¿Qué hay detrás de la reventa de tecnología de Cellebrite para hackear celulares?

En tiendas online como eBay y otra docena de webs especializadas que el Proyecto Itempnews examinó, los dispositivos UFED de la empresa israelí Cellebrite para hackear y extraer información de celulares, se siguen ofertando por medio de revendedores, sin mayores contratiempos. No hay nada que impida que regímenes represivos como el de Venezuela, Cuba o China, también adquieran esta tecnología.


Read in English

Por medio de revendedores particulares en tiendas de comercio electrónico de Estados Unidos y Europa cualquier persona al servicio de gobiernos autoritarios puede en este momento adquirir dispositivos de la compañía israelí Cellebrite para hackear y extraer de celulares y tabletas archivos tan valiosos como registros de llamadas, contactos, mensajes SMS, y otra gran cantidad de datos personales, incluso si se han eliminado.

En tiendas online como eBay y otra docena de webs especializadas que el Proyecto Itempnews examinó luego de una investigación, los dispositivos de versiones anteriores de Cellebrite para extracción se están ofertando en Internet sin mayores contratiempos.

Si bien la mayoría de los dispositivos de Cellebrite que están en reventa no son de nueva gama, demuestra las vulnerabilidades a la hora de que gobiernos represivos accedan al producto y las actualizaciones de licencias a través de terceros por unos pocos dólares.

Esta tecnología requiere acceso físico al teléfono, no son herramientas para piratear de forma remota el teléfono de alguien sin su aprobación, pero en algunos casos recientes ha sido utilizada para extraer el contenido de los dispositivos incautados durante interrogatorios ilegales a periodistas y defensores de derechos humanos.

El Dispositivo de Extracción Forense Universal (UFED, por sus siglas en inglés) es la joya de la corona de Cellebrite, una empresa de inteligencia digital forense conocida por su tecnología de piratería telefónica, que acumula millonarios contratos públicos y privados en más de un centenar de países, entre ellos Estados Unidos, al proveer hardware y software para ser utilizados por organismos encargados de hacer cumplir la ley en las investigaciones criminales.

UFED, con sus sucesivas versiones mejoradas, permite la extracción física y lógica de todos los datos y contraseñas de un teléfono o tableta, incluso si se han eliminado o es desconocido a simple vista. El fabricante promete «acceso a la más amplia gama de dispositivos móviles, aplicaciones y plataformas de redes sociales de dominio público para producir rápidamente información».

UFED Touch2 Ultimate permite la extracción física y lógica de todos los datos y contraseñas, incluso si se han eliminado

Tecnologías como las de Cellebrite son percibidas de doble uso por algunos gobiernos y reguladores que han visto con el tiempo cómo varios regímenes autoritarios y gobiernos con instituciones frágiles la utilizaron para investigar a sus adversarios.

Una tienda en Varsovia, la capital de Polonia, por ejemplo, ofrece la última generación del dispositivo UFED para extracción de datos, aunque a un costo superior al valor original, que puede oscilar entre $15,000 y $ 20,000 la unidad, halló el Proyecto Itempnews.

DetectiveStore.com, que se presenta en línea como una tienda de equipos forenses y de seguridad, tiene a la venta UFED Touch II Ultimate, la versión más nueva de estos dispositivos, a un precio de $14,000.

Según el representante de ventas de la tienda, tienen autorización de su proveedor para enviar equipos a Venezuela, un país cuyo gobierno está bajo sanciones por violaciones a los derechos humanos, y Cellebrite ha cortado relación comercial.

«Lo he consultado con el fabricante y actualmente no tenemos restricciones para enviar nuestros productos a estos países (Venezuela, Rusia). Por favor, háganos saber en qué versión está interesado y le prepararemos un presupuesto oficial», escribió en un correo electrónico un representante de ventas de DetectiveStore.com luego de una solicitud de información como presunto cliente.

