Durante años, policías y otras autoridades gubernamentales de todo el mundo han estado utilizando la tecnología de piratería telefónica proporcionada por Cellebrite para desbloquear teléfonos y obtener los datos que contienen. Y la compañía se ha mostrado interesada en mantener el uso de su tecnología en secreto.
Como parte del trato con las agencias gubernamentales, Cellebrite les pide a los usuarios que mantengan su tecnología, y el hecho de que la usaron, en secreto, según pudo saber TechCrunch. Esta solicitud se refiere a los expertos legales que argumentan que la tecnología poderosa como la que construye y vende Cellebrite, y cómo es utilizada por las agencias de aplicación de la ley, debe ser pública y analizada.
En un video de capacitación filtrado para clientes encargados de hacer cumplir la ley que obtuvo TechCrunch, un empleado sénior de Cellebrite les dice a los clientes que «en última instancia, han extraído los datos, son los datos los que resuelven el crimen, cómo ingresaron, tratemos de mantener eso». tan callado como sea posible”.
“Realmente no queremos que ninguna técnica se filtre en la corte a través de prácticas de divulgación, o ya sabes, en última instancia, en el testimonio, cuando estés sentado en el estrado, presentando toda esta evidencia y discutiendo cómo llegaste al teléfono”, dijo el empleado. a quien no nombramos, dice en el video.
Para los expertos legales, este tipo de solicitud es preocupante porque las autoridades deben ser transparentes para que un juez autorice registros o autorice el uso de ciertos datos y pruebas en los tribunales. El secreto, argumentan los expertos, daña los derechos de los acusados y, en última instancia, los derechos del público.
«Los resultados que escupen estos productos súper secretos se utilizan en los tribunales para tratar de probar si alguien es culpable de un delito», dijo a TechCrunch Riana Pfefferkorn, investigadora del Observatorio de Internet de la Universidad de Stanford. “El acusado (ya sea a través de sus abogados o de un experto) debe tener la capacidad de comprender completamente cómo funcionan los dispositivos de Cellebrite, examinarlos y determinar si funcionaron correctamente o si tenían fallas que podrían haber afectado los resultados”.
“Y cualquiera que testifique sobre esos productos bajo juramento no debe ocultar información importante que podría ayudar a exonerar a un acusado criminal únicamente para proteger los intereses comerciales de alguna empresa”, dijo Pfefferkorn.
Hanni Fakhoury, un abogado de defensa criminal que ha estudiado la tecnología de vigilancia durante años, le dijo a TechCrunch que «la razón por la cual esas cosas deben ser reveladas es que la defensa debe poder averiguar si hubo un problema legal en la forma en que esta evidencia fue revelada». ¿obtenido? ¿Tengo la capacidad de desafiar eso?’”
El empleado de Cellebrite afirma en el video que divulgar el uso de su tecnología podría ayudar a los delincuentes y dificultar la vida de las fuerzas del orden.
“Es muy importante mantener todas estas capacidades lo más protegidas posible porque, en última instancia, las fugas pueden ser dañinas para toda la comunidad de aplicación de la ley a nivel mundial”, dice el empleado de Cellebrite en el video. “Queremos asegurarnos de que no se extienda el conocimiento generalizado de estas capacidades. Y si los malos descubren cómo nos estamos metiendo en un dispositivo, o que somos capaces de descifrar una aplicación de mensajería encriptada en particular, mientras que podrían pasar a algo mucho, mucho más difícil o imposible de superar, definitivamente no lo hacemos. No quiero eso.
El portavoz de Cellebrite, Victor Cooper, dijo en un correo electrónico a TechCrunch que la compañía “está comprometida a apoyar la aplicación ética de la ley. Nuestras herramientas están diseñadas para un uso lícito, con el máximo respeto por la cadena de custodia y el proceso judicial”.
“No aconsejamos a nuestros clientes que actúen en contravención de ninguna ley, requisitos legales u otros estándares forenses”, dijo el portavoz. “Si bien continuamos protegiendo y esperando que los usuarios de nuestras herramientas respeten nuestros secretos comerciales y otra información confidencial y patentada, también continuamos desarrollando permanentemente nuestra capacitación y otros materiales publicados con el fin de identificar declaraciones que podrían ser mal interpretadas por los oyentes, y en este respeto, le agradecemos por llamar nuestra atención sobre esto”.
Cuando se le preguntó si Cellebrite cambiaría el contenido de su capacitación, el vocero no respondió.
Saira Hussain, abogada sénior del personal de Electronic Frontier Foundation, y Cooper Quintin, tecnólogo sénior del personal, le dijeron a TechCrunch en un correo electrónico que “Cellebrite está ayudando a crear un mundo donde los países autoritarios, los grupos criminales y los cibermercenarios también pueden explotar estos dispositivos vulnerables y cometer delitos. , silenciar la oposición e invadir la privacidad de las personas”.
Cellebrite no es la primera empresa que pide a sus clientes que mantengan su tecnología en secreto.
Durante años, el contratista del gobierno Harris Corporation obligó a los organismos encargados de hacer cumplir la ley que querían utilizar su herramienta de vigilancia de teléfonos móviles, conocida como mantarrayas, a firmar un acuerdo de confidencialidad que, en algunos casos, sugería abandonar los casos en lugar de revelar qué herramientas usaban las autoridades. Estas solicitudes se remontan a mediados de la década de 2010, pero todavía están vigentes en la actualidad.
