo y que está pendiente de la visita al país de una delegación europea prevista para este mismo mes de octubre. Si Vietnam sigue incumpliendo los requisitos de la UE, la tarjeta amarilla puede convertirse en roja.

Así pues, la Unión Europea fue uno de los principales objetivos del Predator vietnamita, con ataques contra la Comisión Europea y la presidenta del Parlamento Europeo, la maltesa Roberta Metsola, quien no ha querido hacer comentarios sobre el ataque informático antes de su publicación.

En el punto de mira de los vietnamitas también estuvo el eurodiputado francés Pierre Karleskind, de Renacimiento, el partido de Emmanuel Macron, y presidente de la Comisión de Pesca del Parlamento Europeo. El 9 de febrero de 2023 apareció una notificación en su cuenta de Twitter. “¿Cómo se resolverá este asunto?”, preguntaba también @Joseph_Gordon16, adjuntando una URL que llevaba a lo que parece un artículo publicado por un think tank.

Pero el artículo era falso. Y el enlace conducía al servidor que infectaba con Predator. Como el lanzado contra Hugo Martínez Ballesteros, el ataque contra Karleskind no tuvo éxito. “No recuerdo haber visto ese tuit y haber hecho clic en él. Hice analizar mi teléfono y no estaba infectado”, declaró a Mediapart tras ser avisado por el medio francés. “No estoy sorprendido, pero sí particularmente molesto”, añadió el eurodiputado.

Por su parte, el profesor español sospecha que el ataque era más bien una “caza masiva” de posibles objetivos. De todos modos, le cuesta creerlo: “Ser objetivo de espionaje a nivel académico me parece una broma”. “En cualquier caso, representa un peligro brutal. ¿Qué demonios es esto? Pueden hacer lo que quieran. Si les interesa la pesca, bien, pero ¿y si les interesa... mi cuenta bancaria?”, se pregunta indignado.

Pero la campaña del Predator vietnamita excedía con mucho los límites académicos y geográficos europeos, apuntó muy alto. La cuenta @Joseph_Gordon16 también intentó infectar a la presidenta de Taiwán, Tsai Ing-wen, a la exembajadora de Alemania en Estados Unidos, Emily Haber, y a cuatro congresistas estadounidenses, así como a un ministro y a un diputado albaneses. Además, fueron objeto de ataques varios medios de comunicación, entre ellos la cuenta de Twitter de la redacción anglófona del canal de noticias France24 y tres periodistas de la cadena estadounidense CNN. Otros dos españoles figuran en la lista de objetivos. Se trata de dos altos cargos de la UE y la FAO: la directora de la Agencia Ejecutiva Europea de Clima, Infraestructuras y Medio Ambiente (Cinea), Paloma Aba Garrote, y el subdirector general y director de Pesca y Acuicultura de la FAO, Manuel Barange. infoLibre ha preguntado a ambos por los tuits de la cuenta vietnamita.

La Comisión Europea, a través de un portavoz, responde que no tiene “pruebas de que la infección con Predator haya tenido éxito”. “La Comisión está al corriente de los informes sobre el programa espía Predator dirigido a los seguidores de cuentas de X (antes Twitter) de entidades europeas. Nos tomamos muy en serio la ciberseguridad y aplicamos políticas estrictas para proteger nuestras infraestructuras y dispositivos. Investigamos todos los incidentes”, señala. Barange, que también es profesor honorario de la Universidad británica de Exeter, no ha respondido a los intentos de este periódico de contactar con él.

El informe de Amnistía señala como probables autores de esta campaña a “agentes de las autoridades vietnamitas”. Las conclusiones de sus análisis fueron confirmadas a EIC por otras dos organizaciones de renombre mundial, que investigaron el mismo tema de forma independiente: el Citizen Lab de la Universidad de Toronto, que destapó el espionaje con Pegasus, y el Grupo de Análisis de Amenazas de Google (TAG). “Creemos que esta infraestructura de ataque de Predator está asociada a un actor gubernamental de Vietnam”, indició Google a EIC.

Contactados por EIC, el Gobierno de Vietnam e Intellexa no han respondido. Pero la investigación de EIC parece haber provocado una ola de pánico dentro de la empresa. Después de que EIC enviara preguntas a Intellexa a mediados de septiembre, la cuenta @Joseph_Gordon16 fue cerrada, y parte de la infraestructura técnica utilizada para hackear teléfonos con Predator fue abruptamente desmantelada. “Más del 70% de los servidores rastreados de Predator se han desconectado desde mediados de septiembre”, explica Donncha O'Cearbhaill, director del Laboratorio de Seguridad de Amnistía.

