Investigación

Mollitiam: la empresa que crea con dinero público herramientas para un ciberespionaje total

Comercializa sistemas para el control de móviles y portátiles de forma invisible, herramientas para hackear aplicaciones como Telegram o WhatsApp y tecnología para el “control de masas” y la “detección de radicales en las redes”
Fundada en 2018 en Toledo, ha recibido más de 1,6 millones de dinero público, la mayoría procedente del Gobierno español y de la UE
Entre sus accionistas está Sabadell Venture Capital, filial del cuarto banco español que controla el 6,8% del capital de Mollitiam
Este reportaje forma parte de una investigación periodística internacional coordinada por Forbidden Stories y en la que participa infoLibre
Exclusivo para socias y socios

Antonio Ramos, uno de los socios fundadores de Mollitiam, en una charla colgada en Youtube.

La simple lectura de los títulos de las conferencias impresiona y da miedo al mismo tiempo: herramientas para hackear aplicaciones como Telegram o WhatsApp, móviles Android y los sistemas operativos Windows y MacOS; sistemas para tomar el control de móviles y portátiles de forma invisible; tecnología para el “control de masas”… Es solo una muestra del catálogo de presentaciones realizadas por la empresa española Mollitiam Industries, los tres últimos años, en los congresos ISS World celebrados en Praga, Dubai y Panamá. Dichos eventos se presentan como el “mayor encuentro mundial de analistas de las fuerzas del orden, los servicios de inteligencia y la seguridad nacional” responsables de “la investigación de la ciberdelincuencia, la vigilancia electrónica y la recopilación de información”.

Uno de los productos estrella comercializado por Mollitiam es la plataforma Phoenix. En una ponencia enviada a un congreso sobre computación e ingeniería aplicada, que se celebró en el verano de 2022 en Las Vegas (Estados Unidos) y que firma entre otros uno de los socios de la compañía, se afirma lo siguiente: “Como parte de la plataforma Phoenix que está desarrollando Mollitiam Industries para la Seguridad Nacional y la Defensa Nacional, hemos creado un prototipo para la detección de posibles radicales en las redes sociales”. ¿Pero quién es un radical? ¿Un obrero de ideología anticapitalista o un rey adicto al fraude fiscal?

La respuesta, obviamente, la decide quien maneja la plataforma. Y eso deja abierta una puerta por la que se pueden colar todo tipo de abusos. Mollitiam Industries ya estuvo en el centro de un escándalo desvelado en 2020 por la revista colombiana Semana, conocido allí como carpetas secretas: un centenar de periodistas y activistas fueron espiados de forma ilegal por el Ejército. Reporteros sin Fronteras incluyó aquel año a la empresa española entre los veinte depredadores digitales de la libertad de prensa. Las empresas de ciberinteligencia que fabrican software espía invasivo, como la israelí NSO Group (en el centro del escándalo conocido como caso Pegasus), la italiana Hacking Team y la alemana FinFisher reciben regularmente acusaciones de activistas en favor de los derechos humanos por facilitar herramientas que regímenes represivos utilizan contra ciudadanos a los que tienen en su diana.

Ahora, una nueva filtración de correos internos del Comando General de las Fuerzas Militares de Colombia, muestra su interés por adquirir herramientas que le permitan “estar a la vanguardia” para identificar amenazas en redes sociales. Unas herramientas que desarrolla la industria de la vigilancia masiva en Internet. Pues bien, una de las siete empresas contactadas por las Fuerzas Militares colombianas para adquirir ese tipo de tecnología fue de nuevo la española Mollitiam Industries [puedes leer aquí una información detallada sobre este tema].

La filtración de correos ha sido obtenida por el colectivo de hackers Guacamaya y analizada por diversos medios internacionales, entre ellos infoLibre, en un proyecto periodístico coordinado por el consorcio Forbidden Stories.

