Francia adjudicó a Nexa contratos por 11 millones de euros pese a ser investigada por sus ventas a dictaduras
Eran las 15.22 horas del 7 de junio de 2021 cuando un taxi recogió a Olivier Bohbot a la salida de su cita. El número dos del grupo francés Nexa, especializado en equipos de espionaje y vigilancia, ha dado como dirección al taxista el bulevar Mortier, en el distrito 20 de París. Justo enfrente de la sede de la Direction Générale de la Sécurité Extérieure (DGSE).
Que el prestigioso servicio de inteligencia exterior francés reciba a uno de sus proveedores, fabricante de tecnologías sensibles, es perfectamente normal. Pero que siga haciendo negocios con Nexa es, cuanto menos, sorprendente.
Desde 2011, la empresa, antes conocida como Amesys, es objeto de una investigación judicial por haber vendido a Libia, bajo el dictador Gadafi, un sistema de vigilancia por internet que permitía espiar y seguir a los opositores al régimen. En 2017 se abrió una segunda investigación por los mismos motivos, relativa a la venta del mismo sistema a Egipto, pocos meses después del golpe de Estado del mariscal al-Sisi.
El 15 de junio de 2021, una semana después de su reunión en la sede de la DGSE, Olivier Bohbot y otros ejecutivos de Nexa fueron detenidos por gendarmes de la Oficina Central de Lucha contra los Crímenes contra la Humanidad y los Crímenes de Odio. Al mismo tiempo, un juez de instrucción dictó varios autos de procesamiento por complicidad en torturas. Los directivos de Nexa niegan los cargos que se les imputan.
Éste es uno de los aspectos más sorprendentes del asunto: a pesar de las fuertes sospechas de violaciones de los derechos humanos, la DGSE, y en general el Estado francés, ha mantenido su apoyo a Nexa, que entre 2014 y 2021 se benefició de al menos 11 millones de euros en contratos con varios servicios de inteligencia y con los ministerios del Interior, Justicia y Defensa. Éstas son las conclusiones de la investigación Predator Files, basada en documentos confidenciales obtenidos por Mediapart y Der Spiegel y compartidos con la red de medios EIC, a la que pertenece infoLibre, que en esta ocasión ha trabajado con Shomrim (Israel), Die Wochenzeitung (Suiza), Reporters United (Grecia), Domani (Italia), Daraj Media (Líbano) y The Washington Post (EEUU), así como con el apoyo del Security Lab de Amnistía Internacional.
Nexa, que entonces se llamaba Amesys, estaba en contacto “todo el tiempo” con el servicio de inteligencia de entonces, “porque Amesys es uno de los principales proveedores de la DGSE”, declaró el antiguo presidente de la empresa, Philippe Vannier.
A partir de 2006, a petición del dictador libio Muamar Gadafi y con el beneplácito del presidente Nicolas Sarkozy, Amesys desarrolló el software Eagle, el primer sistema capaz de vigilar internet a escala de todo un país. Según las informaciones a las que ha tenido acceso EIC, la DGSE seguía muy de cerca esta proeza tecnológica y el contrato libio.
Varios testigos declaran que fue la DGSE, a través de su propio director técnico, Bernard Barbier, quien pidió a Qosmos, otra empresa francesa, que colaborara con Amesys para proporcionarle una sonda de interceptación del tráfico de internet, necesaria para que Eagle funcionara correctamente.
Un agente de la DGSE declaró al juez instructor que, cuando estalló una disputa comercial entre Amesys y Qosmos, su departamento le pidió, “extraoficialmente”, que llevara a cabo una “mediación” para reconciliar a las dos empresas.
La DGSE se negó a responder a las preguntas de Mediapart. Stéphane Salies y Olivier Bohbot, directores y accionistas mayoritarios de Nexa, aseguraron que era “normal” en su actividad comercial “tener contactos con las autoridades”, pero declinaron hacer más comentarios.
Colaboración en Libia
Estas buenas relaciones vienen de lejos. En un folleto comercial, los dos directores de Nexa se describían a sí mismos como poseedores de “más de 20 años de experiencia en la venta de soluciones [...] a la DGSE”. Varios empleados confirmaron a la policía que el director general del grupo, Stéphane Salies, tenía estrechos vínculos con el servicio, así como con Bernard Barbier, director técnico de la DGSE de 2006 a 2013. Contactado por Mediapart, éste no ha contestado a sus preguntas.
