Esta investigación es una traducción de la publicada por Expresso, a la que puedes acceder a través de este enlace. Expresso, como infoLibre, pertenecen a la alianza de medios European Collaborative Investigations (EIC), que en octubre de 2023 coordinó la investigación transnacional Predator Files, de la que ambos medios formaron parte.
Teixeira Cândido, periodista y jurista conocido por sus firmes posiciones en defensa de la libertad de prensa y por denunciar ataques contra colegas de profesión, fue identificado por el Laboratorio de Seguridad de Amnistía Internacional como la primera víctima conocida de Predator en Angola. La infección con este software espía (spyware) se produjo en mayo de 2024, cuando Cândido estaba finalizando nueve años de mandato al frente del Sindicato de Periodistas Angoleños. El sindicato fue fundado en 1992 y en 2024 contaba con 3.000 miembros.
“Después de enterarme de la infección de mi teléfono, me siento literalmente como si me estuviera duchando con la puerta abierta”, confiesa Teixeira Cândido a Expresso, medio portugués. “No sé cuál es la consecuencia de esa infección ni qué habrán extraído del móvil. Pero tampoco puedo decir que me sienta seguro”.
Una vez instalado en el teléfono, Predator tiene acceso al contenido de todas las aplicaciones de mensajería encriptada, incluyendo WhatsApp y Signal, a los correos electrónicos, a las grabaciones de audio, a los vídeos y fotografías, a las contraseñas almacenadas, al registro de llamadas, a todos los contactos y a la geolocalización del dispositivo. Además, puede activar la cámara y el micrófono sin ser advertido, transformando el teléfono en un aparato de escucha y videovigilancia para el cliente que lo adquirió a Intellexa, el consorcio europeo que desarrolla y produce este software.
En octubre de 2023, Expresso reveló, en la investigación Predator Files, del consorcio EIC (European Investigative Collaborations —del que tanto Expresso como infoLibre forman parte— con Amnistía Internacional (AI), la creación de medio centenar de URL entre marzo y agosto de ese año para atraer a ciudadanos angoleños y llevarlos a hacer clic en páginas infectadas con Predator. En la lista de 49 direcciones electrónicas compartidas entonces por el Laboratorio de Seguridad de AI figuraban variaciones de los sitios web de SIC Noticias, de CNN Portugal y de la página de reservas de vuelos de TAP (Flytap).
Durante la investigación, Expresso encontró referencias al Gobierno angoleño como potencial cliente de Nexa, empresa francesa que forma parte del consorcio Intellexa y vende este software, incluida la mención a una reunión en junio de 2018.
Aunque no está confirmado que el spyware haya sido adquirido por el Gobierno de Angola, este consorcio solo tiene gobiernos como clientes. Confrontado en su momento por Expresso, el gabinete del presidente João Lourenço optó por no responder.
Tras el descubrimiento, se inició una colaboración entre el Laboratorio de Seguridad de Amnistía Internacional y las organizaciones sin ánimo de lucro Friends of Angola y Front Line Defenders, que desarrollaron una investigación a lo largo de 2025 sobre amenazas de vigilancia en Angola. Teixeira Cândido fue identificado como víctima del spyware en el contexto de esa colaboración.
En paralelo a esa colaboración, Amnistía Internacional se unió a los medios Inside Story, Haaretz y al WAV Research Collective para publicar en diciembre de 2025 los Intellexa Leaks, que revelaron cómo, entre otras cosas, la empresa puede acceder a los clientes de Predator de forma remota, pudiendo así saber qué operaciones de espionaje están siendo realizadas.
Infectado a través de un enlace en WhatsApp
El análisis forense de Amnistía Internacional permitió reconstruir cómo se produjo la infección con Predator. Teixeira Cândido fue contactado en WhatsApp por una persona el 29 de abril de 2024, con mensajes aparentemente normales. Días después, el 3 de mayo, ese atacante envió el primer enlace malicioso. Otros enlaces seguirían en un periodo que se prolongó durante varias semanas. Todos estaban infectados; bastaba con hacer clic en ellos para que el teléfono quedara comprometido.
Según el registro histórico del teléfono, un iPhone, el periodista acabó haciendo clic en la primera de las trampas el 4 de mayo. Era una URL asociada a un extracto en el que se leía el título “Ver Portadas de los Periódicos y Revistas - Deportes” y que supuestamente conduciría a un sitio de noticias. Y antes de eso, había un mensaje: “Permítame mostrarle un ejemplar del prototipo”.