Un portavoz de Cellebrite dijo al Proyecto Itempnews que DetectiveStore.com no se encuentra registrada como vendedor autorizado de la marca, por lo cual la web, con seis años en línea según un verificador de dominios de Internet, puede estar dedicada a timar a potenciales compradores, o es un revendedor en el mercado negro dispuesto a proveer esta tecnología a cualquier cliente, sin importar su historial.

«Compramos UFED del distribuidor autorizado en Polonia en Europa Central. Ya hemos vendido unas 10 versiones diferentes. Somos una empresa legítima con algunos almacenes en Europa. Nuestro almacen principal está en Polonia», respondió el representante de ventas de DetectiveStore.com cuando fue cuestionado por Itempnews por la respuesta que dio la compañía Cellebrite con respecto a ellos.

Spy Shop (2014 versus 2022)

Los acuerdos de licencia de Cellebrite estipulan que “en ninguna circunstancia un cliente puede revender, redistribuir, transferir o sublicenciar nuestra tecnología a un tercero sin el permiso expreso por escrito” de la compañía.

Un antiguo cliente de la marca puso esto en duda.

“Tengo dos años que compré UFED para extraer datos de mis teléfonos y nunca he recibido un solo correo electrónico de Cellebrite en el que se me pida devolver mi equipo”, dijo un vendedor de eBay que está ofertando su antiguo dispositivo.

Pero Cellebrite, adquirida por la japonesa Sun Corporation en 2006, y que el 31 de agosto de 2021 entró a cotizar en Wall Street, no parece estar cumpliendo con sus propios estándares y controles de venta, al menos en relación con los clientes del sector privado, conforme una gama de sus dispositivos más conocidos como UFED, están bajo reventa en Internet y con capacidad de operar.

via GIPHY

El Proyecto Itempnews examinó una veintena de foros dedicados a temas forenses en América Latina, Europa y Estados Unidos, revisó tiendas de comercio electrónico en varios países, además de entrevistar a funcionarios de gobierno, agentes retirados del orden público, expertos cibernéticos, activistas de derechos humanos y peritos forenses, a fin de determinar hasta dónde la reventa informal de tecnología sensible de Cellebrite puede estar llegando a manos de regímenes represivos con solo un clic.

El poder de http://

Ahora mismo, cualquier persona anónima al servicio de un gobierno autoritario como el chino, venezolano o bielorruso, le tomará dos minutos comprar a través de eBay un dispositivo UFED Touch II, de segunda mano, con el cual podrá ingresar a decenas de modelos de teléfonos con sistema operativo Android de Google y iOS de Apple.

Un revendedor que estuvo ofreciendo el UFED Touch II en eBay recientemente señaló que la licencia del dispositivo había vencido el 18 de noviembre de 2020, “pero se puede usar sin una licencia, simplemente con presionar el botón ‘omitir instalación’ cuando el software se inicie y el dispositivo seguirá usándose normalmente”.

De acuerdo con otro revendedor, el dispositivo UFED Touch II que ofrece puede acceder a teléfonos con el sistema iOS de Apple 12.3 y las versiones 7 y 8 de Android, “ya que la máquina tiene un modo heredado, lo que significa que puede hacer actualizaciones más nuevas para iOS y Android”.

El costo de varios dispositivos UFED Touch II en eBay ronda los $ 1.700, “un precio inferior a los $10.000 en promedio que alguien debe pagar por un UFED Touch nuevo con tarifa de licencia anual de $ 3.000 a $ 4.000”, aseveró Kristian Klaus, especialista forense polaco que ha utilizado productos de Cellebrite en investigaciones para una empresa privada en Varsovia.

Las herramientas de Cellebrite pueden extraer e interpretar datos de al menos 181 aplicaciones en el sistema operativo Android y al menos 148 aplicaciones en los iPhone de Apple, según un informe de Upturn, organización sin fines de lucro de Washington que investiga cómo la policía usa tecnología.