Un contrato de 5,6 millones de euros

En cualquier caso, la historia de esta campaña empieza mucho antes, el 31 de diciembre de 2020. Antes de Nochevieja, reinaba un ambiente de fiesta en el grupo de WhatsApp franco-israelí que reúne a ejecutivos de Intellexa y Nexa, que habían sellado su alianza el año anterior.

A las 9:48, los franceses comunican a los israelíes que han vendido Predator a Egipto. A las 13:40, el número dos de Nexa, Olivier Bohbot, anuncia una segunda buena noticia: “Contrato VN firmado. [...] Gracias a todos por vuestro apoyo”. “Wooow!!!!!”, reacciona exultante el jefe de Intellexa, Tal Dilian.

Documentos confidenciales de Nexa confirman que la empresa negoció un contrato de 5,6 millones de euros, cuyo nombre en clave es AnglerFish –nombre inglés del rape–, para vender Predator al MOPS, siglas del Ministerio de Seguridad Pública de Vietnam. Este ministerio, ya implicado en otros casos de piratería informática, es el órgano represivo del régimen, encargado de perseguir a los opositores y a los defensores de los derechos humanos.

Nexa tomó todas las precauciones para ocultar esta venta a una dictadura. El contrato fue negociado por la filial del grupo en Dubái, Advanced Middle East Systems (AMES). Luego utilizó como intermediaria a una empresa registrada en Hong Kong, Delsons Hong Kong Ltd, que compró Predator a AMES y luego se lo revendió al MOPS.

Delsons es propiedad de Alexis Delevaux, un ciudadano suizo que creció en Francia y luego se trasladó a Asia. Es cónsul honorario de Mónaco en Vietnam y proveedor de servicios de telecomunicaciones a varios países de la región. Correos electrónicos de 2011, revelados por Wikileaks, muestran que ya entonces trabajaba como intermediario para suministrar programas espía italianos al MOPS vietnamita.

Los registros de exportación obtenidos por Amnistía Internacional y EIC desvelan que el 1 de noviembre de 2021 Delsons entregó por avión a Vietnam, a una empresa estatal fundada por el MOPS, tres equipos informáticos valorados en 8,4 millones de dólares cuyo fabricante es AS, entre ellos un “módulo de monitorización de smartphones móviles relacionado con un software profesional”. En los documentos internos de Nexa, las siglas AS designan a su filial Advanced Middle East Systems de Dubái. La misma empresa que negoció el contrato Predator con Vietnam.

Alexis Delevaux no ha contestado a las preguntas que le ha formulado EIC. Los directivos de Nexa, Stéphane Salies y Olivier Bohbot, tampoco han querido precisar si suministraron o no los equipos entregados por Delsons a Vietnam, pero afirman que siempre han “respetado toda la reglamentación aplicable y obtenido las autorizaciones de los organismos de control competentes” para exportar.

Ambos precisan que Nexa transfirió a Intellexa, “a partir del tercer trimestre de 2021” todos sus contratos Predator, “antes de que fueran operativos”. Es decir, el grupo francés asegura que no desempeñó ningún papel en el ataque que supuestamente se llevó a cabo utilizando el software espía que vendió a Vietnam.

La Unión Europea y la pesca

El informe de Amnistía Internacional muestra que, con 12 blancos atacados con Predator, la Unión Europea (UE) fue uno de los principales objetivos del régimen de Hanoi por culpa de la “tarjeta amarilla” que perjudicaba a sus exportaciones pesqueras y a su reputación internacional. Así, la cuenta de Twitter @Joseph_Gordon16 apuntó con URL infectadas con Predator a la Dirección General de la Comisión Europea encargada del clima, la Dirección General de Medio Ambiente y a la responsable de la Dirección General de Asuntos Marítimos y Pesca, Charlina Vitcheva. También atacó con Predator las cuentas de Twitter de agencias especializadas como la Misión de Aguas y Océanos de la UE y de dos agencias europeas responsables de la observación marítima, entre ellas Copernicus, gestionada por la empresa francesa Mercator Ocean.

