Espionaje
Mollitiam Industries: el Pegasus español que depreda la libertad de prensa en Colombia y medra con dinero público

Pegasus, el software israelí utilizado para vigilar a miembros del Gobierno y líderes independentistas, no es el único disponible en el lucrativo mercado del ciberespionaje. De hecho, altos cargos del Estado profundo —los cuerpos de policía y el servicio de inteligencia— han utilizado una tecnología similar para sus propios fines, aunque fabricada por una empresa española.

Esta es la historia de Mollitiam Industries, uno de los 20 depredadores de la libertad de prensa que utilizan tecnologías de vigilancia, según la lista de Reporteros sin Fronteras (RsF). Esta organización ha acusado a la firma española nacida en Toledo de haber vendido programas de vigilancia al ejército colombiano para que llevara a cabo prácticas de espionaje ilegales. De hecho, aquello fue un escándalo con repercusiones aún más graves que el Catalangate, en palabras de Citizen Lab, pues provocó las dimisiones de altos cargos militares en Colombia antes de que se conociera el escándalo.

‘Chuzadas’, Iván Duque y un software de espionaje español

Pocos días antes de que acabara 2019, el 27 de diciembre, el presidente colombiano Iván Duque anunció ante la prensa que el comandante del Ejército Nicacio de Jesús Martínez debía abandonar su cargo en la institución por razones familiares. Apenas tres semanas después, una investigación de la revista Semana indicaba que detrás de esta decisión existían otros motivos de peso: el alto oficial habría salido por un escándalo de ‘chuzadas’ (espionaje) ilegales que había estallado desde batallones de ciberinteligencia, pertenecientes a las brigadas de inteligencia y contrainteligencia militar.

Ocurrió gracias a una herramienta destinada a interceptar correos, llamadas y mensajes de texto, y WhatsApp. Según El Espectactor, estas habrían sido usadas para monitorear al senador Roy Barreras, al exgobernador de Nariño Camilo Romero y a la magistrada Cristina Lombana. Otros blancos fueron Alejandro Santos, director de la revista Semana, y algunos de sus reporteros que publicaron artículos sobre crímenes cometidos por militares. En los pliegos de contratación, además, quedó establecido que los programas maliciosos debían tener la capacidad de ejecutarse sin que el antivirus detecte su acción y debían ser “invisibles” para el 90% de los sistemas de seguridad, y así infiltrarse con facilidad en su blanco.

De acuerdo con la documentación revelada por la revista, este software tiene un valor menor a los 3.000 millones de pesos (700.000 euros), y se trata de un producto llamado Invisible Man vendido al ejército colombiano por una empresa española llamada Mollitiam Industries, creada en Toledo allá por 2018. Invisible Man y Night Crawler son los productos más importantes de la firma, nacida como una unidad ciberofensiva de propiedad conjunta de la consultora de ingeniería In-Nova y la empresa de ciberseguridad StackOverflow Ltd.

La empresa de ciberespionaje, que no aparece en el sistema de proveedores del Estado colombiano, se presenta a sí misma como una compañía de ciberinteligencia cuyo objetivo es “dotar a instituciones gubernamentales de información relevante necesaria para la toma de decisiones ante el nuevo contexto de vulnerabilidades, amenazas y ataques originados y potenciados desde el ámbito de las redes y el entorno de las comunicaciones”.

Estas tecnologías siguieron aplicándose en Colombia después del escándalo para espiar incluso a coroneles, generales y comandantes de otras fuerzas

Y estas tecnologías siguieron aplicándose en Colombia después del escándalo para espiar incluso a coroneles, generales y comandantes de otras fuerzas. El 21 de julio de 2021, la Policía de Colombia adjudicó un contrato de ciberinteligencia para perfilar a usuarios de redes sociales por 4.291 millones de pesos (más de 920.000 euros) a la Unión Temporal Phoenix, un conjunto de empresas donde está la empresa que fue utilizada por el Ejército para espiar a políticos, periodistas y activistas en 2019. Según los pliegos del contrato, el software que debe desarrollar esta empresa debe permitir monitorizar redes como Facebook, Telegram, Twitter, Instagram y perfilar las cuentas más influenciadoras o con mayor interacción, facilitando su geolocalización o ubicación.

La internalización de Mollitiam

Las soluciones de software de Mollitiam han sido utilizadas en operaciones de ciberinteligencia por cuerpos y fuerzas de seguridad del Estado, agencias de inteligencia y grandes empresas en diferentes regiones a nivel mundial. De un lado, ha entrado en el Golfo Pérsico y conseguido varios contratos con Dubai, un país que también empleó el programa Pegasus hasta para espiar a la princesa Latifa.