El capital: Banco Sabadell y fondos de inversión

Pero, ¿quién está detrás de Mollitiam Industries? Se podría argumentar que esta empresa es un ejemplo de vino nuevo en odres viejos. La compañía fue constituida en Toledo hace menos de cinco años, en mayo de 2018, pero sus creadores llevan muchos años en el campo de la ciberinteligencia. Los socios mayoritarios son los hermanos Esther y Samuel Álvarez González, quienes en 2007 crearon el Grupo In-Nova para trabajar en el sector, y el otro accionista principal es Antonio Ramos Varón, personaje con cierta proyección pública porque fue presentador de un programa de televisión llamado Mundo Hacker, emitido en 2013 en Discovery Max y en 2016 en TVE. También se ha difundido en Canal 13 de Colombia. Los hermanos Álvarez controlaban a finales de 2021 el 45% de la compañía a través de la sociedad Time to Change SL, mientras que Ramos disponía en la misma fecha del 35% del capital por medio de Stack Overflow SL. Esther Álvarez es la presidenta de Mollitiam.

En sus pocos años de existencia, llaman la atención dos cuestiones: el apoyo económico recibido de fondos de inversión y la importante cantidad de dinero público que financia sus proyectos.

Entre los accionistas de Mollitiam figuran Sabadell Venture Capital, filial del cuarto banco de España para invertir en proyectos de emprendedores en su fase inicial; Easo Ventures, sociedad de capital riesgo con sede en San Sebastián y que capta fondos entre otros del Gobierno vasco, y Torsa Capital, un fondo que agrupa dinero de algunos de los principales empresarios asturianos.

infoLibre se dirigió a las tres entidades para saber qué porcentaje del capital de Mollitiam mantienen en la actualidad, preguntar si eran conocedores de que alguno de los productos comercializados por esta empresa se han utilizado para espiar a periodistas al menos en Colombia y conocer si este tipo de tecnología para el espionaje masivo choca con posibles políticas éticas o corporativas que deban tener en cuenta a la hora de seleccionar sus proyectos de inversión.

La única de las tres que respondió fue Sabadell Venture Capital. Un portavoz explicó que la entrada en el accionariado de Mollitiam se produjo en diciembre de 2020 y que en la actualidad ostenta un 6,8% del capital. “No tenemos ningún tipo de control, no somos consejeros y nuestra inversión es puramente financiera”, destacó, motivo por el que añadió que Sabadell Venture Capital no había tenido conocimiento del escándalo de espionaje a periodistas en Colombia. Por último, en cuanto a la política de inversión, dicho portavoz señaló que al comercializar Mollitiam productos de ciberinteligencia, “la venta de este software debe tener la validación de la Secretaría de Estado de Comercio”.

Easo Ventures y Torsa Capital optaron por la opacidad absoluta, al no responder a ninguna de las preguntas de infoLibre. En el caso del fondo vasco, uno de sus ejecutivos –Jon Blázquez– fue nombrado consejero de Mollitiam Industries en diciembre de 2020, de forma que está directamente implicado en la gestión de la compañía.

Más allá de preocupaciones éticas por los productos que comercializa Mollitiam Industries, lo que está fuera de toda duda es la intención de los inversores en la compañía de hacer el mayor negocio posible. En el acuerdo de diciembre de 2020, cuando entraron en el capital de la empresa Sabadell Venture Capital y Easo Ventures, incluyeron una cláusula por la que podrían forzar la venta de la sociedad si recibían “una oferta igual o superior a 26 millones de euros”, transcurridos dos años desde aquella fecha. Las expectativas de dar un pelotazo eran altas.

Entre 2019 y 2021, Mollitiam facturó una media anual de 1,12 millones de euros. El número medio de empleados fue de 24 durante 2021, último año cuyas cuentas figuran depositadas en el Registro Mercantil.

Esther Álvarez, presidenta de Mollitiam Industries y de Grupo In-Nova

La financiación: dinero público a espuertas

Luego están los fondos públicos que subvencionan todos los proyectos importantes de Mollitiam Industries. Dinero europeo, dinero español y dinero de Castilla-La Mancha, donde tiene su sede la compañía.