En 2022, cuando el Parlamento Europeo votó sobre el acuerdo de libre comercio entre la UE y Vietnam, los eurodiputados también adoptaron resoluciones. Con otros eurodiputados del grupo político Renew Europe, el eurodiputado y oceanógrafo francés Pierre Karleskind logró convencer al Parlamento Europeo de que aprobara una enmienda para recordar la existencia de la “tarjeta amarilla” dirigida a Vietnam por pesca ilegal. “Es una posición que no debe de haber gustado al Gobierno vietnamita”, destaca Karleskind a EIC.

Aunque el ataque contra él no funcionara, el eurodiputado dice estar decidido a actuar: “Comportarse así con un parlamentario europeo no es aceptable, es un atentado contra la democracia. Informaré a las autoridades francesas responsables de la inteligencia y el contraespionaje y, cuando se publique su artículo, convocaré al embajador vietnamita ante la Unión Europea a mi despacho de Bruselas para pedirle explicaciones. También estoy considerando la posibilidad de presentar una denuncia. Estudiaré todas las opciones, pero, como dirigente político, debo mantener la cabeza fría. Una cosa es segura: no voy a dejar pasar esto”.

Un disidente en el exilio

Vietnam también intentó hackear a varios opositores. Uno de ellos, Khoa Le Trung, regenta una tienda de cámaras de vigilancia, situada en un callejón del Dong Xuan Center de Berlín, el mayor mercado asiático de Alemania. Khoa Le Trung, que también es periodista, presenta el sitio de noticias Thoibao.de, uno de los mayores medios de comunicación de la oposición vietnamita, que tiene 20 millones de visitas al mes.

Vietnam lo considera un enemigo del Estado. Su despacho está protegido por una puerta blindada. Recibe regularmente amenazas de muerte, por teléfono y en la vida real. “Hay gente que viene directamente a mi despacho y me dice: 'No sigas con tus reportajes porque no te conviene”. Asegura a EIC que no pinchó el enlace de la infección Predator que la cuenta @Joseph_Gordon16 le envió el 9 de febrero, respondiendo a un tuit de Thoibao.de.

Pero este ataque le preocupa mucho, porque emplea a 12 personas que viven en varios países y que firman sus artículos con seudónimos. Si las autoridades vietnamitas tuvieran acceso a su teléfono, “eso pondría en peligro la vida” de sus empleados y de algunos de sus contactos, dice Le Trung.

Khoa Le Trung está indignado por haber sido blanco de programas espía diseñados y comercializados por empresas europeas y afirma que Europa debería reforzar los controles a la exportación. “No se pueden vender sin más [tecnologías de vigilancia] a países como Vietnam”, zanja.

Congresistas estadounidenses y Taiwán

Vietnam incluso se arriesgó a atacar a tres senadores estadounidenses y a un miembro de la Cámara de Representantes, dos de ellos muy influyentes: el senador demócrata Chris Murphy, miembro del Comité de Relaciones Exteriores y presidente de su subcomité sobre Oriente Próximo y Asia, y el republicano Michael McCaul, presidente del Comité de Asuntos Exteriores de la Cámara de Representantes.

Contactados por nuestro socio en los Predator Files The Washington Post , los portavoces de estos dos congresistas indicaron que no creían haber pinchado en las URL de la infección.

Estos ataques se producen en un momento en que las relaciones entre Vietnam y Estados Unidos están mejorando, como muestra el acuerdo de asociación estratégica firmado por el presidente Joe Biden durante su visita a Hanoi el mes pasado.

El Gobierno estadounidense, que fue informado del ataque por Google, se toma el asunto muy en serio. Una fuente de la Administración Biden asegura a The Washington Post que la decisión de incluir a Intellexa en la lista negra, anunciada el 18 de julio, ya estaba en proyecto cuando se detectó la ofensiva atribuida a Vietnam en primavera, pero el ataque reforzó esta decisión.

Los congresistas estadounidenses no fueron atacados directamente por la cuenta @Joseph_Gordon16, sino a través de respuestas a tuits donde se les citaba. Dos de ellos formaron parte de una ofensiva dirigida contra Taiwán. El 13 de abril, @Joseph_Gordon16 respondió a un tuit de la presidenta taiwanesa, Tsai Ing-Wen, que daba la bienvenida al senador John Hoeven. Como consecuencia, ambos recibieron un tuit malicioso que contenía un artículo falso, muy bien imitado, del South China Morning Post, un famoso diario de Hong Kong.

Lo mismo le ocurrió al miembro de la Cámara de Representantes estadounidense Michael McCaul, atacado al día siguiente en respuesta a un tuit publicado por la cuenta del Ministerio de Asuntos Exteriores de Taiwán. Tsai Ing-Wen fue también el blanco personal, esta vez en solitario, de otro tuit malicioso el 21 de mayo. La presidencia taiwanesa no ha respondido a los intentos de EIC de contactar con ella.

