La Agencia Tributaria y la CNMC han adjudicado contratos para herramientas y software espía similares a Pegasus

07 de Agosto de 2022
Guardar
Espia

Al igual que sucedió con Pegasus, otra empresa israelí dedicada a la intromisión en los dispositivos ajenos ha sufrido una filtración de los datos críticos que recauda a través de sus clientes.

Cellebrite es una marca de una empresa israelí (Sun Corporation) especializada en vender herramientas para acceder a la información de dispositivos electrónicos. La idea detrás de estos artilugios, que pueden alcanzar un valor de más de 10.000 euros, es poder extraer información de los móviles, tanto iPhone como Android, aunque estos estén bloqueados. La extracción puede ser presencial, confiscando el teléfono, o también remota, es decir, a través de los servicios o acceso on-line de la propia Cellebrite a los portátiles, iPad y móviles de los afectados o de las propias máquinas de análisis a través de las actualizaciones.

Captura de pantalla de la página web de Cellebrite

Cellebrite se promociona en su página web en los siguientes términos: «Evite los bloqueos más difíciles para extraer evidencia con más velocidad y precisión que nunca. UFED Ultimate le brinda acceso a la más amplia gama de dispositivos móviles, aplicaciones y plataformas de redes sociales de dominio público para producir rápidamente información significativa».

Dicho de otra manera, a través de este tipo de tecnologías, los servicios secretos israelitas y sus amigos podrían estar teniendo pleno acceso a las informaciones de todos los móviles que son analizados por todas las Cellebrite.

Definición de Cellebrite en los pliegos de un contrato licitado por el Ministerio del Interior

Cellebrite ha sido objeto de varios ciberataques en el pasado. En enero de 2017, un hacker anónimo filtró 900 Gb de datos robados a la firma israelí que contenían información sobre el escenario político en diferentes países.

Dentro de los clientes en Europa se encuentran diferentes instituciones públicas del Estado español, donde distintas fuentes han afirmado que podrían contar con un millar de máquinas o licencias. Sólo en la plataforma de contratación del estado aparecen, al menos, 144 resultados de licitaciones en las que se menciona a Cellebrite.

A diferencia de Pegasus, Cellebrite abre la venta de sus herramientas a cualquier entidad, pública o privada, que pueda pagarlas. Además, no es un sistema exclusivamente comprado por las policías y agencias oficiales de seguridad.

Extracto de la resolución de la adjudicación de compra de Cellebrite por parte de la CNMC

Sin embargo, las compras de Cellebrite administraciones públicas no acaban ahí, dado que organismos como la Comisión Nacional de los Mercados y la Competencia (CNMC) o la Agencia Tributaria también se han hecho con esta herramienta, según consta en la Plataforma de Contratación del Estado.  

¿Para qué necesitan la CNMC o la Agencia Tributaria un software espía o de intrusión que sólo debería ser utilizado por las fuerzas de seguridad o los servicios de inteligencia? ¿Está supervisado judicialmente el uso que estos organismos hacen de estas herramientas? ¿Están utilizando esta herramienta la CNMC o la Agencia Tributaria para intrusiones para extraer datos de las personas o empresas a las que están investigando?

Extracto de la contratación de dos licencias de Cellebrite por parte de la Agencia Tributaria

Por otro lado, el Estado español, a través del Ministerio del Interior, ha comprado licencias Cellebrites para regalarlos a la República Islámica de Mauritania y Gambia.

Extracto de pliego de licitación de Cellebrite del Ministerio del Interior

Como la empresa que comercializa y desarrolla estas herramientas no tiene vetado su uso y venta a los servicios de seguridad o inteligencia, Cellebrite también ha podido ser comprado por cualquiera, desde las agencias de detectives privados a las empresas del IBEX35. Esto es, cuanto menos, inquietante, puesto que cabe recordar que sólo a través de una orden judicial se puede vulnerar la privacidad de un teléfono, iPad u ordenador.

Extracto de la resolución de la adjudicación de 2022 de compra de Cellebrite por parte de la CNMC

La empresa israelí Sun Corporation, por tanto, podría estar recibiendo montañas de información no solo de carácter personal, tributaria, fiscal o empresarial. Y frente a ello, ¿qué hace la Agencia Española de Protección de Datos? Fuentes consultadas por Diario16, afirman que mira para otro lado siguiendo su máxima de ser débil con los fuertes y fuerte con los débiles, como en el Caso Pegasus y otros escándalos contra la privacidad que han venido sucediendo.

Lo + leído