Cellebrite cortó lazos con Rusia, pero sus herramientas fueron utilizadas igual

Las autoridades rusas lograron acceder al teléfono de un prominente opositor político utilizando tecnología de la empresa de forenses Cellebrite, a pesar de que esta había declarado que cortaría la venta de sus herramientas al gobierno de Vladimir Putin. Esta situación genera nuevas interrogantes sobre el control que tienen las empresas tecnológicas occidentales sobre el uso de sus herramientas una vez que estas han sido vendidas.

Este caso se convierte en una advertencia para cualquier empresa tecnológica que venda a gobiernos. Cellebrite, una firma israelí con una segunda sede en Virginia, había anunciado que dejaría de proporcionar hardware y software a Rusia. Sin embargo, parece que no cumplió con este compromiso o no pudo hacerlo.

Investigadores del Citizen Lab, un grupo de derechos digitales con sede en la Universidad de Toronto, encontraron evidencia de que una unidad de investigación del gobierno ruso utilizó una herramienta de hackeo de teléfonos de Cellebrite para acceder al iPhone del disidente y político opositor Andrey Pivovarov en junio de 2021.

Tres meses antes de este hackeo, Cellebrite había anunciado que dejaría de vender su tecnología a clientes del gobierno ruso. En su sitio web oficial, la compañía afirma que desde marzo de 2021, cuando rompió lazos con el gobierno de Putin, puede hacer que el dispositivo deje de funcionar o no reciba actualizaciones de software.

No está claro por qué esto no sucedió en este caso, y el episodio expone una incómoda verdad sobre la tecnología de vigilancia: una vez que tecnologías de hackeo y vigilancia poderosas llegan al cliente equivocado, recuperarlas no es tan sencillo. Las herramientas proliferan, se abusarán y pueden seguir siendo mal utilizadas, a menudo mucho después de que la empresa que las fabricó se haya lavado las manos de su cliente.

"No es sorprendente y es el resultado de las políticas de Cellebrite", afirmó Eitay Mack, un abogado de derechos humanos israelí que ha estado en campaña contra los fabricantes de tecnología de vigilancia como Cellebrite y el fabricante de spyware NSO Group.

El abogado argumentó que cesar las ventas, e incluso revocar una licencia de software, no detiene a un antiguo cliente de abusar de la tecnología de la compañía, como demuestra este caso. Además, Mack señaló que Cellebrite se niega a decir si pide a los clientes que desmantelen las herramientas de hackeo que les vendió, una brecha crítica que los anuncios de corte de lazos de la empresa no abordan.

Este caso, añadió Mack, sugiere que los antiguos clientes aún pueden abusar de la herramienta de desbloqueo de teléfonos de Cellebrite, conocida como UFED, incluso después de que la compañía deja de apoyar al cliente y, presumiblemente, revoca su licencia de software. En teoría, eso debería hacer que los dispositivos de la compañía sean menos útiles.

John Scott-Railton, un investigador senior de Citizen Lab, comentó que Cellebrite "también debería desactivar de forma remota las implementaciones tras informes creíbles de abuso y poner fin a la era de la plausibilidad de la negación implementando marcas de agua criptográficamente firmadas en todos los dispositivos imaginados". En términos simples, Cellebrite debería poder inutilizar de forma remota sus propias herramientas cuando se están mal utilizando, y debería incorporar un tipo de huella digital para que cualquier dato extraído con su tecnología pueda ser rastreado hasta qué dispositivo específico se utilizó.

Cellebrite vende dispositivos de hardware diseñados para desbloquear y hackear teléfonos conectados a ellos. A lo largo de los años, los investigadores han documentado casos en los que los clientes de la compañía usaron su tecnología contra disidentes, activistas de derechos humanos y periodistas en Hong Kong, Kenya y Jordania. En respuesta a algunos de estos hallazgos, Cellebrite ha cortado lazos con Bangladesh, China y Hong Kong, Myanmar, y Serbia.

En un correo electrónico al Citizen Lab, que compartió con TechCrunch, el director de marketing de Cellebrite, David Gee, afirmó que la compañía "detuvo todas las ventas y servicios a la Federación Rusa en marzo de 2021, terminando las licencias existentes, y comenzó inmediatamente a deshacer todos los contratos legales. Cualquier uso de hardware de Cellebrite en Rusia después de marzo de 2021 es completamente no autorizado".

Gee, al igual que el portavoz de Cellebrite, Victor Cooper, no respondieron a una serie de preguntas específicas enviadas por TechCrunch.

En el caso de Pivovarov, los investigadores de Citizen Lab afirmaron que pudieron encontrar evidencia forense en su teléfono de que había sido hackeado con Cellebrite UFED, después de que las autoridades rusas lo detuvieron y le confiscaron su iPhone 12 y su MacBook en mayo de 2021.

Pivovarov también compartió con los investigadores un documento judicial que recibió como parte de su procesamiento. En él, el Centro de Expertos Criminalistas del gobierno ruso detalló su uso de Cellebrite UFED para acceder a su teléfono, afirmando que las autoridades utilizaron UFED para extraer datos, incluidos mensajes de WhatsApp y Telegram. También buscaron en el teléfono términos políticos, así como los nombres de figuras de oposición, que incluían objetivos de lo que los investigadores han descrito como supuestas campañas de hackeo del gobierno ruso.

Pivovarov fue el director del ahora defunto grupo opositor Open Russia. Fue condenado a cuatro años de prisión, antes de ser liberado en agosto de 2024 como parte de un intercambio de prisioneros entre Rusia y países occidentales que también liberó al periodista de Wall Street Journal, Evan Gershkovich.

La embajada rusa en Washington D.C. no respondió a una solicitud de comentarios.

Temas