Desde aplicaciones de Google como Google Maps, Gmail y Google Photos, hasta las aplicaciones de citas como Tinder, Grindr y OkCupid, Nike+ Run Club, redes sociales como Facebook, Instagram, Twitter y Snapchat, los navegadores web como Chrome y Firefox, e incluso las aplicaciones de mensajería encriptadas como Signal y Telegram, pueden extraerse con el hardware de Cellebrite, revela el informe.  

Foto ilustrativa de Itempnews

Desde que en febrero de 2019 activistas y abogados israelíes como Eitay Mack denunciaron por primera vez la reventa de equipos de Cellebrite en eBay y otros sitios web de comercio electrónico, han transcurrido tres años y la situación no ha cambiado, de acuerdo con los hallazgos del Proyecto Itempnews.

Un portavoz de eBay no respondió a solicitudes de información en relación con estas ventas de tecnología de doble uso en su portal de internet.   

Mientras el software espía Pegasus de la empresa israelí NSO Group puede acceder y controlar de forma remota un teléfono celular y el contenido que almacena (incluso datos encriptados), las fuerzas del orden público utilizan productos forenses de Cellebrite para extraer el contenido de los dispositivos incautados cuando sea imposible hallar las contraseñas y entrar.

Decenas de cuerpos policiales de Estados Unidos, además del Departamento de Seguridad Nacional, han sido clientes de Cellebrite desde hace varios años con el dispositivo UFED como el primer producto para ordenar del catálogo de compra, reveló el informe de Upturn.

En el último año, las empresas tecnológicas israelíes han estado bajo presión luego de que en julio de 2021 un conjunto de medios de comunicación dejara al descubierto que el spyware desarrollado por NSO Group, se utilizó para piratear al menos 50. 000 números de teléfonos de activistas de derechos humanos, funcionarios públicos, líderes internacionales y periodistas de todo el mundo.

La administración Biden incluyó en noviembre de 2021 a NSO Group a la «lista negra de entidades» que prohíbe a la empresa adquirir tecnologías estadounidenses, luego de determinar que sus herramientas de espionaje telefónico habían sido utilizadas en «actividades cibernéticas maliciosas».

Con Cellebrite el asunto no ha sido menos polémico, luego de conocerse que productos como UFED fueron vendidos y sus software actualizados a gobiernos represivos como Rusia, Venezuela, Arabia Saudí, Bielorrusia y China.

Estas revelaciones forzaron a los ejecutivos de Cellebrite en Petaj Tikva, la ciudad en el centro de Israel donde la compañía tiene su sede principal, a restringir y suspender la venta de sus dispositivos a gobiernos represivos, bajo sanciones internacionales, o en la lista negra del GAFI.

Pero a medida que surgieron restricciones formales de la empresa, se abrió un pasadiso por el cual los productos se están ofertando a través de terceros sin regulaciones, de acuerdo con la investigación de Itempnews.

Al servicio de Venezuela

Cuando en octubre de 2021 la Dirección de Contrainteligencia Militar venezolana (DGCIM) difundió en un programa de la televisión estatal el uso de UFED Touch II como una de sus tecnologías estrella “para la lucha contra el crimen”, el mensaje causó ruido en los activistas de derechos humanos del país caribeño.

La DGCIM ha estado bajo escrutinio internacional desde hace tiempo por las constantes denuncias de que sus agentes participan en actividades de espionaje y represión. Dos informes de Naciones Unidas (ONU) revelaron en 2020 y 2021 que en las distintas sedes de ese organismo se cometen torturas contra las personas detenidas.

Luis Carlos Díaz, reputado periodista venezolano y activista por los derechos humanos, destacó cómo las conclusiones de los dos informe de la ONU sobre la situación en Venezuela ilustraron la práctica sistemática de las autoridades de decomisar sin orden judicial los celulares y computadores de ciudadanos que se oponen al régimen, aplicando en muchos casos coerción para acceder a las contraseñas de uso.

