Rusia usó herramientas de hackeo de Cellebrite contra opositor político pese a que la empresa cortó lazos con Moscú

Autoridades rusas hackearon el teléfono del disidente político Andrey Pivovarov en junio de 2021 usando tecnología de la firma israelí Cellebrite, tres meses después de que la compañía anunciara el cese inmediato de ventas a Rusia, según reveló un informe de The Citizen Lab que expone las limitaciones de las empresas tecnológicas para controlar el uso de sus herramientas de vigilancia una vez vendidas.

Investigadores de The Citizen Lab, un grupo de derechos digitales con sede en la Universidad de Toronto, dijeron que encontraron evidencia de que una unidad investigativa del gobierno ruso utilizó una herramienta de hackeo telefónico fabricada por Cellebrite para irrumpir en el iPhone del activista de derechos humanos y político opositor local Andrey Pivovarov en junio de 2021, según reportó TechCrunch.

El caso plantea interrogantes sobre si las empresas tecnológicas occidentales pueden realmente controlar cómo se usan sus herramientas una vez que están en circulación. Cellebrite, una empresa israelí con una segunda sede en Virginia que vende a gobiernos de todo el mundo, incluido Estados Unidos, había anunciado que dejaría de proporcionar hardware y software a Rusia. Aparentemente no pudo, o no quiso, cumplir con ese compromiso, según el informe.

Tres meses antes del hackeo, Cellebrite había anunciado que detendría "inmediatamente" la venta de su tecnología a sus clientes del gobierno ruso. En su sitio web oficial, Cellebrite afirma que a partir de marzo de 2021, cuando cortó lazos con el gobierno de Putin, la compañía "puede detener el funcionamiento del dispositivo o impedir que reciba actualizaciones de software", según TechCrunch.

No está claro por qué eso no sucedió en este caso, y el episodio expone una verdad incómoda sobre la tecnología de vigilancia: una vez que las poderosas herramientas de hackeo y vigilancia llegan al cliente equivocado, recuperarlas no es tan fácil. Las herramientas proliferan, se abusa de ellas y pueden seguir siendo abusadas, a menudo mucho después de que la compañía que las fabricó se haya desentendido del cliente, según el reporte.

"No es sorprendente, y es el resultado de las políticas de Cellebrite", dijo Eitay Mack, un abogado israelí de derechos humanos que ha hecho campaña durante mucho tiempo contra fabricantes de tecnología de vigilancia como Cellebrite y el fabricante de spyware NSO Group, según TechCrunch.

Mack argumentó que cesar las ventas, e incluso revocar una licencia de software, no impide que un ex cliente de Cellebrite abuse de la tecnología de la compañía, como demuestra este caso. Mack también señaló que Cellebrite se niega a decir si pide a los clientes que desmantelen las herramientas de hackeo que les vendió, una brecha crítica que sus propios anuncios de ruptura de lazos no abordan, según el medio.

Este caso, agregó Mack, sugiere que los ex clientes aún pueden abusar de la herramienta de desbloqueo de teléfonos de Cellebrite, denominada UFED, incluso después de que la compañía deje de apoyar al cliente y presumiblemente revoque su licencia de software. En teoría, eso debería hacer que los dispositivos de la compañía sean menos útiles, según TechCrunch.

John Scott-Railton, investigador senior de The Citizen Lab, dijo a TechCrunch que Cellebrite "también debería deshabilitar remotamente las implementaciones tras informes creíbles de abuso, y terminar la era de la negación plausible implementando marcas de agua firmadas criptográficamente en todos los dispositivos con imágenes extraídas". En términos simples, Cellebrite debería poder inutilizar remotamente sus propias herramientas cuando se están usando indebidamente, y debería incorporar una especie de huella digital para que cualquier dato extraído con su tecnología pueda rastrearse hasta qué dispositivo específico se utilizó, según el investigador.

Cellebrite vende dispositivos de hardware diseñados para desbloquear y hackear teléfonos celulares que están conectados a ellos. A lo largo de los años, investigadores han documentado casos en los que clientes de la compañía usaron su tecnología contra disidentes, activistas de derechos humanos y periodistas en Hong Kong, Kenia y Jordania. En respuesta a algunos de estos hallazgos, Cellebrite ha cortado lazos con Bangladesh, China y Hong Kong, Myanmar y Serbia, según TechCrunch.

En un correo electrónico a The Citizen Lab, que compartió con TechCrunch, el director de marketing de Cellebrite, David Gee, dijo que la compañía "detuvo todas las ventas y servicios a la Federación Rusa en marzo de 2021, terminando las licencias existentes, e inmediatamente comenzó a deshacer todos los contratos legales. Cualquier uso de hardware heredado de Cellebrite en Rusia después de marzo de 2021 es completamente no autorizado", según el reporte.

Gee, así como el portavoz de Cellebrite, Victor Cooper, no respondieron a una serie de preguntas específicas enviadas por TechCrunch, según el medio.

En el caso de Pivovarov, los investigadores de The Citizen Lab dijeron que pudieron encontrar evidencia forense en su teléfono de que había sido hackeado con Cellebrite UFED, después de que las autoridades rusas lo detuvieran y confiscaran su iPhone 12 y MacBook en mayo de 2021, según el informe.

Pivovarov también compartió con los investigadores un documento judicial que recibió como parte de su procesamiento. En él, el Centro de Expertos Criminalistas del gobierno ruso detalló su uso de Cellebrite UFED para irrumpir en su teléfono, afirmando que las autoridades usaron UFED para extraer datos que incluían mensajes de WhatsApp y Telegram. También buscaron en el teléfono términos políticos, así como los nombres de figuras de la oposición, que incluían objetivos de lo que los investigadores han descrito como presuntas campañas de hackeo del gobierno ruso, según TechCrunch.

Pivovarov era el director del ahora desaparecido grupo opositor Open Russia. Posteriormente fue condenado a cuatro años de prisión, antes de ser liberado en agosto de 2024 como parte de un intercambio de prisioneros entre Rusia y países occidentales que también liberó al reportero del Wall Street Journal Evan Gershkovich, según el reporte.

La Embajada de Rusia en Washington, D.C. no respondió a una solicitud de comentarios, según TechCrunch.

El caso ilustra los desafíos que enfrentan las empresas de tecnología de vigilancia cuando intentan limitar el uso de sus productos por parte de gobiernos autoritarios. A pesar de los anuncios públicos de Cellebrite sobre el cese de operaciones en Rusia y su afirmación de que puede desactivar remotamente sus dispositivos, la evidencia sugiere que las herramientas continuaron siendo utilizadas contra objetivos políticos meses después del supuesto corte de lazos.

La situación plantea preguntas más amplias sobre la responsabilidad corporativa en la industria de la tecnología de vigilancia. Los críticos argumentan que las empresas como Cellebrite deben implementar controles más estrictos, incluida la capacidad de desactivar remotamente equipos tras informes de abuso y sistemas de trazabilidad que permitan identificar qué dispositivo específico se utilizó para extraer datos de un teléfono hackeado.

El episodio también subraya la vulnerabilidad de los opositores políticos y activistas de derechos humanos frente a tecnologías de vigilancia sofisticadas, incluso cuando las empresas que las fabrican afirman haber cortado lazos con regímenes autoritarios. La capacidad de las autoridades rusas para continuar usando herramientas de Cellebrite meses después del anunciado cese de operaciones demuestra que los controles actuales son insuficientes para prevenir abusos.