Más allá de Taiwán, @Joseph_Gordon16 atacó a académicos, expertos y periodistas especializados en la geopolítica del Mar de China, una zona de tensión en la que China, Vietnam, Filipinas y Taiwán se disputan la soberanía de varios archipiélagos insulares. Por ejemplo, @Joseph_Gordon16 apuntó a la cuenta de CNN Filipinas, así como a tres periodistas de la famosa cadena de noticias estadounidense: dos reporteros afincados en Taiwán y Jim Sciutto, que es a la vez presentador y analista principal de temas relacionados con la seguridad nacional. Otros periodistas con base en la región también han sido blanco del Predator vietnamita.

Un ataque masivo y torpe

Las motivaciones de otros ataques son más misteriosas. Es el caso de la exembajadora de Alemania en Estados Unidos, Emily Haber, que dejó su puesto el pasado mes de junio y no quiso responder a EIC “por razones de seguridad”. Tampoco está claro por qué Vietnam intentó infectar la cuenta de Twitter en inglés de France 24, que forma parte del servicio audiovisual de ultramar de Francia. El canal público de noticias fue atacado colateralmente, en respuesta a un tuit en el que se le citaba. La dirección de France 24 no ha querido reaccionar antes de la publicación de los Predator Files.

Los expertos entrevistados por EIC están sorprendidos por el modo de operar del atacante. Los hackeos a través de Twitter son poco frecuentes –el último detectado se remonta a 2015 en Kenia–, porque tienen dos grandes inconvenientes.

El primero es la imprecisión: las respuestas a un tuit se dirigen principalmente a su autor, pero también pueden interesar, y por tanto infectar, a las personas que siguen al objetivo principal. Y es aún peor cuando el ataque se dirige a la cuenta de una institución como la Comisión Europea, que emplea a más de 30.000 funcionarios, aunque Intellexa disponga de herramientas técnicas para focalizar las infecciones y limitar los daños colaterales.

Para empezar, los tuits son públicos y, por tanto, descubribles. Por eso, normalmente, los ataques se realizan de forma discreta y personalizada, a través de mensajes enviados por SMS o WhatsApp. A John Scott-Railton, investigador de Citizen Lab, le sorprendió la audacia del ataque público, pero también su torpeza. “Alguien va a ser despedido por esto”, advirtió a preguntas de EIC. “Como cliente de Predator, [el autor del ataque] está claramente en el proceso de aprender de una manera dolorosa; explotar [vulnerabilidades] a través de Twitter es una pésima idea. El hecho de que eso ocurra demuestra que Predator sigue recurriendo a operadores imprudentes”.

El resultado es efectivamente catastrófico, ya que la operación ha sido detectada e Intellexa está en proceso de cerrar urgentemente una parte significativa de los servidores informáticos utilizados para llevar a cabo las infecciones.

Rastreando y analizando esta infraestructura técnica, Amnistía ha podido identificar nuevos países que probablemente utilizan Predator: entre ellos Kazajstán, Sudán, Mongolia y Angola. Es decir, cuatro regímenes autoritarios más.

Para Donncha O'Cearbhaill, director del Laboratorio de Seguridad de Amnistía, “este caso demuestra que el régimen regulador de la UE no está impidiendo que se desarrollen, financien y exporten desde Europa potentes programas espía a gobiernos con un historial de abuso de las herramientas de cibervigilancia para espiar a disidentes, políticos o activistas inocentes”.

Un grupo franco-israelí vendió software espía a dictaduras con la complicidad europea

Un grupo franco-israelí vendió software espía a dictaduras con la complicidad europea

El caso de Vietnam es paradigmático. Una potencia extranjera, con un régimen dictatorial, intentó espiar a ciudadanos y altos cargos de las instituciones europeas con un software vendido... por una empresa europea.

--------------------------------------------------------------

#PredatorFiles se basa en documentos confidenciales obtenidos por Mediapart y Der Spiegel, y está siendo publicado por medios asociados a European Investigative Collaborations (EIC): NRC, Politiken, Expresso, Le Soir, De Standaard, VG, infolibre y Domani en colaboración con Shomrim (Israel), Die Wochenzeitung (Suiza), Reporters United (Grecia), Daraj Media (Líbano) y The Washington Post (EEUU).

Más sobre este tema
stats