Problema 4834

Este es el resumen ejecutivo del informe de Amnistía Internacional sobre la vigilancia y la represión de la sociedad civil en Serbia. Por favor, haga clic aquí para ver el informe completo en formato PDF. Puede leer el resumen ejecutivo en serbio, francés o español. En febrero de 2024, Slaviša Milanov, un periodista independiente de Dimitrovgrad en Serbia que cubre noticias de interés local, fue llevado a una comisaría de policía después de un control de tráfico aparentemente rutinario. Después de que Slaviša fue liberado, se dio cuenta de que su teléfono, que había dejado en la recepción de la comisaría a petición de los agentes, estaba funcionando de forma extraña: los ajustes de datos y wifi estaban desactivados. Consciente de que esto puede ser un signo de piratería informática y consciente de las amenazas de vigilancia a las que se enfrentan los periodistas en Serbia, Slaviša se puso en contacto con el Laboratorio de Seguridad de Amnistía Internacional para solicitar un análisis de su teléfono. El análisis de Amnistía Internacional condujo a dos descubrimientos notables. En primer lugar, los rastros forenses revelaron que se había utilizado un producto Cellebrite para desbloquear su dispositivo. Cellebrite, cuya herramienta forense permite la extracción de todos los datos de un dispositivo y que es utilizada por departamentos de policía de todo el mundo, afirma que tiene políticas estrictas para evitar el uso indebido de su producto; sin embargo, este descubrimiento proporciona una prueba clara de que el teléfono de un periodista fue atacado sin ningún tipo de proceso debido. A Slaviša no se le pidió ni proporcionó la contraseña de su dispositivo Android. Las autoridades no le dijeron a Slaviša que querían registrar su dispositivo ni le declararon que existía una base legal para ello. Slaviša sigue sin saber qué datos se extrajeron de su teléfono. El segundo hallazgo del análisis fue aún más extraordinario. Amnistía Internacional encontró rastros de un tipo de software espía hasta entonces desconocido, al que ha llamado "NoviSpy". NoviSpy permite capturar datos personales sensibles del teléfono de una persona infectada y ofrece la posibilidad de activar el micrófono o la cámara del teléfono de forma remota. Las pruebas forenses indican que el software espía se instaló mientras la policía serbia estaba en posesión del dispositivo de Slaviša y que la infección dependía del uso de Cellebrite para desbloquear el dispositivo. Se utilizaron dos formas de tecnologías altamente invasivas en combinación para atacar el dispositivo de un periodista independiente, dejando casi toda su vida digital expuesta a las autoridades serbias. La historia no termina con Slaviša. Una nueva investigación de Amnistía Internacional ha revelado la amplitud de la vigilancia digital en Serbia, que incluye el despliegue de al menos tres formas diferentes de software espía, así como el uso indebido persistente de la sofisticada tecnología forense digital de Cellebrite. Este informe es un estudio de caso sobre cómo las autoridades serbias han desplegado tecnología de vigilancia y tácticas de represión digital como instrumentos de un control estatal más amplio y de represión dirigida contra la sociedad civil. Serbia es un caso paradigmático de un sistema en el que dichas herramientas pueden convertirse en facilitadores fundamentales de una ofensiva digital, que probablemente se repita en otros países y contextos, lo que bien podría estar sucediendo ya. Este informe llega en un momento de intensificación de la represión estatal y en un entorno cada vez más hostil para la libertad de expresión y el debate abierto en el país. Serbia ha sido testigo de varias oleadas importantes de protestas antigubernamentales desde 2021, cada una de las cuales ha desencadenado una respuesta cada vez más dura por parte de las autoridades, desde campañas de desprestigio sostenidas y crueles contra organizaciones no gubernamentales (ONG), medios de comunicación y periodistas críticos hasta el acoso judicial persistente de los ciudadanos que se organizan pacíficamente y participan en la disidencia política. En este informe, Amnistía Internacional combina entrevistas exhaustivas con