Aunque no se conocen todos sus clientes, la agencia de inteligencia y la unidad de comando del ciberespacio de España trabajan con la empresa y funcionarios en Brasil y Perú, quienes también han comprado sus productos. De hecho, Mollitiam es parte de las delegaciones industriales nacionales que viajan con cargos del Estado a las reuniones con el Ejército de Tierra de este último país. A su vez, El Espectador ha informado de otras relaciones con gobiernos de América Latina. Por ejemplo, existen contratos con Ecuador, firmados poco después de que Lenín Moreno llegara al poder.

Mollitiam Industries reconoce en su página web que debe obtener una autorización del gobierno español para exportar algunos de sus productos y afirma tener prohibido vender su tecnología a países que enfrentan sanciones de la UE. No obstante, tras ser preguntados por este medio, ni la empresa ni el Ministerio de Defensa han querido pronunciarse sobre una cuestión crucial: como ocurrió en Israel con Pegasus, las licencias para la exportación de programas espía han sido una carta fundamental en las estrategias de seguridad nacional.

En cualquier caso, como afirman los expertos consultados por la revista Wired, las regulaciones existentes no hacen lo suficiente para proteger los derechos humanos. “Las autoridades españolas ahora deben asegurarse de bloquear las exportaciones de tecnología de vigilancia y garantizar que el público tenga acceso a la información que detalle cuáles han sido aprobadas y dónde”, decía Edin Omanovic, director de defensa de Privacy International. Una recomendación que el Gobierno español no ha seguido.

Monitorización en las redes de la Guardia Civil

A finales del pasado año, la empresa española presentó una demostración sobre la “última tecnología utilizada para controlar de manera invisible objetivos específicos”. Y lo hizo en una conferencia cuyo patrocinador principal es NSO Group, la empresa que provee el software Pegasus. Poco después, uno de los miembros de esta empresa apareció en los micrófonos de COPE para explicar cómo sus tecnologías están contribuyendo a la modernización de la administración pública.

Ahora bien, no mencionó ninguno de los contratos públicos firmados por Mollitiam Industries con la Administración pública, ni mucho menos cuáles son sus objetivos, pues no se detallan en las licitaciones públicas. De acuerdo a los datos a los que ha tenido acceso El Salto, esta firma de inteligencia vendió una “herramienta de monitorización de redes sociales” a la Jefatura de Asuntos Económicos de la Guardia Civil por un valor de 18.089,50 euros (con IVA) en septiembre de 2020. A este respeto, Mollitiam comercializa una herramienta que, según afirma, permite la “vigilancia masiva de perfiles e identidades digitales” en las redes sociales y la web oscura.

De acuerdo a los datos a los que ha tenido acceso El Salto, esta firma de inteligencia vendió una herramienta de monitorización de redes sociales a la Jefatura de Asuntos Económicos de la Guardia Civil en septiembre de 2020 y otra de monitorización de terminales móviles a la UCO en 2021

Apenas un año después, el 29 de diciembre de 2021, se firmó un contrato de una cuantía mucho mayor, 302.500 euros, con el mismo órgano de contratación para la adquisición de un “sistema de monitorización remota de comunicaciones de terminales móviles”. El destinatario fue la Unidad Central Operativa (UCO) de la Jefatura de Policía Judicial de la Guardia Civil. Esta licitación se enmarca en un proyecto de la Oficina Europea de Lucha contra el Fraude (OLAF, por sus siglas en inglés) denominado Gran Agreement 831528 – Gradiuntur, que tiene como objetivo “luchar contra las redes del crimen organizado que operan en Europa”, según aparece en el texto de la licitación. 

¿Es el objetivo de estos contratos simplemente vigilar a contrabandistas de tabaco y desarrollar herramientas para detectar el aumento de bandas que fabrican cigarrillos ilegales, como se ha informado sobre las dotaciones tecnológicas de la Guardia Civil? ¿Pueden servir esas tecnología para extender la vigilancia hacia la sociedad civil, movimientos sociales o líderes políticos? ¿Qué tipo de cuentas y contenido trata de monitorizar la Guardia Civil en las redes sociales? Ciertamente, no existen respuestas a estas preguntas, solo conocemos que el Estado ha financiado a una empresa acusada de desarrollar tecnologías de espionaje en Colombia después de conocerse que ello se realizó de manera irregular. Hasta el periódico francés Le Monde reconoce que la firma ofrece soluciones que facilitan la vigilancia y la recopilación de información desde teléfonos celulares, ordenadores de sobremesa y otros dispositivos.