Dos antiguos empleados de Amesys declararon a la policía que Eagle estaba equipado con una puerta trasera que permitía a Amesys acceder al software sin que su cliente libio lo supiera. Como reveló Intelligence Online, uno de los dirigentes del grupo, Renaud Roques, fue aún más lejos y explicó ante el juez de instrucción que esa puerta trasera había sido “diseñada por la DGSE”, para que los servicios secretos pudieran “conectarse de forma discreta e indetectable al sistema libio” y “acceder a la lista de objetivos” del espionaje.
Con la esperanza de que se confirmara su versión, Renaud Roques exigió, y consiguió, que tres ingenieros de la DGSE en funciones en aquel momento fueran entrevistados de forma anónima por el juez. Pero éstos se negaron a comentar la existencia de esta posible “puerta trasera”, ya que el tema está “clasificado como secreto de defensa”. Sin embargo, uno de los agentes secretos alabó el diálogo “constante y de calidad” con Amesys sobre Libia: “La empresa respondía a nuestras preguntas y nos mantenía al corriente de la evolución del contrato”.
Mediapart ha podido identificar a los antiguos funcionarios de la DGSE que fueron entrevistados anónimamente por el juez. Dos de ellos pasaron a trabajar para la Agencia Nacional Francesa de Seguridad de los Sistemas de Información (ANSSI), encargada de proteger a los organismos públicos y a las empresas contra los ciberataques. A partir de la década de 2010, ocuparon allí puestos de alto rango.
Un documento incautado durante el registro confirma el papel desempeñado por estos dos agentes de la DGSE en el contrato libio. El documento es un registro manuscrito de una reunión que mantuvieron con ejecutivos de Amesys en el “MinDef” el 15 de enero de 2007. Según el documento, hablaron del “producto Eagle”, así como de las instrucciones de seguridad destinadas a evitar filtraciones: “Limitar al mínimo el número de personas en el bucle", “tener cuidado con las fuentes y el acceso a las fuentes”.
A partir de marzo de 2011, tras la intervención militar occidental que condujo al derrocamiento y muerte de Gadafi, cundió el pánico. Nicolas Deckmyn, un joven ingeniero de Amesys en aquella época, relató cómo fue “convocado” urgentemente por la DGSE para que facilitara las coordenadas de los lugares donde estaba instalado el sistema Eagle. “Creo que era para intervenir, para bombardear los tres emplazamientos”, dijo a los gendarmes. Para no dejar rastro de la ayuda de Francia al dictador libio.
Uno de los edificios fue completamente arrasado y los otros dos fueron limpiados, sin que se sepa por quién. En agosto de 2011, cuando dos periodistas de The Wall Street Journal visitaron uno de los centros y revelaron la existencia del sistema Eagle, encontraron documentos en papel, pero los servidores informáticos habían desaparecido.
Tras el escándalo y la apertura de una primera investigación judicial sobre el contrato libio, Stéphane Salies, uno de los altos ejecutivos de Amesys, compró la tecnología Eagle, la rebautizó como Cerebro y la alojó en una nueva empresa llamada Nexa, que se hizo cargo de la mayoría de sus empleados. El objetivo: hacer olvidar el nombre de Amesys. Al mismo tiempo, creó en Dubái una empresa hermana, y discreta, llamada Advanced Middle East Systems (AMES), que tiene la enorme ventaja de poder exportar sin solicitar licencias en Francia.
Durante su detención policial, Stéphane Salies declaró que “las autoridades francesas y los servicios franceses habían sido informados [de la creación de AMES] y no habían planteado ninguna objeción. “Me refiero principalmente a la DGSE”, precisó. “¿Tenía la DGSE alguna petición?”, preguntó el gendarme. “Sí, pero no puedo revelarlas, porque es clasificado”.
Se desconoce si la DGSE aprobó extraoficialmente el hecho de que Nexa pudiera exportar desde Dubái, eludiendo a las autoridades francesas. Sin embargo, un documento encontrado durante los registros policiales muestra que el Ministerio de Economía, encargado de expedir las licencias de exportación, fue informado de la creación de AMES y no se opuso.