representantes de la sociedad civil en Serbia con una investigación forense digital de alto nivel técnico para exponer las prácticas concretas de vigilancia de las autoridades serbias. Al revelar estas tácticas, el informe pretende fortalecer los esfuerzos de la sociedad civil para garantizar la rendición de cuentas por la vigilancia ilegal, al tiempo que se desvelan las capas de secreto y se reduce la asimetría de la información. La opacidad de la vigilancia digital y la percepción de omnipotencia e impunidad pueden impulsar y envalentonar a un aparato estatal represivo para que recurra a estas prácticas, con un efecto devastador para la salud de la sociedad en su conjunto. Las conclusiones del informe revelan el uso generalizado y sistemático en Serbia de programas espía invasivos, incluido el programa espía Pegasus de NSO Group, junto con un novedoso sistema espía para Android NoviSpy de producción nacional, que se revela por primera vez en este informe. La Agencia de Información de Seguridad de Serbia, conocida en Serbia como BIA (Bezbedonosno-informativna Agencija) y la policía serbia han utilizado el software espía NoviSpy junto con herramientas forenses móviles de Cellebrite para atacar a activistas de think tanks independientes, manifestantes pacíficos y periodistas independientes. Juntas, estas herramientas proporcionan al estado una enorme capacidad para recopilar datos tanto de forma encubierta, como en el caso del software espía, como de forma abierta, mediante el uso ilegal e ilegítimo de la tecnología de extracción de datos de teléfonos móviles de Cellebrite. Las autoridades de Serbia han desplegado sistemáticamente estas herramientas contra manifestantes pacíficos que ya son objeto con demasiada frecuencia de una criminalización injustificada por su activismo. Esta vigilancia digital ilegal y la recopilación de datos dirigida contra la sociedad civil violan el derecho de las personas a la privacidad y la protección de los datos personales, y afectan profundamente a sus otros derechos y libertades, incluidos los derechos a la libertad de expresión, asociación y reunión pacífica. Las conclusiones de este informe se basan en entrevistas exhaustivas con 13 personas directamente atacadas por programas espía o productos de extracción de datos móviles u otras formas de vigilancia digital y 28 representantes de la sociedad civil de toda Serbia que aportaron una visión inestimable del entorno cada vez más difícil en el que operan. Sus testimonios están corroborados por un análisis forense detallado de los dispositivos móviles de dos docenas de activistas y periodistas realizado por el Laboratorio de Seguridad de Amnistía Internacional. El Laboratorio de Seguridad utilizó herramientas forenses digitales desarrolladas por Amnistía Internacional, incluido el kit de herramientas de verificación móvil (MVT) de código abierto y AndroidQF para reunir y analizar pruebas forenses para este informe. Amenazas de programas espía a las que se enfrenta la sociedad civil serbia -------------------------------------------- El informe detalla el historial de uso o adquisición de programas espía altamente invasivos, incluidos los sistemas de Finfisher, NSO Group e Intellexa, por parte de las autoridades serbias durante la última década. La investigación muestra que al menos tres activistas y un periodista independiente tenían el software espía NoviSpy instalado de forma encubierta en sus dispositivos mientras asistían a entrevistas informativas con la policía serbia o la BIA. Las infecciones se produjeron mientras los teléfonos estaban temporalmente retirados de sus propietarios y aparentemente depositados en taquillas en las comisarías. Esta táctica excepcionalmente engañosa, es decir, instalar software espía de forma encubierta en los dispositivos de las personas durante entrevistas informativas, parece haber sido ampliamente utilizada. La evidencia técnica sugiere que docenas, si no cientos, de dispositivos únicos fueron atacados con el software espía NoviSpy en los últimos años. El alcance total de los ataques probablemente se extienda más allá de los ataques ilegales a la sociedad civil. En octubre de 2024, un activista de la ONG Krokodil, con sede en