¿Violó sanciones internacionales la firma israelí Cellebrite vendiendo equipos de piratería telefónica a Venezuela?

martes, 6 abril, 2021martes, 6 abril, 2021 expresaSE 0 comentarios

Cellebrite es una empresa israelí de inteligencia digital que proporciona herramientas para la recopilación, el análisis y la gestión de datos digitales. La empresa es una subsidiaria de la multinacional japonesa Sunsoft .

Cellebrite tiene su sede en Petah Tikva , Israel. Sus dos empresas subsidiarias, Cellebrite USA Corp. y Cellebrite GmbH, tienen su sede, respectivamente, en Parsippany, Nueva Jersey, EE. UU., Y Munich, Alemania. Cellebrite es una subsidiaria de propiedad total de Sun Corporation , una empresa que cotiza en bolsa y cotiza en JASDAQ con sede en Nagoya , Japón.

En 2017, la división Mobile Lifecycle de Cellebrite pasó a llamarse Mobilogy.

Mobilogy produce hardware y software para transferencia de datos de teléfono a teléfono, respaldo, distribución de software electrónico de aplicaciones móviles y herramientas de análisis de datos. Los productos Mobilogy son utilizados por varios operadores móviles y se implementan en puntos de venta minoristas inalámbricos . Mobilogy trabaja con los fabricantes de teléfonos para garantizar la compatibilidad antes de que los dispositivos se lancen al público.

La división Mobile Forensics de Cellebrite se estableció en 2007 y produce software y hardware para fines de inteligencia digital utilizados por las fuerzas del orden público federales, estatales y locales; agencias de inteligencia; ramas militares; seguridad e investigaciones corporativas; bufetes de abogados; y examinadores forenses digitales privados.

Cellebrite fue establecida en Israel en 1999 por Avi Yablonka, Yaron Baratz y Yuval Aflalo. El primer hardware y software fabricado por Cellebrite ofrecía dispositivos de transferencia de datos comprimidos de teléfono a teléfono y ofrecía sincronización de contactos y herramientas de transferencia de contenido para teléfonos móviles, destinados a ser utilizados por el personal de soporte y ventas de operadores inalámbricos en tiendas minoristas.

Inicialmente, los productos comerciales de Cellebrite se utilizaron como una herramienta para la migración de teléfonos móviles habilitados con IS-95 ( CDMA ) al estándar GSM. Más tarde, el Intercambiador de memoria universal (UME) de Cellebrite Wireless Carriers & Minoristas obtuvo capacidades adicionales de extracción y transferencia de datos, así como diagnósticos, copias de seguridad y administración y entrega de aplicaciones adicionales de teléfonos móviles.

En 2007, Cellebrite estableció una división independiente dirigida a la industria forense móvil. Mobile Forensics de Cellebrite introdujo productos forenses móviles en 2007, bajo la marca familiar ‘Dispositivo de extracción forense universal’ (UFED), con la capacidad de extraer datos físicos y lógicos de dispositivos móviles como teléfonos celulares y otros dispositivos móviles de mano, incluida la capacidad de recuperar datos eliminados y descifrar información cifrada y protegida con contraseña.

También en 2007, Cellebrite fue adquirida por FutureDial Incorporated y uno de sus principales accionistas, Sun Corporation en Japón. Hoy, Sun Corporation es el mayor accionista de Cellebrite. En 2019, Israeli Growth Partners (IGP) invirtió 110 millones de dólares en Cellebrite.

En abril de 2011, el capítulo de Michigan de la Unión Estadounidense de Libertades Civiles cuestionó si los agentes de la Policía Estatal de Michigan (MSP) estaban usando UFED de Cellebrite para realizar búsquedas ilegales de los teléfonos celulares de los ciudadanos. Tras su negativa a conceder la solicitud de la Ley de Libertad de Información de 2008 de la MCLU a menos que la organización pagara 544.000 dólares para recuperar los informes, MSP emitió una declaración afirmando que cumplía con la Cuarta Enmienda en la búsqueda de dispositivos móviles.

En marzo de 2016, se informó que Cellebrite se ofreció a desbloquear un iPhone involucrado en la disputa de cifrado entre el FBI y Apple. Más tarde, después de que el FBI anunció que había accedido con éxito al iPhone gracias a un tercero, un informe de prensa afirmó que Cellebrite había ayudado a desbloquear el dispositivo, algo que una fuente del FBI negó.