El proyecto Phoenix, por ejemplo, contó con una subvención de 641.827 euros, abonados a partes iguales por la Unión Europea –por medio del Fondo Europeo de Desarrollo Regional (FEDER)– y por el Gobierno español, a través del CDTI (Centro para el Desarrollo Tecnológico y la Innovación, dependiente del Ministerio de Ciencia e Innovación). La subvención le fue concedida en 2019, la duración del proyecto era de dos años y el objetivo fue crear una plataforma que logre el análisis de la información y el tratamiento de grandes volúmenes de datos (big data) obtenidos a partir de fuentes abiertas. Es la herramienta que, según sus creadores, sirve “para la detección de posibles radicales en las redes sociales”.

La implicación del Gobierno español no se limita a este proyecto estrella. El CDTI destinó 450.000 euros, en mayo de 2021, para invertir directamente en Mollitiam. En la operación también coinvirtió el fondo vasco Easo Ventures. En la nota de prensa donde informó sobre esta apuesta, el CDTI definió así la actividad de la empresa: “Desarrolla tecnología software y servicios especializados en el área de la ciberinteligencia con un triple enfoque: automatizar los procesos para captar, analizar y transformar en inteligencia la información disponible en las redes sociales incluida la Darknet; interceptación de comunicaciones; y detección de potenciales vulnerabilidades ante posibles ciberataques en las redes IT y con el objetivo de mejorar la ciberresiliencia”.

El CDTI, por otra parte, entregó otros 410.394 euros a la compañía en subvenciones a través de los proyectos Cien y Eureka, según figura en las cuentas de 2021 de Mollitiam.

La entrada de dinero público en la caja de la sociedad no se detiene ahí. Una subvención de 59.636 euros sirvió a Mollitiam Industries para desarrollar el proyecto Electro I+D, que mide el nivel “de resiliencia en redes OT (civiles y defensa) frente a cibertataques”. El 80% del dinero vino de Europa, vía FEDER, y el resto lo puso la Junta de Castilla-La Mancha. Esas mismas instituciones entregaron 50.751 euros para el proyecto Cibermarkint, “una plataforma OSINT de inteligencia artificial”. OSINT se refiere a inteligencia de fuentes abiertas (Open Source Intelligence por sus siglas en inglés).

El Gobierno regional de Emiliano García-Page le otorgó además una subvención de 15.941 euros a través del programa Adelante Inversión.

En total, más de 1,6 millones de dinero de los contribuyentes para ayudar a Mollitiam Industries a desarrollar sistemas de ciberespionaje que permiten, por ejemplo, interceptar comunicaciones o perfilar a usuarios de redes sociales.

Los clientes: Ejércitos y fuerzas policiales

Los clientes principales de una empresa como Mollitiam son servicios de inteligencia, fuerzas militares y aparatos policiales, aunque el negocio también es creciente en el ámbito empresarial.

Como informó en su día El Salto, la Guardia Civil adquirió a Mollitiam Industries un “sistema de monitorización remota de comunicaciones de terminales móviles”, destinado a la UCO (Unidad Central Operativa). La adjudicación del contrato se produjo en diciembre de 2019 y el coste ascendió a 302.500 euros. Un año antes, en octubre de 2020, la Guardia Civil ya le había comprado una “herramienta de monitorización de redes sociales”, por un importe de 18.059 euros.

En el ámbito internacional, Mollitiam Industries cerró al menos dos contratos en Colombia. El ya mencionado con el Ejército, que se desarrolló entre 2019 y 2022 y que estuvo en el centro del escándalo carpetas secretas. En marzo del año pasado, la compañía obtuvo la licencia para la transferencia de material de defensa y doble uso, expedida por la Secretaría de Estado de Comercio española. Con ese permiso, Mollitiam puso a disposición del Ejército colombiano la tecnología, aunque hasta 2024 seguirá prestando actuaciones de soporte y mantenimiento.