Belgrado, fue invitado a la oficina de la BIA para proporcionar información sobre un incidente que involucraba un ataque a su organización. Durante el tiempo que asistía a la reunión, su teléfono quedó desatendido fuera de la sala de entrevistas. Un análisis forense posterior realizado por el Laboratorio de Seguridad de Amnistía Internacional encontró evidencia de que el software espía NoviSpy para Android se instaló durante ese tiempo. Si bien es menos avanzado técnicamente que el software espía comercial como Pegasus, el software espía NoviSpy para Android aún brinda a las autoridades serbias amplias capacidades de vigilancia una vez instalado en el dispositivo del objetivo. Además de Slaviša y el activista de Krokodil, Amnistía Internacional encontró evidencia de instalación o intento de instalación del software espía NoviSpy en al menos otros dos casos que involucraban a activistas de la sociedad civil serbia. El software espía NoviSpy se conecta con la BIA ------------------------------------ Un análisis de múltiples muestras de la aplicación espía NoviSpy recuperadas de dispositivos infectados encontró que todas se comunicaban con servidores alojados en Serbia, tanto para recuperar comandos como para vigilar datos. Cabe destacar que una de estas muestras de software espía estaba configurada para conectarse directamente a un rango de direcciones IP asociado directamente con la BIA de Serbia. La investigación también descubrió que los datos de configuración incrustados en la muestra de software espía están vinculados a un empleado específico de la BIA, que anteriormente estaba vinculado a los esfuerzos de Serbia para adquirir software espía para Android del ahora desaparecido proveedor de software espía, Hacking Team. Estos importantes errores de seguridad operativa, y el hecho de que el software espía se instalara en múltiples casos durante las entrevistas con funcionarios de la BIA, permiten a Amnistía Internacional atribuir con gran confianza estas campañas de software espía a la BIA y a las autoridades serbias. En respuesta a estos hallazgos, NSO Group, que desarrolló Pegasus, no pudo confirmar si Serbia era su cliente, pero afirmó que el Grupo "se toma en serio su responsabilidad de respetar los derechos humanos y está firmemente comprometido a evitar causar, contribuir a o estar directamente vinculado a impactos negativos sobre los derechos humanos, y revisar exhaustivamente todas las acusaciones creíbles de uso indebido de los productos de NSO Group". Uso indebido de las herramientas forenses digitales de Cellebrite ------------------------------------------- Este informe también revela el uso extenso e ilegítimo de la tecnología de extracción de Cellebrite para descargar datos personales de los teléfonos de los organizadores de las protestas y periodistas. Los datos obtenidos mediante el uso de estas herramientas pueden permitir a las autoridades mapear las redes sociales de los movimientos de protesta, recopilar conversaciones cifradas de aplicaciones como Signal y Telegram, y extraer datos almacenados en la nube. La capacidad de descargar, en efecto, toda la vida digital de un individuo utilizando Cellebrite UFED y herramientas forenses móviles similares, plantea enormes riesgos para los derechos humanos, si dichas herramientas no están sujetas a un control y una supervisión estrictos. Los controles legales en Serbia sobre el uso de tales herramientas son insuficientes y el uso de productos forenses de Cellebrite por parte de Serbia plantea graves riesgos para los derechos humanos. En al menos dos casos documentados por Amnistía Internacional, el producto Cellebrite UFED y los exploits asociados se utilizaron para eludir de forma encubierta las funciones de seguridad del teléfono, lo que permitió a las autoridades serbias infectar los dispositivos con el software espía NoviSpy. Estas infecciones encubiertas, que también ocurrieron durante entrevistas con la policía o la BIA, solo fueron posibles gracias a las capacidades que ofrece la tecnología avanzada como Cellebrite UFED para eludir el cifrado del dispositivo. Aunque los activistas llevan mucho tiempo expresando su preocupación por las infecciones de software espía que se producen