Un volcado de datos de 2017 sugiere que Cellebrite vendió sus productos de extracción de datos a Turquía, los Emiratos Árabes Unidos y Rusia.

El 16 de septiembre de 2020, se publicó un informe que afirmaba que una empresa israelí proporcionó a Arabia Saudita servicios tecnológicos para piratear un teléfono móvil. El personal de Cellebrite exigió a los saudíes que enviaran a un representante del gobierno para reunirse con uno de sus empleados en el aeropuerto de Riad. Tras la demanda, un representante de Cellebrite viajó a Riad en noviembre de 2019 para intentar piratear un teléfono en posesión de un empleado del Ministerio de Justicia de Arabia Saudita. El representante de Cellebrite pidió a las autoridades que lo dejaran pasar por el control de pasaportes sin obtener su pasaporte sellado o comprobado su equipo electrónico, permaneciendo únicamente bajo su posesión. Se suponía que el pirata informático debía dirigirse a una habitación de hotel aislada del aeropuerto, donde estaba previsto que el proceso se ejecutara sin vigilancia electrónica. El representante de Cellebrite luego regresó al aeropuerto de Riad para volar de regreso a Londres.

En agosto de 2020, se informó que Cellebrite vendió sus servicios a la Policía de Hong Kong para usarlos en el desbloqueo de teléfonos de manifestantes detenidos durante las protestas de Hong Kong de 2019-2020. A partir del 7 de octubre de 2020, la compañía anunció que dejaría de vender sus soluciones y servicios a clientes en Hong Kong y China como resultado de un cambio en las regulaciones estadounidenses.

El programa UFED de Cellebrite se utilizó para perseguir a la oposición en Bielorrusia y Rusia. En marzo de 2021, después de descubrir que se utilizó tecnología en el caso Lyubov Sobol, un activista de Jerusalén presentó una demanda contra la empresa en la Corte Suprema de Israel. Poco después, la empresa anunció la terminación de su asociación con Rusia.

El 12 de enero de 2017, se informó que un pirata informático desconocido había adquirido 900 GB de datos confidenciales de los servidores externos de Cellebrite. El volcado de datos incluye supuestos nombres de usuario y contraseñas para iniciar sesión en las bases de datos de Cellebrite conectadas al dominio my.cellebrite de la compañía, y también contiene lo que parecen ser archivos de evidencia de teléfonos móviles incautados y registros de dispositivos Cellebrite.

Los datos sugieren que Cellebrite vendió sus productos de extracción de datos a países como Turquía, los Emiratos Árabes Unidos y Rusia.

En 2017, Cellebrite celebró un contrato con el Servicio de Inmigración y Control de Aduanas de EE. UU. Por 2,2 millones. El 24 de junio de 2019, US Cellebrite firmó un contrato con ICE por entre $ 30 y $ 35 millones. El contrato de 2019 es para «dispositivos de extracción forense universal (UFED)» y «licencias de accesorios, capacitación y servicios de soporte» por un año, con la opción de extenderlo hasta por cinco años.

Venta de tecnología en Venezuela pese a sanciones

La firma israelí Cellebrite vendió su tecnología de piratería telefónica al Gobierno de Nicolás Maduro en Venezuela, a pesar de las sanciones estadounidenses que prohíben las exportaciones al país. Mientras tanto, Cellebrite niega con vehemencia cualquier oferta para vender su nuevo sistema, capaz de permitir que los regímenes ingresen a los teléfonos móviles, a la nación sudamericana.

“Cellebrite no ha trabajado con clientes de la defensa o la policía en Venezuela durante varios años y no cambiará su política con respecto al país mientras el régimen actual se mantenga en el poder”, dijo la firma.

Según un reporte de Oded Yaron en 2020 para el diario israelí Haaretz, Cellebrite ha capturado una parte importante del mercado forense móvil, proporcionando a las fuerzas policiales, agencias gubernamentales y empresas privadas de todo el mundo hardware y software que permiten a los investigadores extraer información de la mayoría de los dispositivos portátiles, incluso si los datos se han cifrado, eliminado o cargado a la nube. La compañía ha enfrentado acusaciones de activistas de derechos humanos de que vende su equipo tanto al régimen chino en su intento por reprimir a los manifestantes prodemocráticos en Hong Kong, como al gobierno en Bielorrusia devastada por las protestas , afirmaciones que la firma ha negado o se negó a confirmar o responder.

