Celebrite dijo que aisló a Rusia, pero Rusia utilizó la herramienta de todos modos

Las autoridades rusas piratearon los teléfonos móviles de destacados opositores políticos detenidos utilizando tecnología creada por la empresa forense Celebrite, incluso después de que la empresa anunciara que había roto vínculos con las agencias gubernamentales de Putin, según un nuevo informe. Un nuevo informe plantea nuevas preguntas sobre si las empresas tecnológicas occidentales realmente tienen control sobre cómo se utilizan sus herramientas una vez que están en la naturaleza.

El incidente es una advertencia para las empresas de tecnología que venden a los gobiernos. Celebrite, una empresa israelí con una segunda sede en Virginia que vende a gobiernos de todo el mundo, incluido Estados Unidos, anunció que dejaría de proporcionar hardware y software a Rusia. Al parecer no se hizo o no se pudo hacer.

Investigadores de Citizen Lab, una organización de derechos digitales con sede en la Universidad de Toronto, anunciaron en junio de 2021 que encontraron evidencia de que las agencias de investigación del gobierno ruso utilizaron una herramienta de piratería telefónica fabricada por Celebrite para piratear el iPhone del activista local de derechos humanos y político opositor Andrei Pivovarov.

Tres meses antes del ataque, Celebrite anunció que dejaría «inmediatamente» de vender su tecnología a clientes del gobierno ruso. En su sitio web oficial, Celebrite afirma que a partir de marzo de 2021, cuando rompió los lazos con el gobierno de Putin, la empresa podría «dejar de recibir funcionalidad del dispositivo y actualizaciones de software».

No está claro por qué eso no sucedió en este caso, pero el episodio expone una verdad incómoda sobre la tecnología de vigilancia. Eso significa que una vez que poderosas técnicas de piratería y vigilancia llegan a los clientes equivocados, no es tan fácil recuperarlos. Las herramientas pueden proliferar, ser explotadas y, a menudo, seguir explotándose mucho después de que las empresas que las crearon hayan dejado a sus clientes.

«Esto no es sorprendente;[es]el resultado de las políticas de Cerebrite», dijo Eitai Mak, un abogado israelí de derechos humanos que ha hecho campaña durante años contra los fabricantes de tecnología de vigilancia como Cerebrite y el fabricante de software espía NSO Group.

Como muestra la demanda, Mack argumentó que cesar las ventas o revocar las licencias de software no impediría que los antiguos clientes de Cellebrite hicieran un mal uso de la tecnología de la empresa. Mack también señaló que Celebrite se niega a decir si le exigirá que desmantele las herramientas de piratería que vende a los clientes, una brecha crítica que no se aborda en su propio anuncio de recortes.

El incidente sugiere que los antiguos clientes aún pueden explotar la herramienta de desbloqueo de teléfonos de Cellebrite (llamada UFED) incluso después de que la compañía haya finalizado el soporte al cliente y posiblemente haya revocado la licencia del software, añadió Mack. En teoría, esto debería hacer que los dispositivos de la empresa sean menos útiles.

John Scott-Railton, investigador principal de The Citizen Lab, dijo a TechCrunch que Cellebrite debería «poner fin a la era de la negación justificada desactivando remotamente las implementaciones e implementando marcas de agua firmadas criptográficamente en todos los dispositivos con imágenes en caso de un informe creíble de actividad fraudulenta». En términos sencillos, Cellebrite necesita poder bloquear de forma remota sus herramientas si caen en las manos equivocadas, y los datos extraídos con su tecnología deben incluir una especie de huella digital para que pueda rastrear qué dispositivo específico se utilizó.

Cellebrite vende un dispositivo de hardware diseñado para desbloquear y piratear teléfonos móviles conectados. A lo largo de los años, los investigadores han documentado cómo los clientes corporativos han utilizado la tecnología de la empresa contra disidentes, activistas de derechos humanos y periodistas en Hong Kong, Kenia y Jordania. Como resultado de algunos de estos hallazgos, Celebrite rompió lazos con Bangladesh, China, Hong Kong, Myanmar y Serbia.

David Gee, director de marketing de Cellebrite, dijo en un correo electrónico a The Citizen Lab compartido con TechCrunch que la empresa «cesó todas las ventas y servicios a la Federación Rusa en marzo de 2021, rescindió las licencias existentes e inmediatamente comenzó a rescindir todos los acuerdos legales. El uso de hardware Cellebrite heredado en Rusia después de marzo de 2021 está completamente prohibido».

El portavoz de Gee y Cellebrite, Victor Cooper, no respondió a una serie de preguntas específicas que les envió TechCrunch.

En el caso de Pivovalov, después de que las autoridades rusas lo detuvieran en mayo de 2021 y confiscaran su iPhone 12 y MacBook, los investigadores de Citizen Lab dijeron que pudieron encontrar evidencia forense de que el teléfono de Pivovalov fue pirateado por Cellebrite UFED.

Pivovarov también compartió con los investigadores documentos judiciales que recibió como parte de la acusación. En él, el Centro de Expertos en Crimen del gobierno ruso detalló el uso de Cellebrite UFED para ingresar a su teléfono móvil y dijo que las autoridades usaron UFED para extraer datos, incluidos mensajes de WhatsApp y Telegram. También buscaron en los teléfonos términos políticos y nombres de figuras de la oposición, incluidos objetivos de lo que los investigadores dicen que es una operación de piratería informática por parte del gobierno ruso.

Pivovarov era el director del ahora desaparecido grupo opositor Rusia Abierta. Posteriormente fue sentenciado a cuatro años de prisión, pero fue liberado en agosto de 2024 como parte de un intercambio de prisioneros entre Rusia y Occidente, junto con el reportero del Wall Street Journal Evan Gershkovich.

La embajada rusa en Washington, D.C., no respondió a una solicitud de comentarios.