durante los interrogatorios policiales, Amnistía Internacional cree que este informe describe las primeras infecciones de software espía documentadas forensemente que se han producido gracias al uso de la tecnología forense móvil de Cellebrite. Esta investigación también descubrió un exploit de escalada de privilegios de día cero para Android utilizado en Cellebrite UFED, parcheado en el transcurso de esta investigación, que ayuda a proteger millones de dispositivos Android. En colaboración con investigadores de seguridad de Google, Amnistía Internacional identificó el exploit a partir del análisis minucioso de los registros forenses encontrados en el teléfono de un organizador de protestas detenido por las autoridades serbias. Represión del espacio cívico en Serbia ---------------------------------- La vigilancia digital en Serbia se lleva a cabo en medio de una creciente represión estatal y un clima de deterioro para la libertad de expresión. Desde 2021, el país ha sido testigo de numerosas protestas antigubernamentales, cada una de las cuales ha sido respondida con una represión más dura por parte de las autoridades. Tras las protestas masivas en todo el país en julio y agosto de 2024 contra la minería de litio y el acuerdo de Serbia con la Unión Europea (UE) sobre el acceso a las materias primas, el ataque del gobierno a la sociedad civil se intensificó drásticamente. En agosto, un medio de comunicación progubernamental muy seguido, TV Informer, publicó extensos informes que sugerían que unas 40 ONG "financiadas desde el extranjero" estaban "librando una guerra especial contra Serbia" a instancias de donantes extranjeros, describiéndolas como "mercenarios extranjeros". Las declaraciones difamatorias sobre estas organizaciones fueron alimentadas además por altos funcionarios, incluido el presidente, miembros del Parlamento y el gobernador del Banco Nacional. Al mismo tiempo, los activistas que participaron o hablaron sobre las protestas contra el litio se enfrentaron a arrestos y cargos penales infundados, pero extremadamente graves, incluyendo "incitar al derrocamiento violento del orden constitucional", un delito penal que conlleva una pena de hasta ocho años de prisión. Los activistas y abogados entrevistados para el informe relataron cómo la policía citó con frecuencia las publicaciones de los activistas en las redes sociales, sus discursos o su mera participación en las protestas como base para estos cargos. Según Civic Initiatives, al menos 33 personas fueron arrestadas o detenidas para entrevistas informativas durante la protesta de agosto, sometidas a largos interrogatorios, registros de sus apartamentos y confiscación y registro de sus teléfonos y computadoras. Ninguna de ellas había sido acusada formalmente en el momento de la publicación de este informe. Amnistía Internacional habló con nueve activistas que fueron detenidos o interrogados entre julio y noviembre de 2024 y cuyos teléfonos y computadoras fueron confiscados temporalmente por la policía y sometidos a registros en profundidad, incluida la extracción de datos digitales para permitir que los fiscales decidieran si los acusaban formalmente o no. Sin embargo, los activistas sospechaban que estas medidas de investigación intrusivas, que parecen ser legales según la legislación serbia, eran un pretexto para que la policía y los servicios de seguridad aprendieran más sobre sus redes sociales y sus planes futuros, en lugar de presentar cargos penales. El marco jurídico y de supervisión inadecuado de Serbia para la vigilancia digital -------------------------------------------------------------------------- La legislación de Serbia prevé el uso de medidas excepcionales, incluida la vigilancia de comunicaciones secretas, y establece circunstancias específicas en las que tales medidas podrían usarse legalmente. Sin embargo, la utilización de tecnologías avanzadas, incluidos los programas espía y otras herramientas forenses digitales avanzadas que recogen enormes cantidades de datos personales, no está plenamente reconocida ni suficientemente regulada por la ley, lo que deja demasiado margen para el posible abuso de esas técnicas, incluso con fines políticos. Las disposiciones