Dentro del sector se la reconoce como una de las empresas más prometedoras dado su historial. Así lo atestigua su presencia en el famoso evento ISS World Middle East Fair 2021, un sarao donde se reúnen los profesionales de las fuerzas del orden, las agencias gubernamentales de inteligencia y la seguridad nacional de todo el mundo para firmar contratos cibernéticos. También se ha hecho un nombre en estas ferias debido a sus buenas relaciones con el Estado español, pues se ha publicado que presta servicio al Centro Nacional de Inteligencia (CNI) español y al Mando Conjunto de Ciberdefensa (MCCD) en lo que respecta a software espía muy adaptable a los sistemas operativos Windows, MacOS y Android.

El espionaje como política industrial

El dinero público que ha recibido Mollitiam Industries es difícil de estimar con exactitud, pues muchas partidas son ocultas o no aparecen lo suficiente desagregadas en los documentos. Ahora bien, después de que se conociera el escándalo en Colombia y la declaración del Reporteros sin Fronteras, sabemos que el CDTI destinó más de 2,2 millones euros a cinco nuevas coinversiones en capital riesgo. Ocurrió en mayo de 2021 a través del programa Innvierte, que forma parte de la Estrategia Española de Ciencia y tiene como objetivo impulsar empresas de base tecnológica o innovadoras, uno de los pilares.

Una de esas cinco fue Mollitiam Industries, quien recibió una aportación conjunta de 450.000 euros entre el CDTI y Easo Ventures, un vehículo de inversión que cuenta con el apoyo económico del Gobierno Vasco, la Diputación de Gipuzkoa y el Gobierno de Navarra a través de Sodena. 

El CDTI y Easo Ventures destinaron 450.000 euros en 2021 Mollitiam Industries

Por otro lado, Innvierte destinó otros 599.956 euros en 2020 a un consorcio en el que participaba la firma de ciberinteligencia, junto a Vodafone y otras empresas, con el objetivo de “hacer frente a ciberataques de entornos conectados de alta criticidad, tales como la Industria 4.0, las Smart Cities o las Infraestructuras críticas”. Mollitiam Industries también recibió dinero del programa Innvierte en 2019, aunque no es posible conocer la cuantía. Esto es, el ciberespionaje parece emerger como una de las patas de la política industrial en el Estado español en la era digital.

Mollitiam reconoce en su página web haber participado en hasta ocho proyectos de investigación y desarrollo (R&D, según sus siglas en inglés) con las administraciones públicas españolas: Phoenix, una plataforma para obtener datos abiertos de fuentes de investigación, cinco planes individuales financiados conjuntamente entre el Gobierno de Castilla-La Mancha y la Unión Europea, así como un programa con la Cámara de Comercio española y la Comunidad de Madrid.

De nuevo, las cuantías de estos partenariados no son siempre públicas, pero sabemos que Castilla-La Mancha le entregó dos subvenciones de 36.230,63 y 137.016 euros en 2019. Por otro lado, la ayuda acumulada procedente del Ministerio de Hacienda que esta firma española recibió en 2019 asciende a 242.211,69 euros. Las webs prensa especializadas que han seguido el caso, como Intelligence Online, también ha informado de que Mollitiam Industries está trabajando en un proyecto de “Vigilancia masiva de perfiles digitales” estimado en 650.000 euros, parcialmente financiado por el Fondo de Desarrollo Regional de la Unión Europea.

La organización Brigadas Internacionales de Paz, nominada al premio Nobel en 2001, considera “sumamente grave” este hecho y afirma que, “a pesar de que durante años se ha insistido en la eliminación del concepto de ‘enemigo interno’ de la doctrina nacional, los organismos de inteligencia militar continúen utilizando fondos públicos e internacionales para perfilar y perseguir a defensores de derechos humanos, periodistas y a la oposición política, aparentemente sin control ni consecuencias reales por sus acciones”.

Escribía Philip Mirowski, uno de los grandes teóricos del neoliberalismo, que “los mercados no producen libertad sino control social”. La guerra de Ucrania ha llevado esta máxima hasta su último exponente, provocando un aumento del gasto militar y el interés en España de muchas empresas extranjeras de vigilancia. La firma de seguridad Palantir, polémica por sus contratos con la CIA y el Pentágono, anunció recientemente que abrirá una oficina en este país y comenzará la contratación de expertos para su sede española. Ahora bien, puede que ya tengamos una firma como Palantir en España. O como NSO Group, la empresa detrás de Pegasus. Puede, también, que esté siendo el Estado, sumido en una grave crisis de legitimidad por la profundidad de sus cloacas, quien esté financiado las tecnologías de vigilancia que —en un hipotético triunfo de la ultraderecha— se vuelvan en su contra. De lo que no cabe duda es de que esta tecnología se usa en otros países con el amparo de las autoridades españolas.