Las acusaciones también están vinculadas a una petición del abogado de derechos humanos Eitay Mack, presentada a la Agencia de Control de Exportaciones de Defensa, una parte del Ministerio de Defensa de Israel encargada de supervisar las exportaciones de armas. Mack exige que la autoridad también supervise Cellebrite y sus actividades, esto en parte debido a los planes del Gobierno de Maduro de comprar el sistema forense móvil avanzado, UFED Touch 2. No está claro si Cellebrite está registrado actualmente como exportador de defensa.

El Gobierno de Maduro anunció sus planes de comprar el sistema en 2019 y desde entonces ha repetido las afirmaciones en varias declaraciones y publicaciones oficiales. En una carta enviada por Mack a la jefa de la autoridad de supervisión en Israel, Racheli Chen, la instó a «anunciar inmediatamente al público que se requerirá que Cellebrite se registre como exportador de defensa».

Además, exigió que se prohibiera a Cellebrite exportar «directa o indirectamente» el nuevo sistema UFED. Advirtió sobre posibles intentos de vender indirectamente el sistema a Venezuela, en particular en medio de informes que decían que las versiones anteriores del sistema estaban a la venta en línea en sitios como eBay.

Cellebrite tiene un perfil relativamente positivo en términos de derechos humanos, presentándose como una empresa comprometida con altos estándares éticos a pesar de los informes sobre usos problemáticos de su tecnología. En 2019 Vice News informó que vendió su tecnología a Rusia, los Emiratos Árabes Unidos y Turquía. Un informe adicional de Privacy International afirmó que la empresa también se había comunicado con el régimen de Bahrein, proponiendo que su tecnología se utilizara para rastrear a los refugiados.

Su imagen positiva sobre los derechos humanos ha comenzado a mostrarse agrietada recientemente, con informes de su participación en Hong Kong y Bielorrusia. En Hong Kong, fueron acusados de vender tecnología forense de las fuerzas del orden local en forma de un dispositivo que los agentes de policía podían usar para desbloquear y extraer datos de teléfonos confiscados de manifestantes. Si bien la situación legal en Hong Kong es compleja debido a la naturaleza de su relación con China, que está aplicando cada vez más una legislación nueva y dura en el territorio, la noticia de que la empresa vende su tecnología a los infames escuadrones de negociación de Bielorrusia, actualmente tomando medidas enérgicas contra los manifestantes de la democracia en el país, lo arroja de una manera algo más dura.

Las afirmaciones de que vendió su tecnología de piratería de teléfonos móviles a Bielorrusia, una dictadura gobernada desde 1994 por el presidente Alexander Lukashenko, han puesto de relieve la participación de la empresa en regímenes represivos y va en contra de las afirmaciones de la empresa de que no hace negocios con países que enfrentan sanciones. Por ejemplo, esto es parte de la respuesta de la empresa con respecto a su supuesta participación en Hong Kong y Bielorrusia:

«No vendemos nuestra tecnología a países en la lista negra del GAFI (Grupo de Acción Financiera Internacional) o sujetos a sanciones estadounidenses, o del gobierno israelí o de la comunidad internacional».

El dispositivo que el Gobierno de Maduro pretendía comprar, y para el que ya había asignado un presupuesto, iba a ser utilizado por el Cuerpo de Investigaciones Científicas, Penales y Criminalísticas (CICPC). En la carta enviada por Mack, se afirmó que esta unidad no solo está a cargo de las investigaciones científicas forenses, sino que algunos de sus funcionarios han sido acusados de ejecuciones extrajudiciales, secuestros y torturas de ciudadanos disidentes.

“Según la exfiscal general de Venezuela, unas 8.292 personas fueron ejecutadas sin juicio por las fuerzas de seguridad que actúan en nombre del Gobierno entre 2015 y 2017. Según el grupo venezolano de derechos humanos COFAVIC, funcionarios del CICPC fueron responsables de hasta un tercio de esas ejecuciones».

No está claro que Cellebrite esté sujeto a la supervisión israelí de sus actividades de exportación. El Ministerio de Economía ha dicho que es competencia del Ministerio de Defensa. En respuesta a una consulta de Mack sobre Hong Kong, el Ministerio de Economía dijo que no es responsable de la supervisión de Cellebrite y no le ha otorgado a la compañía una licencia de exportación, explicando que está bajo la jurisdicción del Ministerio de Defensa.