Interrogada como testigo, Rachida H., responsable administrativa de Nexa, declaró que, tras el asunto libio, “resultó difícil restablecer la confianza con los servicios de inteligencia”. La investigación judicial ha demostrado, por el contrario, que las relaciones se caldearon con rapidez. Un documento interno de 2014 indica que Nexa tenía entonces un contrato por valor de “10 millones de euros al año” para suministrar a la DGSE IMSI catchers, los dispositivos que interceptan las comunicaciones móviles en un radio de unos cientos de metros. Sin embargo, el contrato parece haberse interrumpido, ya que EIC no ha encontrado ningún pago por este importe.
En diciembre de 2020, Renaud Roques se mostró preocupado en un grupo de discusión interno: “Hola, ¿alguno de vosotros tiene acceso a la cuenta de Nexa [en Société Générale] para ver si hemos recibido una transferencia de 200k de la DGSE? Me gustaría estar seguro antes de seguir [...] más tarde hoy. El número dos de Nexa, Olivier Bohbot, le remitió a otro empleado para que comprobara si efectivamente se habían pagado los 200.000 euros. Por lo que ha podido averiguar EIC, la investigación judicial no ha determinado qué se pagó a cambio de esta elevada suma.
Ayuda a la exportación
Los agentes secretos franceses también ayudaron a Nexa a exportar: un documento de 2014 enumera campañas de ventas en India, Mali, Mauritania y Senegal, realizadas con el “apoyo de los servicios franceses”. Y cuando la DGSE pareció dar una “opinión” negativa sobre la venta del sistema de interceptación masiva de internet Cerebro a los servicios secretos paquistaníes, Renaud Roques, número tres de Nexa, escribió en su cuaderno que tenía que “indagar para encontrar la razón”. Este cuaderno de notas manuscritas, fechado en 2015 y 2016, menciona también una reunión con un agente de la DGSE cuyo seudónimo era Clovis, para recomendarle un sistema de radio fabricado por el grupo alemán Plath, accionista al 30% de Nexa.
Casualmente, Nexa tuvo que tratar de nuevo con uno de los antiguos agentes de la DGSE que había supervisado el contrato con la Libia de Gadafi cuando ya estaba en la ANSSI. Esta agencia es la encargada de expedir las autorizaciones a las empresas para importar y vender material de vigilancia en territorio francés. Los gendarmes encontraron una lista de 29 productos de Nexa que habían recibido autorización de la ANSSI en aquella época. Además del software Cerebro, se trataba de un potente sistema israelí de infección telefónica, otro de interceptación en la nube, un tercero de interceptación de “flujo de satélites” y varios tipos de IMSI catchers.
En un breve informe, los gendarmes consideran que Nexa ha minimizado las capacidades reales de sus productos en las solicitudes de licencia enviadas a varios organismos de control: “La descripción es diferente de lo que aparece en los contratos y folletos de venta”. Citan como ejemplo una solicitud de autorización enviada a la ANSSI en 2017 sobre una sonda, conectada a Cerebro, que captura el tráfico de internet. “En ningún momento se menciona la capacidad máxima y las funciones ilimitadas de esta tecnología”, escriben.
El alto funcionario de la ANSSI que validó y firmó la autorización estaba, sin embargo, muy familiarizado con las capacidades del producto desplegado en Libia: fue uno de los tres ingenieros de la DGSE que estuvieron en contacto con la empresa sobre este asunto y que finalmente fueron oídos por los tribunales.
EIC se ha puesto en contacto con este ingeniero, quien respondió que no podía comentar nada que caiga bajo la protección de los secretos de la defensa nacional. Sin embargo, señaló que la ANSSI no era responsable de las licencias de exportación y que siempre especificaba las “limitaciones” aplicables a las ventas en Francia: “Las soluciones de interceptación como las que usted menciona están limitadas sistemáticamente a los ‘servicios autorizados”, es decir, a los servicios secretos.
Pero la DGSE no es la única agencia gubernamental que utiliza los servicios de Nexa. Un documento interno de 2014 indica que la compañía francesa tenía entonces otros tres contratos sensibles, cuya naturaleza no se especifica: uno “pequeño” con el Ministerio del Interior, uno “mediano” con la Dirección de Inteligencia Militar (DRM) y otro por valor de dos millones de euros con la Dirección General de Armamento (DGA).
Además, la agenda de Renaud Roques incluye una reunión con el comisario responsable de la dirección técnica de la DGSI –la inteligencia interior–, una visita del ministro del Interior a los locales de Nexa y una presentación de producto a una delegación del GIGN, el grupo de intervención de élite de la gendarmería.