Además, en 2021y 2022, trabajó para la Dirección de Inteligencia de la Policía Nacional en un proyecto conjunto con la empresa colombiana Newsat. Mollitiam Industries aportó el software OSINT y dispone del 40% del capital de la unión temporal de empresas constituida en el país sudamericano y denominada Phoenix. La licencia para transferir el material a la Policía Nacional colombiana se concedió por parte del Gobierno español en enero de 2022 y la compañía española prestará actividades de mantenimiento hasta finales de 2026.

Como se indicó con anterioridad, aunque Mollitiam Industries es una empresa joven que aún no ha cumplido cinco años, sus principales accionistas llevan años trabajando en el sector y comercializando productos similares, especialmente en el caso del Grupo In-Nova, de los hermanos Esther y Samuel Álvarez González.

En la Plataforma de Contratación del Estado aparecen cuatro adjudicaciones del Ministerio de Defensa español a In-Nova, entre 2018 y 2022, por un importe total de 134.950 euros. Buena parte de ese dinero se destinó a adquirir un “prototipo sistema interceptador” para el Instituto Nacional de Técnica Aeroespacial Esteban Terradas.

Con anterioridad, en 2015, se publicó que el Ministerio de Defensa había concedido a In-Nova el desarrollo del prototipo nacional de una red de comunicaciones tácticas impulsado por varios países de la OTAN.

Fuera de España, el propio Samuel Álvarez admitió públicamente que su empresa había trabajado con el Ejército de Brasil antes de los Juegos Olímpicos de Río de 2016 para formar a un grupo de élite especializado en luchar contra el cibercrimen.

Pero de nuevo es Colombia donde más clientes tiene la compañía de los hermanos Álvarez, hasta el punto de que decidieron crear la empresa In-Nova Colombia SAS, que tiene por ejemplo un proyecto de consultoría con el Comando de Apoyo Tecnológico del Ejército (COATE). En 2016, In-Nova participó en un proyecto de cooperación tecnológica entre España y Colombia para la transferencia de conocimiento en relación a los sistemas autónomos de navegación y plataformas aéreas, con aplicación a vehículos aéreos no tripulados (UAVs), que estuvo dirigido a oficiales de las Fuerzas Armadas colombianas.

Los tentáculos de In-Nova en Colombia no se quedan en el ámbito militar o policial, sino que se extienden hasta la Fiscalía General de dicho país. Un equipo de dicha empresa realizó, a principios de febrero de 2022, una “demostración de equipos” en la Sección de Control Telemático de la Dirección del Cuerpo Técnico de Investigación. Entre las personas a las que se autorizó la entrada a las instalaciones de la Fiscalía General estaba Samuel Álvarez.

La conexión sudamericana de In-Nova viene de lejos. Hace ya más de una década, en 2011, Esther Álvarez participó en unas jornadas del Ministerio de Defensa Nacional de Colombia como representante de In-Nova. En 2012 es posible rastrear a la empresaria española en Perú y ese mismo año la Fundación In-Nova firmó un convenio de colaboración con el Consejo Nacional de Ciencia, Tecnología e Innovación Tecnológica (Concytec) peruano. En 2014 viajó a Ecuador, donde expuso sus conocimientos sobre ciberdefensa. Cuatro años después, In-Nova figuraba como habilitada en el Registro de Proveedores de Bienes Estratégicos del Gobierno ecuatoriano.

La otra empresa que, junto al Grupo In-Nova, está en el origen de Mollitiam también recibió adjudicaciones públicas en España, relacionadas en su caso con temas de formación. Stack Overflow SL, cuyo accionista único es Antonio Ramos, obtuvo cuatro contratos del Centro de Estudios Jurídicos del Ministerio de Justicia, entre 2015 y 2018, por un importe total de 55.122 euros. También logró en 2017 un contrato menor del Instituto Nacional de Ciberseguridad.

Samuel Álvarez, socio de Mollitiam e In-Nova, durante una conferencia TED en Toledo.

Los productos: espionaje invasivo total

Que Mollitiam Industries es vino nuevo en los odres viejos de In-Nova no solo lo prueba la identidad entre las personas que lideran ambas compañías, sino también los productos que comercializan.