“El informe de la ONU relata la manera en que personas que fueron víctimas de detenciones arbitrarias y torturas se les exigió las claves de sus teléfonos personales, los policías luego accedían a los dispositivos y usaban las conversaciones de WhatsApp para chantajear”, recordó Díaz.  

La forma en que el régimen autoritario de Nicolás Maduro ha utilizado a los organismos del Estado y fuerzas de seguridad para reprimir y torturar no daba crédito a que el Gobierno venezolano hiciera gala de un UFED Touch II… o al menos públicamente.

El presidente Nicolás Maduro (c) tiene una orden de arresto por parte de EEUU, que lo acusa por narcotráfico (Foto/Presidencia de Venezuela)

En noviembre de 2019 Maduro anunció que el Gobierno pagaría $ 55.000 para adquirir equipos UFED Touch II para ser entregados a la policía científica.

Luego del anuncio no trascendió si el contrato con Cellebrite se ejecutó.

No obstante, las autoridades de Venezuela figuraban en la lista de clientes de Cellebrite desde al menos 2013, cuando Hugo Chávez aún era presidente de la nación, informó del diario israelí Haaretz en septiembre de 2020. 

Incluso tras el fallecimiento de Chávez en 2013 y el ascenso de Maduro al poder, la empresa israelí continuó proveyendo su tecnología a los organismos de seguridad, a pesar de que Venezuela e Israel no mantienen relaciones diplomáticas desde 2008. Todo esto lo pudo comprobar el Proyecto Itempnews tras revisar documentos judiciales y entrevistar a funcionarios venezolanos encargados de hacer cumplir la ley.

“Cellebrite no ha trabajado con clientes de defensa o policía en Venezuela durante varios años, y no cambiará su política con respecto al país mientras el régimen actual se mantenga en el poder”, aclaró un portavoz de la empresa en un correo electrónico.

El Ministerio Público de Venezuela fue el primero en adquirir dispositivos UFED, y años más tarde lo hizo la Dirección de Inteligencia Militar para ejecutar sus propias investigaciones, contó un exfuncionrio del Ministerio Público bajo condición de anonimato por no estar autorizado a detallar contratos del Estado.

Si bien la tecnológica israelí cuenta que «con mecanismos en la mayoría de nuestras soluciones de hardware para garantizar que no funcionen más allá de las fechas de vencimiento si no se renuevan legalmente”, según el portavoz, los informes del Gobierno venezolano sembraron dudas sobre esta afirmación.

Un funcionario de alto rango del Gobierno israelí comunicó al Proyecto Itempnews que las ventas de Cellebrite se produjeron “hace muchos años y no entraban en la categoría de tecnología de seguridad sensible que pudieran ser restringidas para exportaciones a Venezuela”.

“En este momento, Israel no autorizaría la exportación a Venezuela de tecnologías (como las que comercializa Cellebrite). Sabemos lo que está pasando en ese país, donde no hay independencia de poderes”, advirtió el alto funcionario, que habló bajo condición de anonimato debido a la delicadeza del asunto.

Es la primera vez que un alto funcionario del Gobierno de Israel se refiere específicamente al caso de los dispositivos UFED en Venezuela.

La Agencia de Control de Exportaciones de Defensa (DECA), adscrita al Ministerio de Defensa de Israel, y el Ministerio de Economía e Industria, encargados de conceder la licencia de exportación de tecnologías producidas en el Estado judío, no respondieron a las solicitudes de información.

El Ministerio de Defensa de Israel (edificio del centro) es el encargado de regular las exportaciones de tecnología sensible (Foto/Dreamstime)

En medio de la tormenta que azota a NSO Group, la empresa fabricante del software espía Pegasus, Israel endureció en diciembre de 2021 el control de las exportaciones cibernéticas a través de la DECA y publicará una versión actualizada de la declaración de usuario final que los países deben firmar como condición para obtener licencias tecnológicas sensibles.