La luna de miel con los servicios de inteligencia continuó mucho después de los primeros problemas legales de la empresa. En junio de 2021, cuando Nexa fue registrada, nueve de sus empleados aún seguían autorizados por el Ministerio de defensa a acceder a información clasificada como “confidencial de defensa” hasta 2025 o 2027, entre ellos Renaud Roques y el director general Stéphane Salies.
Códigos muy dulces
Incluso en sus documentos internos Nexa cultiva el secreto sobre sus contratos, designados con códigos, la mayoría de los cuales se refieren a dulces. Los contratos franceses se llaman Cachou –una marca de caramelos–, Paris-Brest –un pastel– o Calisson –un dulce tradicional– [los españoles llevan la etiqueta Turrón].
Entre los contratos firmados con el Estado francés entre 2014 y 2020, hay uno de 2016 por importe de 180.000 euros a cambio de un descodificador y un programa informático para el Groupement Interministériel de Contrôle (GIC), el organismo que gestiona las escuchas y vigilancias “administrativas” realizadas por los servicios secretos al margen de procedimientos judiciales.
En 2018, Nexa firmó un contrato de 219.000 euros con la Dirección de Inteligencia Militar, y otro de dos millones en 2020, bautizado como MilleFeuille –Milhojas–, con el Ministerio de Defensa, para sistemas de interceptación de comunicaciones móviles de tipo IMSI catcher. Uno de los componentes del proyecto, el “estudio mochila”, tenía como claro objetivo diseñar un dispositivo discreto que cupiera en una mochila.
En otros casos, no especifica la naturaleza del contrato, como el proyecto Papillon con el Ministerio de Justicia, por valor de 2,8 millones de euros.
A través de su filial Elektron –vendida en diciembre de 2021, Nexa también fue muy activa en el ámbito de las escuchas telefónicas, a pesar del lanzamiento de un sistema único, PNIJ, que se confió a Thales a partir de 2017. Sin embargo, debido a problemas técnicos, varios departamentos interregionales de investigación criminal siguen utilizando el sistema de Nexa. En junio de 2021, el dueño de la empresa se felicitó por teléfono por un reciente pago de 500.000 euros recibido del ministerio por este concepto.
En julio de 2018, Nexa obtuvo un nuevo contrato con el Ministerio del Interior, denominado Pimousse –otra marca de caramelos–, por un sistema que se utiliza para complementar las escuchas telefónicas tradicionales: permite capturar, no sólo mensajes de voz y de texto, sino también datos de internet y geolocalización, según explicó un ingeniero de Nexa a los gendarmes.
Nexa también ha vendido un módulo de software llamado Jasmine, que puede identificar con quién habla una persona y la fecha de los intercambios –pero no su contenido–, incluso cuando el objetivo utiliza aplicaciones cifradas como Signal, WhatsApp o Telegram. “Este módulo [...] se utiliza para la interceptación judicial en Francia”, declaró a la policía el jefe de Nexa.
18 contratos por 10 millones de euros más
Un grupo franco-israelí vendió software espía a dictaduras con la complicidad europea
Ver más
Un documento fechado en enero de 2021, en el que se enumeran las campañas de ventas en curso, muestra que Francia era un mercado prioritario: Nexa estaba en la carrera para intentar conseguir 18 contratos diferentes con ministerios o servicios de inteligencia, por un valor total de 10 millones de euros. Los principales incluían la ampliación del proyecto MilleFeuille con el Ministerio de Defensa por más de tres millones de euros y un sistema de escucha de teléfonos móviles con la DGSE por 400.000 euros.
Contactados por Mediapart para preguntarles por estos contratos, la DGSE y el Ministerio de Defensa se han negado a responder. El Ministerio del Interior tampoco ha contestado. El Ministerio de Justicia ha confirmado que utiliza Elektron para las escuchas telefónicas. Sin embargo, afirma que “nunca ha adjudicado un contrato a Nexa y nunca ha tenido ningún vínculo con esta empresa”.
Mientras suministraba a ministerios y a los servicios de inteligencia franceses, Nexa seguía exportando sus sistemas de vigilancia altamente intrusivos, incluido software de pirateo telefónico, a regímenes autoritarios. Como en los buenos tiempos del coronel Gadafi. Interrogado al respecto por el juez de instrucción, uno de los antiguos agentes de la DGSE confesó finalmente: “Estamos ante el problema habitual de la venta de armas, y sabemos muy bien que todo esto no puede ser siempre angelical”. En efecto.