El laboratorio detectó rastros de comunicaciones realizadas por Predator desde el teléfono de Cândido a lo largo de ese día 4 de mayo. La infección terminó siendo eliminada cuando él reinició el dispositivo esa noche. Por ello, para restablecer el contacto, el mismo atacante envió otros diez enlaces maliciosos entre el 5 de mayo y el 16 de junio. Todos sin éxito, sin embargo, porque el periodista no abrió ninguno de esos enlaces.
Una investigación realizada ese mismo año por el Insikt Group de Recorded Future, una empresa estadounidense de ciberseguridad que forma parte del grupo Mastercard, dio cuenta de señales de actividad de Predator en Angola en ese periodo. En ese informe se lee que “algunos servidores de este clúster alojaron dominios previamente vinculados a la actividad de Predator en Angola y fueron observados en cadenas de comunicación que finalmente se conectaron a una dirección IP estática de un ISP en Angola, identificada como infraestructura del cliente. Además, observamos víctimas angoleñas sospechosas de comunicarse con servidores de este clúster”.
Amnistía Internacional descubrió, entretanto, que el dominio utilizado para contener el enlace malicioso que infectó el iPhone del periodista —'exclusivo24h.com'— fue registrado en marzo de 2024, al mismo tiempo que otro de características similares —'informacao24.com'—.
Críticas y asaltos
Antes del espionaje del teléfono de Teixeira Cândido, ya había señales de que él y otros periodistas estaban siendo objeto de ataques que implicaban el acceso ilegítimo a su información.
En 2022, el sindicato participó como observador en las elecciones presidenciales que renovaron el mandato de João Lourenço, elaborando un informe crítico. “Entendimos que las elecciones en Angola no habían sido libres ni justas”, recuerda Cândido. “No habían sido libres porque no supimos, por ejemplo, cómo fueron contabilizados los resultados. Y no habían sido justas en la medida en que el partido en el poder disponía de todos los medios de comunicación públicos y del tiempo que quisiera. Escribimos a la Comisión Nacional Electoral denunciando esa práctica”.
En esa época, la oficina del sindicato terminó siendo asaltada tres veces en tres meses. “No hubo señales de forzamiento de puertas y se llevaron únicamente los ordenadores del sindicato”, cuenta el antiguo líder sindical. “Esta situación coincidió con el hecho de que hubo asaltos a viviendas de periodistas, incluyendo a João Armando, director del periódico económico Expansão, y a Raquel Rio, corresponsal y delegada de la Agencia Lusa en Angola. También a ellos se les llevaron ordenadores”.
Cândido revela que llegó a recibir un mensaje anónimo, que interpretó como una amenaza. “Preguntaban si yo había visto lo que estaban haciendo”. Como reacción, a finales de 2022, el sindicato organizó una marcha de protesta. “Nosotros, los periodistas angoleños, salimos a la calle por primera vez para manifestarnos contra esa amenaza a la libertad de prensa”.
En una entrevista al medio O País en junio de 2024, cuando estaba dejando el sindicato, Teixeira Cândido lamentaba que hubiera habido “más libertad de prensa a finales de la década de los 90 que en la actualidad”, refiriéndose a la desaparición de una serie de medios privados en la última década. “El Estado tiene más de 45 emisoras de radio y sigue siendo la única entidad con un periódico diario. La desaparición de los órganos privados dirigidos por periodistas demuestra un retroceso visible de la libertad de prensa en Angola”, explicó entonces. “Sin desmerecer a los profesionales de estos medios, la verdad es que gran parte de ellos están controlados por el poder político; son medios cuyos propietarios son personas del Gobierno o con fuertes vínculos con el aparato del Estado y, queramos o no, este acaba interviniendo en el tipo de periodismo que estos medios realizan”.
Ahora mantiene la misma opinión crítica. “El mayor problema que se plantea es que todos esos medios dicen lo mismo. La línea editorial es coincidente. Y, desde ese punto de vista, el país ha asistido a un enorme retroceso en el pluralismo de la información”.
Con la noticia sobre la infección con Predator, Cândido admite que ha pasado a pensárselo dos veces antes de compartir cualquier cosa por teléfono móvil. Y le preocupa no solo su seguridad, sino también la de sus colegas de profesión. “No sé qué pretendían con esa infección; ¿qué contenido podría interesarles? Pero quiero vivir cada día con la expectativa de que no nos va a ocurrir nada”.
Teixeira Cândido, periodista y jurista conocido por sus firmes posiciones en defensa de la libertad de prensa y por denunciar ataques contra colegas de profesión, fue identificado por el Laboratorio de Seguridad de Amnistía Internacional como la primera víctima conocida de Predator en Angola. La infección con este software espía (spyware) se produjo en mayo de 2024, cuando Cândido estaba finalizando nueve años de mandato al frente del Sindicato de Periodistas Angoleños. El sindicato fue fundado en 1992 y en 2024 contaba con 3.000 miembros.