genéricas que regulan la aplicación de medidas especiales en varias leyes diferentes no son suficientemente claras ni ofrecen salvaguardas significativas contra el uso indebido cuando se trata de tecnologías de vigilancia digital, que son mucho más intrusivas y menos específicas que los medios convencionales de vigilancia encubierta de las comunicaciones, como las escuchas telefónicas. Ni siquiera el mecanismo de supervisión judicial ex ante, como una decisión judicial que especifique las medidas, el plazo estricto y el objetivo de la vigilancia, puede proporcionar una protección eficaz contra las herramientas avanzadas de vigilancia digital, incluidos los programas espía, que pueden obtener acceso completo e incontrolado a los datos, mensajes, imágenes, archivos y metadatos del dispositivo de una persona. Además, en el contexto de las preocupaciones frecuentemente señaladas sobre la influencia política indebida del gobierno en los tribunales y los fiscales y el grado de captura del Estado en Serbia, los medios de control y supervisión sobre el uso de medidas especiales, que pueden parecer suficientes en el papel, resultan insignificantes o ineficaces en la práctica. Efecto paralizante --------------- La vigilancia digital no sólo tiene un impacto devastador en el derecho de las personas a la privacidad, sino que también afecta profundamente los derechos a la libertad de expresión, asociación y reunión pacífica. Los activistas de Serbia contaron a Amnistía Internacional que, al enterarse de que habían sido objeto de un ataque, se sintieron violados, vulnerables y solos, y se vieron obligados a reconsiderar o cambiar su comportamiento. Algunos se mostraron más reacios a hablar abiertamente sobre cuestiones controvertidas, mientras que otros decidieron bajar el perfil o desvincularse por completo del activismo. Tras saber que había sido objeto de un ataque, Slaviša estaba muy preocupado por la posibilidad de que algunas de sus fuentes pudieran haber sido comprometidas y tuvo que cambiar la forma en que investigaba sus artículos y se relacionaba con ellas: "Ya no puedo usar el teléfono ni el correo electrónico y tengo que encontrar otras formas de hablar con la gente, incluso en persona. Suelo hacerlo sólo cuando estamos en lugares públicos y en grupos grandes, lo que obviamente no es lo ideal". "Goran" fue otro de los activistas que fueron objeto de un ataque con Pegasus y que Amnistía Internacional entrevistó. Para él, el ataque le provocó un profundo examen de conciencia sobre su trabajo futuro. "Me hizo cuestionar mi compromiso con la organización. Me pregunté si debía seguir trabajando y cómo afectaba esto a la organización, y consideré la posibilidad de dejar el cargo. Un ataque como este realmente afecta profundamente a la integridad personal y la actitud hacia el trabajo, y te hace cuestionar si estás preparado para seguir haciendo lo que estás haciendo, a pesar de esto. Tenía cientos de preguntas". "Goran" permaneció en la organización, pero tuvo que introducir numerosas medidas de seguridad tanto en su vida personal como en su organización. "Si el gobierno puede hacer lo que me hizo a mí, puede atacar a otra persona a continuación. Me di cuenta de que las actividades de todas las organizaciones de la sociedad civil están bajo el escrutinio constante de las autoridades y que debemos permanecer alerta". Para las organizaciones que ya se enfrentan a numerosas presiones, tener que lidiar con problemas de seguridad digital era una distracción más de hacer el trabajo principal, dijo un activista de Krokodil a Amnistía Internacional: "Tener que lidiar con tantos ataques diferentes al mismo tiempo nos mantiene muy ocupados y nos debilitará de manera tan fundamental, hasta el punto de que no podremos operar en absoluto... Probablemente ese sea el objetivo". El gobierno serbio no hizo comentarios sobre las conclusiones del informe, cuyos detalles se les compartieron antes de la publicación. Responsabilidades de las empresas y otras partes en materia de derechos humanos ------------------------------------------------------------ Si bien los Estados tienen el deber primordial de defender la legislación en materia de derechos humanos, las empresas y