Aunque Israel no es miembro de buena parte de los pactos, grupos y acuerdos relacionados con las exportaciones de armas y tecnologías de uso dual que requieren vigilancia, aplica restricciones con base en estos instrumentos legales y exige autorización para exportar todos los artículos incluidos en sus listas de control.

El comercio de tecnología forense para la lucha contra la delincuencia y el terrorismo global ha sido un negocio de larga data para las empresas dedicadas a esta industria en Estados Unidos y Europa, donde radican los mayores exportadores del mundo.

De alguna manera, el riesgo subyacente es que la tecnología termine siendo utilizada para otros fines que socavan por completo la función para la cual fueron vendidas. Los hechos a lo largo del tiempo demuestran que termina siendo así.

Obsoleto versus propaganda

Mientras el Gobierno venezolano afirma que posee dispositivos UFED Touch II y otras tecnologías sofisticadas de doble uso, para algunos críticos se trataría de una forma de intimidar a la población más que de la realidad de un país bajo sanciones económicas, donde las grandes empresas internacionales se cuidan de verse relacionadas con el régimen de Maduro.

El problema ha sido la opacidad con la cual Cellebrite maneja lo ocurrido con Venezuela, al ofrecer respuestas ambiguas y que alimentan el discurso de poder de la dictadura venezolana.

Un portavoz de la empresa argumentó que “en el caso extremadamente raro de que nuestra tecnología se use de una manera que no esté de acuerdo con la ley internacional o no cumpla con los términos de uso de Cellebrite, rescindiremos la licencia de inmediato y no proporcionaremos actualizaciones de software”.

Yossi Carmil, el director ejecutivo de Cellebrite, dijo no tener «nada que añadir más allá de la información que ya hemos proporcionado» sobre el caso de Venezuela, en una declaración enviada a Itempnews por correo electrónico.

Natalia Krapiva, asesora legal tecnológica de Access Now, organización sin fines de lucro que aboga por los derechos humanos y el Internet libre y abierto advirtió que “el hecho de que, si Cellebrite afirma que dejó de operar en ciertos países, no tenemos evidencia que sugiera que la compañía también solicitó que se les devolvieran los dispositivos. Esto significa que, incluso si detiene las actualizaciones e invalidan la garantía (lo que parece sugerir el modelo de contrato que utilizan), UFED aún podría usarse en dispositivos más antiguos”.

“Revocar la licencia y la garantía de los dispositivos no es suficiente. En el caso de Venezuela, Cellebrite no debería haber vendido UFED en primer lugar, dado el horrendo historial de derechos humanos del gobierno venezolano”, agregó Krapiva.

Incluso cuando Maduro anunció la compra de nuevos equipos UFED, en 2019, su gobierno ya estaba bajo la lupa por la represión policial y presuntas ejecuciones extrajudiciales de 2017, durante una ola de protestas nacionales.

El excomisario de la Policía Científica venezolana, Víctor Ugas, recuerda que el Gobierno de Venezuela recibió en 2011 varios equipos de tecnología israelí a través de donaciones de la Unión Europea en un momento crítico de inseguridad en el país.

Foto ilustrativa de Itempnews

“En una oportunidad llegaron donaciones de Israel, maletines que eran para trabajar a nivel de colaboración, destinados a la intercepción de llamadas en materia de extorsión y secuestro por el alto volumen de delitos de este tipo que se manifestó en Venezuela en su oportunidad”, recordó Ugas, quien fue jefe nacional de Criminalística del CICPC (Cuerpo de Investigaciones Científicas Penales y Criminalísticas) entre 2011 y 2012.

Ugas desconoce si la tecnología que recibieron los cuerpos de seguridad era Cellebrite. Sin embargo, aclaró que, en lo que respecta a las interceptaciones de telefonía, el SEBIN (Servicio Bolivariano de Inteligencia) y la DGCIM son los encargados de llevar acabo estas investigaciones.