Aquí está la transcripción completa del video de entrenamiento:
Estoy feliz de que puedas unirte a nosotros. Y estoy feliz de dar inicio a este módulo inicial que cubre la descripción general del sistema y la orientación para Cellebrite Premium. Gracias y disfruta.
¿Sabía que Cellebrite Advanced Services tiene 10 laboratorios en nueve países diferentes alrededor del mundo? Bueno, para aprovechar toda esa capacidad, estamos trabajando juntos para brindarle esta capacitación, por lo que escuchará a colegas de todo el mundo. La siguiente lista son los que componen este conjunto de módulos actual, espero que disfrute conocerlos a cada uno.
Antes de comenzar, es muy importante repasar las preocupaciones de confidencialidad y seguridad operativa que debemos cumplir al usar Cellebrite Premium, no solo nosotros en nuestros propios laboratorios de Cellebrite Advanced Services, sino más particularmente usted en sus propios laboratorios en todo el mundo.
Bueno, debemos reconocer que esta capacidad en realidad está salvando vidas. Y en situaciones en las que es demasiado tarde, ayudamos a cerrar las cuentas de las familias de las víctimas y, en última instancia, a resolver los delitos y poner a las personas tras las rejas. Por lo tanto, es muy importante mantener todas estas capacidades lo más protegidas posible porque, en última instancia, las fugas pueden ser perjudiciales para toda la comunidad de aplicación de la ley a nivel mundial.
Con un poco más de detalle, estas capacidades que se incluyen en Cellebrite Premium, en realidad son secretos comerciales de Cellebrite, y queremos seguir garantizando su viabilidad para poder seguir invirtiendo fuertemente en investigación y desarrollo, para que podamos dar estas habilidades a las fuerzas del orden a nivel mundial. Su parte es asegurarse de que estas técnicas estén protegidas lo mejor que pueda, y considerarlas como «sensibles a la aplicación de la ley» o clasificarlas en un nivel más alto de protección en su país u organismo individual.
Y el motivo es que queremos asegurarnos de que no se extienda el conocimiento generalizado de estas capacidades. Y, si los malos descubren cómo nos estamos metiendo en un dispositivo, o que somos capaces de descifrar una aplicación de mensajería encriptada en particular, podrían pasar a algo mucho, mucho más difícil o imposible de superar. no quiero eso
También somos conscientes de que los fabricantes de teléfonos buscan continuamente reforzar la seguridad de sus productos. Y el desafío ya es tan difícil como es, pero seguimos teniendo avances realmente buenos. Por favor, no nos hagas esto más difícil de lo que ya es.
Y, en última instancia, no queremos que ninguna técnica se filtre en los tribunales a través de prácticas de divulgación, o ya sabes, en última instancia, en el testimonio, cuando estés sentado en el estrado, presentando toda esta evidencia y discutiendo cómo accediste al teléfono. En última instancia, ha extraído los datos, son los datos los que resuelven el crimen. Cómo entraste, tratemos de mantenerlo lo más silencioso posible.
Y ahora pasamos a la seguridad operativa u «opsec». Comienza con la protección física del sistema premium y todos sus componentes que recibió en el kit.
Estos pequeños fragmentos que hacen que toda esta capacidad… magia. Son activos muy sensibles y queremos asegurarnos de que no se empleen manipulaciones ni otras curiosidades en estos dispositivos. Y en algunos casos, existe la posibilidad de manipular y deshabilitar el componente, y eso es algo que realmente no desea hacer, porque podría impedir que su agencia tenga la capacidad mientras espera un reemplazo.
Además, la exposición de cualquiera de estas capacidades premium podría ser bastante dañina para el entorno global de aplicación de la ley. Por lo tanto, tenga cuidado con el intercambio de información, ya sea en conversaciones cara a cara, por teléfono, en grupos de discusión en línea, por correo electrónico, otras cosas por el estilo, solo trate de mantenerlo confidencial y no entre en detalles.
Cuando se trata de documentación escrita, obviamente, no desea revelar demasiado en sus informes judiciales. Pero definitivamente ponga lo mínimo para asegurarse de que un laico pueda entender los conceptos básicos de lo que se hizo.
Ciertamente menciona que usaste Premium, puedes mencionar la versión, pero no entres en detalles de lo que has hecho con el teléfono: ya sea manipularlo o lo que sea que aparezca en la interfaz gráfica de usuario de premium.
Y cuando se trata de operaciones técnicas y gestión de calidad dentro de su organización, tenga cuidado de que cualquier documento que elabore como un procedimiento operativo estándar pueda ser visible para un auditor externo de ISO 17025 u otras personas que puedan hacer una Ley de Libertad de Información. solicite en su agencia en cualquiera de las leyes de su país.
Así que ten cuidado con todo eso. Necesitas proteger esto lo mejor posible. Y el otro factor adicional del que quizás no esté al tanto es que las explotaciones fallidas en los dispositivos, si pueden conectarse a la red, podrían llamar a casa e informar al fabricante que el dispositivo está bajo ataque. Y con suficiente conocimiento e inteligencia, es posible que los fabricantes de teléfonos descubran lo que estamos haciendo para lograr esta magia. Por lo tanto, haga todo lo posible para seguir todas las instrucciones y hacer de este el mejor procedimiento posible. [sic] avanzando.»
Desde un dispositivo que no sea de trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o a través de Telegram and Wire @lorenzofb, o enviar un correo electrónico a [email protected]. También puede comunicarse con TechCrunch a través de SecureDrop.