La situación en Venezuela no impidió que la empresa vendiera versiones anteriores de UFED, a pesar del embargo estadounidense que se impuso al país en 2006. Esto, a pesar de las afirmaciones de la empresa de que no vende equipos a empresas sancionadas. Desde entonces, Estados Unidos ha ampliado e intensificado las sanciones contra Venezuela y varios funcionarios venezolanos. En 2017, la Unión Europea también impuso sanciones al país.

Según la evidencia disponible en línea, CICPC ya cuenta con lo que parece ser la versión UFED Touch Ultimate, que, según el folleto comercial, fue desarrollada en 2013. En otras palabras, el sistema se vendió al régimen actual o, como muy pronto, al de su predecesor, Hugo Chávez, quien falleció en marzo de 2013.

Los primeros informes sobre el uso de la tecnología Cellebrite aparecieron en el sitio web de CICPC en 2015 y, según un fallo de la corte de apelaciones venezolana, UFED Touch Ultimate también se utilizó ese año para piratear los teléfonos de los sospechosos. Desde entonces, la unidad evidentemente ha seguido usando el dispositivo e incluso lo mostró en una exhibición de las fuerzas de seguridad en 2017.

En el acuerdo de Términos de uso de Cellebrite, se reserva el derecho de desactivar sus dispositivos desde lejos. “El software puede ser proporcionado al comprador con un código que permite a Cellebrite desactivar dicho software”, establece el acuerdo. Pero el acuerdo continúa diciendo: “No obstante cualquier disposición en contrario, Cellebrite puede invocar el código de desactivación sin el consentimiento [del] comprador si Cellebrite cree razonablemente que dicho software ha sido, está siendo o será utilizado en violación de las leyes; Cellebrite debe hacerlo debido a una orden judicial o reglamentaria; [el] comprador no ha pagado una factura pendiente más de 60 días después de la fecha de vencimiento de dicha factura, o; [el] comprador ha utilizado el software de forma distinta a la autorizada por la licencia del comprador «.

En el acuerdo de Términos de uso de Cellebrite, se reserva el derecho de desactivar sus dispositivos de manera remota

Si se cree en el acuerdo de los Términos de uso de Cellebrite, el software instalado en los dispositivos utilizados por los gobiernos de Venezuela, Hong Kong y Bielorrusia podría desactivarse desde lejos. Sin embargo, los dispositivos aparentemente todavía están siendo utilizados por las organizaciones encargadas de hacer cumplir la ley en estos lugares.

Cuando se le preguntó al representante de relaciones públicas de la compañía en Israel si Cellebrite había desactivado dispositivos en el pasado, se negó a responder. También se negó a decir cuándo Cellebrite dejó de trabajar en Venezuela.

Como se informó en relación con Bielorrusia, el Ministerio de Economía de Israel declaró que cree que se trata de un equipo de doble uso que requiere la supervisión del Ministerio de Defensa israelí. El Ministerio de Defensa, por su parte, no confirmará ni desmentirá si está supervisando a la empresa, por lo que aún no está claro si se le ha impuesto alguna regulación.

En respuesta a una consulta de Haaretz, el Ministerio de Defensa dijo:

“Operando sobre la base de la Ley de Control de Exportaciones de Defensa 5766-2007, el Ministerio de Defensa supervisa la exportación de equipo de seguridad (equipo de misiles, equipo de combate y equipo supervisado de doble uso) de acuerdo con las listas de productos supervisados, que se basan en listas de los regímenes de supervisión internacionales”.

«El Ministerio de Defensa no proporciona detalles sobre la política de exportación de defensa y no comenta sobre licencias específicas o entradas en el registro de exportación, por razones de seguridad, diplomáticas y estratégicas».

Esta respuesta no aclara si la empresa está bajo supervisión, pero la referencia a “regímenes de supervisión internacionales” sugiere que el Ministerio de Defensa puede estar insinuando que las sanciones estadounidenses no se aplican en este caso.

Si esa es realmente la intención, no se puede conciliar con declaraciones anteriores del Ministerio de Defensa, como señaló el abogado Mack en su carta. En al menos dos casos diferentes, la Agencia de Control de Exportaciones de Defensa respondió que, “la política de exportación de defensa de Israel, con respecto a ciertos países y en general, se reexamina con frecuencia a la luz de la política de varios organismos internacionales como el Consejo de Seguridad de la ONU, la Unión Europea y los Estados Unidos «.