Las autoridades rusas utilizaron las herramientas forenses UFED de Serebrite para piratear el iPhone del activista opositor detenido Andrei Pivovarov en junio de 2021, tres meses después de que Serebrite anunciara que dejaría de vender herramientas y servicios a Rusia y Bielorrusia.
Los hallazgos, publicados por Citizen Lab el 25 de junio, se basan en dos cosas que rara vez coinciden: rastros en el teléfono y un informe oficial del gobierno ruso que nombra la herramienta.
Los investigadores buscaron en los datos extraídos contactos políticos, figuras de la oposición y nombres de organizaciones activistas. Esto no era software espía remoto. Se trataba de una herramienta forense que se ejecutaba en dispositivos confiscados bajo custodia y que se utilizaba para construir casos en procesos políticos.
Pivovarov encabezó el grupo rebelde Rusia Abierta, que el Kremlin calificó de «indeseable», convirtiendo su continua participación en un acto criminal.
Lo sacaron del avión en el aeropuerto de San Petersburgo el 31 de mayo de 2021 y le confiscaron su iPhone 12 y su MacBook. Nunca dio su consentimiento a la búsqueda y nunca entregó su contraseña. El dispositivo estuvo detenido hasta 2023. En julio de 2022 fue condenado a cuatro años de prisión. Fue liberado en un intercambio de prisioneros en agosto de 2024.
Pivovarov entregó el teléfono a los investigadores de Citizen Lab en el otoño de 2025. Los rastros dejados en el teléfono se remontan a 2021, cuando el dispositivo estaba almacenado en Rusia.
Los registros de MobileLockdown, que rastrean los emparejamientos USB confiables del iPhone, mostraron una conexión el 17 de junio de 2021 a una identificación de host que coincidía con la huella digital de Cellebrite identificada por los investigadores en un incidente anterior en Jordania. Califican esto como evidencia confiable de que se utilizó el UFED de Cellebrite.
Los propios documentos rusos respaldan el examen forense. Durante el curso de su procesamiento, el Sr. Pivovarov recibió un informe titulado «Informe de experto forense No. 1269-17» preparado por el Centro Forense del Ministerio del Interior para el Comité de Investigación Ruso, y entregó una copia del mismo al Instituto Civil.
Los nombres de los productos incluyen el analizador físico UFED de Cellebrite y UFED 4PC. Documenta la extracción de datos de WhatsApp, Telegram y Viber, y muestra a los investigadores que buscan a figuras de la oposición denominadas Movimiento Ciudadano Rusia Abierta, Mikhail Khodorkovsky, la abogada Anastasiya Burakova y la socia de Pivovarov, Tatyana Usmanova.
Tengo una MacBook. El informe de MVD describe una extracción fallida bloqueada por cifrado, y Citizen Lab encontró un intento fallido de inicio de sesión coincidente el mismo día, lo que indica que las autoridades nunca conocieron la contraseña de Pivovarov.
El tiempo es clave. Cellebrite anunció en marzo de 2021 que dejaría de vender a Rusia y Bielorrusia. Este es un movimiento que bloquea las actualizaciones pero deja el hardware existente en funcionamiento. Según Citizen Lab, muchos UFED continúan operando fuera de línea mucho después de que finaliza el soporte, lo cual es el agujero en la desconexión. El riesgo nunca fueron sólo las ventas futuras, sino la base instalada que ya existe en la policía y las agencias de inteligencia.
Esto es consistente con informes anteriores de que Rusia continuó usando Celebrite en los teléfonos de los detenidos después del anuncio.
Cuando se le pidió un comentario el 22 de junio, Cellebrite dijo a Citizen Lab y Access Now que el uso de su hardware heredado en Rusia después de marzo de 2021 está «completamente no autorizado». Dijo que el hardware funcionaría sin soporte ni consentimiento y sería incompatible con los dispositivos modernos actuales.
La compañía dijo que Rusia está permanentemente en su lista de clientes restringidos y está pasando a una licencia de suscripción que deja de funcionar cuando expira. Esta distinción es más importante desde el punto de vista jurídico que operativo, ya que la herramienta todavía funcionaba cuando los agentes rusos tenían el teléfono en 2021.
Hay una superposición notable. Las personas cuyos nombres fueron buscados en el teléfono de Pivovarov surgieron más tarde como objetivos de la operación de phishing COLDRIVER vinculada al FSB, y Burakova fue el objetivo, pero no mordió.
Aunque Citizen Lab no afirma tener un vínculo directo, el mecanismo es simple. Extraer el gráfico social de un activista proporciona una lista de objetivos para la próxima campaña.
Los consejos de Citizen Lab para personas con riesgo de sufrir convulsiones son sencillos y ninguno de ellos es infalible frente a las herramientas forenses. Utilice una contraseña alfanumérica segura. Mantenga su sistema operativo actualizado. Active el modo de bloqueo en iPhone y la protección avanzada en Android 16 y versiones posteriores. Cifre el disco en su computadora. Apague su dispositivo por completo antes de entrar en una situación de alto riesgo. Si recibe un dispositivo confiscado, cambie las contraseñas de todas las cuentas y haga que lo inspeccionen antes de borrarlo.
Rusia se une a Serbia, Kenia y Jordania en una lista creciente de casos de abuso de Celebrite respaldados forensemente. Las lecciones más agudas son más limitadas. Interrumpir la venta dejando en funcionamiento las antiguas herramientas habilitadas sin conexión no es una gran interrupción si el teléfono ya está almacenado.
Source link