Ambos organismos fueron acusados por Naciones Unidas en su informe de prestar servicio al Gobierno venezolano para apuntalar su aparato de control y represión. 

Los informes dicen algo

Como delegado técnico para presenciar experticias, Raymond Orta, abogado venezolano y especialista en tecnología e informática forense, vio en varias oportunidades equipos Cellebrite en manos de agentes encargados de hacer cumplir la ley en Venezuela, lo que evidencia que por mucho tiempo han estado utilizando esta tecnología.

“En 2017 estos equipos ya estaban en Venezuela, pero los funcionarios me dijeron que las licencias estaban cerca de vencer. No sé si hubo una renovación”, recordó.

Para un veterano del análisis forense como Orta, “lo esencial en esa área es la actualización constante. Desconozco realmente si Venezuela tiene tecnología de punta en este momento, pero estos equipos, en general, si no se actualizan, pierden vigencia con rapidez debido a los cambios en los sistemas operativos y las aplicaciones”. 

La mayoría de las organizaciones no gubernamentales que ofrecen defensa pública y acompañamiento legal en Venezuela han constatado que el Gobierno cuenta con herramientas para lograr la extracción de información de celulares y computadoras, cuando no tienen la capacidad de acceder a través de contraseñas.

«Hemos visto actas judiciales de algunos casos que defendimos donde los fiscales aseguran que lograron extraer información de los celulares para ser presentados en casos judiciales, pero no especifican qué tipo de herramientas utilizan», relató un representante de una organización venezolana dedicada a la defensa legal quien pidió no relevar su identidad por temor a represalias de las autoridades.

El Proyecto Itempnews no pudo revisar de manera independiente las actas judiciales mencionadas.

Cuando Cellebrite anunció su inminente salida a la bolsa, el verano pasado, activistas de derechos humanos presionaron para que la Comisión del Mercado de Valores (SEC, por su sigla en inglés) rechazara la propuesta de la empresa hasta que abordara la falta de salvaguardas que llevaron a la venta y el uso de su tecnología por parte regímenes represivos.

En un último esfuerzo en beneficio de su imagen, Cellebrite estableció una Oficina de Ética y Comité de Integridad que “busca asesorar a la junta directiva en asuntos clave como prácticas comerciales responsables, leyes o reglamentos aplicables a la venta de sus tecnologías”.

Así las cosas, en muchos casos estos comité ad hoc trabajan a ciegas, sin conocer cuáles productos desarrollan los técnicos y científicos, amparados en el secreto empresarial.

Foto ilustrativa de Itempnews

A Cellebrite no le ha ido mal en los últimos tiempos. Los ingresos de la compañía ascendieron en 2021 a 246 millones de dólares, un 26 % más que 2021, según los últimos resultados financieros, impulsados, sobre todo, por suscripciones a las tecnologías desarrolladas (como UFED, aunque no se especifica) y contratos públicos y privados.   

La Casa Blanca y el Congreso son conscientes de una tendencia cada vez más alarmante en los gobiernos de corte autoritario por recurrir a software que permita vigilar a la población y amedrentar a quienes se opongan al líder de turno, sin importar el verdadero fin para el cual las tecnologías de seguridad fueron creadas.    

Krapiva, la abogada de Access Now, advierte que, en el caso de los dispositivos UFED, “estamos hablando de una poderosa herramienta forense que puede descifrar contraseñas, encriptación, y otras medidas de seguridad, por lo que, tanto la empresa como los reguladores externos deberían controlar su venta y uso”.


Autor: Frank López Ballesteros

Edición: Conchita Delgado


¿Por qué escribimos esta historia?

Porque si bien la mayoría de los dispositivos UFED de Cellebrite para hackear teléfonos y obtener datos que están en reventa no son de nueva gama, demuestra las vulnerabilidades a la hora de que gobiernos represivos accedan al producto y las actualizaciones de licencias a través de terceros por unos pocos dólares. El peligro es que pueden utilizar estos equipos para acosar a periodistas y disidentes políticos.