A principios de 2017, más de un año antes de la constitución de Mollitiam, In-Nova participó en Homsec, una feria internacional que reúne en Madrid a vendedores y compradores del sector de la defensa y la seguridad nacional. Lo hizo, por cierto, gracias a su colaboración con Escribrano Mechanical Engineering, uno de los gigantes españoles de la industria militar. En aquella reunión, según relató en detalle la prensa especializada, Samuel Álvarez, “mostró un equipo portátil del tipo tablet al que se le había conectado un dispositivo hardware o ‘sonda’ con el que se realizó un rastreo de las comunicaciones y dispositivos inalámbricos que se encontraban en la feria, mostrando los diferentes niveles de seguridad en función de las configuraciones y vulnerabilidades detectadas. […] Como nos demostró Samuel Álvarez, la sonda, altamente portátil, cómoda y de sencillo manejo, permite rastrear el entorno, explorar las diferentes redes inalámbricas, tanto visibles como ocultas, así como explorar todos los dispositivos en un entorno cercano (varias decenas de metros), logrando información sobre éstos sin necesidad de interceptarlos. Por otro lado, y dentro del modo ‘misión’, de una forma sencilla de operar, se pueden construir operaciones de interceptación y captura de información de los dispositivos seleccionados”.

Una descripción de las capacidades de un dispositivo de espionaje invisible que recuerda a las que a partir de 2018 empezará a vender Mollitiam Industries en los grandes eventos internacionales, como las conferencias ISS World. Y unas herramientas que perfeccionará gracias al dinero público que empezó a entrar en la compañía poco después de constituirse.

En octubre de 2019, cuando apenas tenía año y medio de vida, Mollitiam Industries ya realizó en el congreso ISS World celebrado en Panamá tres demostraciones, según consta en el folleto informativo de aquel evento: una sobre “el control invisible de smartphones Android y Google Clouds”, otra sobre “el control invisible de sistemas Windows/MacOS” y una tercera sobre “una demostración real: de Telegram a la Darknet y ciber herramientas activas para neutralizar los objetivos”.

En enero de 2020, la revista colombiana Semana puso por primera vez en el mapa informativo a Mollitiam Industries, como empresa proveedora del software de espionaje utilizado de forma irregular por el Ejército. Y, en junio de 2021, la revista Wired tuvo acceso a materiales de marketing de la compañía donde promocionaba herramientas capaces de la "interceptación anónima y el control remoto e invisible de objetivos conectados a Internet", diseñadas para quienes desean "investigar objetivos en operaciones tácticas".

Mollitiam presumía en ese material de que sus productos, apodados "Invisible Man" (Hombre invisible) y "Night Crawler" (Rastreador nocturno), eran capaces de acceder de forma remota a la ubicación y los archivos de un objetivo y de encender de forma encubierta la cámara y el micrófono de un dispositivo. Además, aseguraba que su software espía está equipado con un registrador de pulsaciones de teclas, de forma que todo lo que se escribe en un aparato infectado puede ser rastreado, desde contraseñas a mensajes cifrados. La compañía también tenía en venta una herramienta para la "vigilancia masiva de perfiles e identidades digitales" en las redes sociales y la web oscura.

Antonio Ramos, uno de los principales socios y ejecutivos de Mollitiam Industries y conocido por su pasado como presentador de Mundo Hacker, acudió en abril de 2019 a La Resistencia de David Broncano. En el tono desenfadado propio del programa presumió de trabajar para los Ministerios de Defensa de distintos países, que no identificó pero que “siempre son países amigos de Occidente”, y aseguró que había recibido una medalla blanca al mérito policial por ayudar a desarticular una red de pederastas. En otras intervenciones públicas, afirmó que había sido asesor internacional para la Organización de Estados Americanos (OEA) en Washington y se presentó así: “Soy un hacker, lidero un grupo de hackers internacionales y hackeamos cosas para hacer la vida digital tanto de los ciudadanos como de las organizaciones más segura”. Es improbable que las víctimas del uso irregular que autoridades represoras hacen del software espía invasivo que comercializa Mollitiam Industries compartan esa definición.