otras partes tienen la responsabilidad de respetar los derechos humanos dondequiera que operen en el mundo y en todas sus actividades comerciales. Una parte clave del cumplimiento de esta responsabilidad es la implementación adecuada de la debida diligencia en materia de derechos humanos para identificar, prevenir y mitigar los posibles riesgos para los derechos humanos a los que las empresas podrían contribuir. Amnistía Internacional encontró que varias empresas no han cumplido con sus responsabilidades en materia de derechos humanos en Serbia. Además, el Ministerio de Asuntos Exteriores de Noruega, que donó la tecnología UFED de Cellebrite, y la Oficina de las Naciones Unidas de Servicios para Proyectos (UNOPS), que gestionó la adquisición para la subvención del gobierno noruego al Ministerio del Interior de Serbia, no llevaron a cabo un proceso de debida diligencia adecuado para evaluar y mitigar los posibles riesgos de esta tecnología para los derechos humanos o proporcionar salvaguardas contra su abuso. En vista del débil entorno regulatorio para la vigilancia digital en Serbia, las preocupaciones sobre la independencia del poder judicial y los informes persistentes de amenazas a la sociedad civil y a los periodistas independientes, el gobierno noruego y la UNOPS tenían la responsabilidad de ejercer la supervisión y la debida diligencia al adquirir tecnología altamente invasiva y entregarla a las instituciones serbias. Al no hacerlo, permitieron y contribuyeron a las violaciones por parte de Serbia de los derechos de las personas a la privacidad, la libertad de expresión, asociación y reunión pacífica mediante la vigilancia digital ilegal. En respuesta a los detalles de los hallazgos, el Ministerio de Asuntos Exteriores de Noruega dijo que el Ministerio considera "alarmante que las herramientas forenses digitales, compradas a través de un proyecto financiado por Noruega, puedan haber sido utilizadas indebidamente para atacar a miembros de la sociedad civil en Serbia", y agregó que, "de ser correcto, [esto] sería una clara violación de los principios básicos de la asistencia noruega para el desarrollo y el propósito acordado del apoyo a las autoridades serbias en ese momento". El Ministerio agregó que se espera que la UNOPS, que era responsable de todas las actividades del proyecto, realice una investigación exhaustiva del presunto uso indebido. Igualmente crucial es que Cellebrite tenía la responsabilidad de llevar a cabo la debida diligencia en materia de derechos humanos para garantizar que su producto no causara ni contribuyera a causar impactos adversos sobre los derechos humanos. En su sitio web, Cellebrite afirma que la empresa "tomará todas las medidas necesarias para prohibir que actores maliciosos utilicen o accedan" a sus soluciones cuando la tecnología de Cellebrite "se utilice de una manera que no esté de acuerdo con el derecho internacional, no cumpla con los términos de uso de Cellebrite o no esté alineada con los valores corporativos de Cellebrite". Sin embargo, toda la información disponible hasta la fecha indica que Cellebrite no ha tomado medidas suficientes y efectivas para utilizar su influencia para abordar los riesgos de derechos humanos en Serbia. Como demuestra la investigación de Amnistía Internacional en Serbia, el uso del producto de Cellebrite ha tenido un impacto adverso en los derechos humanos de activistas y periodistas serbios. Como mínimo, Cellebrite está directamente vinculada a estas violaciones de derechos humanos. Cellebrite no ha cumplido con su responsabilidad corporativa en virtud de los Principios Rectores de las Naciones Unidas sobre las Empresas y los Derechos Humanos de mitigar y prevenir los daños potenciales y reales a los defensores de los derechos humanos y, por lo tanto, se necesitan políticas y procedimientos de diligencia debida en materia de derechos humanos más eficaces. En las situaciones en las que una empresa ha contribuido a los impactos reales, la empresa también debe proporcionar reparación a las personas afectadas. En respuesta a las consultas de Amnistía Internacional enviadas a Cellebrite durante el proceso de investigación, como se explica con más detalle en el informe completo, Cellebrite