MOLLITIAM E IN-NOVA NO RESPONDEN

El pasado 1 de febrero, infoLibre envió un amplio cuestionario a Mollitiam Industries y a In-Nova, para conocer su versión sobre los hechos descubiertos en la investigación. Las dos empresas no respondieron a ninguna de las preguntas planteadas, que fueron las siguientes:

PREGUNTAS PARA MOLLITIAM

– ¿Qué porcentaje del capital social queda en manos de los socios fundadores de Mollitiam Industries y qué parte está en mano de inversores como Easo Ventures, Sabadell Venture Capital y Torsa Capital? ¿Cuál ha sido la inversión realizada en Mollitiam por estas tres compañías?

– En relación con el conocido como “proyecto Phoenix”, además de los 641.827 euros de subvención recibidos del FEDER y del CDTI, ¿existió algún otro tipo de financiación o subvención pública para su desarrollo?

– En la Plataforma del Contratación del Estado consta que Mollitiam recibió dos adjudicaciones de la Guardia Civil para adquirir una herramienta y un sistema de monitorización de comunicaciones móviles, por importe de 302.500 y 18.059 euros, respectivamente. ¿El sistema vendido a la Guardia Civil es el desarrollado bajo el nombre de Phoenix con fondos públicos europeos y españoles?

– En 2022, Mollitiam y NewSat entregaron una herramienta de ciberinteligencia a la Policía Nacional colombiana. ¿Esta herramienta se corresponde con el sistema desarrollado bajo el nombre de Phoenix con fondos públicos europeos y españoles?

– En relación con las presentaciones realizadas por Mollitiam en los congresos internacionales ISS World,

a. ¿Puede confirmar que las herramientas comercializadas por Mollitiam pueden hackear/trackear aplicaciones como Telegram o WhatsApp, móviles Android y los sistemas operativos Windows y MacOS?

b. ¿Puede confirmar que las herramientas comercializadas por Mollitiam tienen capacidad para tomar el control de móviles y portátiles de forma invisible?

c. ¿Qué herramientas utilizan para "el control de masas", como en el caso de las protestas en Colombia que cita Mollitiam en sus exposiciones públicas?

PREGUNTAS PARA IN-NOVA

– En 2017, en la feria HomSec, In-Nova ya mostró productos para la interceptación y explotación de comunicaciones inalámbricas. ¿Era dicha tecnología una versión previa del software bautizado como Phoenix que ahora comercializa Mollitiam?

– En 2012, el Grupo In-Nova firmó un convenio de colaboración con el Concytec peruano. Un año antes, Esther Álvarez González participó en unas jornadas organizadas por el Ministerio de Defensa Nacional colombiano. ¿Cómo surgió esa relación comercial de In-Nova con Sudamérica?

– ¿Es cierto que In-Nova trabajó con el Ejército brasileño antes de los Juegos Olímpicos de 2016? En caso afirmativo, ¿en qué consistió dicho trabajo?

– ¿Qué equipos o tecnología ha suministrado In-Nova a la Fiscalía General de Colombia? ¿Desde cuándo colabora con dicho organismo?

– ¿En qué consiste el proyecto de consultoría realizado por In-Nova para el Comando de Apoyo Tecnológico del Ejército colombiano? ¿Cuándo se inició dicha colaboración?

– ¿Qué proyectos desarrolla In-Nova, a día de hoy, con el Ejército, con las Fuerzas de Seguridad o con otras instituciones como la Fiscalía General de Colombia? ¿Incluyen esos proyectos la venta de tecnología de espionaje y seguimiento de comunicaciones o personas?

– Además de trabajar o vender productos a organismos públicos de Colombia y de Brasil, ¿en qué otros países de Latinoamérica ha recibido In-Nova adjudicaciones o contratos de organismos públicos o fuerzas de seguridad del Estado?

Más sobre este tema