envió una breve respuesta en la que afirmaba que no era una empresa de vigilancia y que no proporcionaba tecnología de cibervigilancia ni software espía. Señaló que el producto de la empresa era una "plataforma de investigación digital [que] equipa a los organismos encargados de hacer cumplir la ley con la tecnología necesaria para proteger y salvar vidas, acelerar la justicia y preservar la privacidad de los datos", y que sus productos "tienen licencia estrictamente para uso legal, requieren una orden judicial o consentimiento para ayudar a los organismos encargados de hacer cumplir la ley con investigaciones sancionadas legalmente después de que se haya cometido un delito". Antes de la publicación, Amnistía Internacional compartió las conclusiones de este informe con Cellebrite. En respuesta, Cellebrite dijo: "Nuestras soluciones de software de investigación digital no instalan malware ni realizan vigilancia en tiempo real consistente con spyware o cualquier otro tipo de actividad cibernética ofensiva. "Agradecemos que Amnistía Internacional haya destacado el supuesto uso indebido de nuestra tecnología. Tomamos en serio todas las acusaciones de un posible uso indebido de nuestra tecnología por parte de un cliente de formas que contradigan tanto las condiciones explícitas como implícitas descritas en nuestro acuerdo de usuario final. "Estamos investigando las afirmaciones realizadas en este informe. Si se confirman, estamos preparados para imponer las sanciones adecuadas, incluida la terminación de la relación de Cellebrite con cualquier agencia relevante". Se puede encontrar un análisis completo de las responsabilidades de derechos humanos de la empresa en el informe completo y las dos respuestas de la empresa se pueden encontrar en el apéndice del informe. Conclusión y recomendaciones ------------------------------ Los hallazgos de este informe son emblemáticos de cómo un aparato estatal represivo puede combinar prácticas de vigilancia dispares para lograr sus objetivos. El informe también destaca las tácticas de vigilancia emergentes, incluido el uso generalizado de herramientas forenses digitales invasivas para recopilar datos de manifestantes pacíficos que no han sido acusados de ningún delito. Como las mejoras en la seguridad hacen que los ataques con programas espía remotos sin necesidad de hacer clic sean prohibitivamente costosos o inviables, las autoridades pueden recurrir cada vez más a la infección de dispositivos con programas espía mediante el acceso físico a un dispositivo. De hecho, algunos Estados han propuesto una legislación específica para permitir allanamientos secretos en los hogares con el fin de infectar dispositivos con programas espía específicos. Serbia debe comprometerse a dejar de utilizar inmediatamente programas espía altamente invasivos y a llevar a cabo investigaciones rápidas, independientes e imparciales sobre todos los casos documentados y denunciados de vigilancia digital ilegal. También debe tomar medidas concretas para garantizar que las tecnologías digitales no se utilicen indebidamente para violar los derechos humanos, entre ellas establecer y aplicar con firmeza un marco jurídico que proporcione garantías procesales significativas, sistemas eficaces de control y supervisión mediante revisión judicial y mecanismos eficaces de reparación para las víctimas. Cellebrite y otras empresas de análisis forense digital que diseñan y proporcionan a los organismos de seguridad y de aplicación de la ley tecnologías altamente intrusivas deben llevar a cabo una diligencia debida significativa y exhaustiva para garantizar que sus productos no se utilicen de una manera que contribuya a violaciones de los derechos humanos. En particular, Cellebrite debería investigar cómo se ha utilizado su tecnología en Serbia para evaluar el posible impacto negativo sobre los derechos humanos y actuar conforme a su compromiso de "tomar todas las medidas necesarias", incluida la de no renovar las licencias de Cellebrite, para prohibir que los malos actores utilicen o accedan a sus soluciones de una manera que sea incompatible con el derecho internacional. Véase la lista completa de recomendaciones al final del informe completo.