Incidentes Asociados
Este comunicado de prensa también está disponible en serbio "Srbija: Vlasti koriste špijunske softvere i forenzičke alate kompanije Cellebrite za hakovanje novinara i aktivista".*
Hemos publicado el [ Resumen ejecutivo en una página web] (https://securitylab.amnesty.org/latest/2024/12/a-digital-prison-surveillance-and-the-suppression-of-civil-society-in-serbia/). El informe completo está disponible en formato PDF en Amnesty.org.
La policía y las autoridades de inteligencia serbias están utilizando software espía avanzado para teléfonos móviles junto con productos forenses para teléfonos móviles para atacar ilegalmente a periodistas, activistas ambientales y otras personas en una campaña de vigilancia encubierta, según ha revelado un nuevo informe de Amnistía Internacional.
El informe, "Una prisión digital": vigilancia y supresión de la sociedad civil en Serbia,* documenta cómo se están utilizando los productos forenses para móviles fabricados por la empresa israelí Cellebrite para extraer datos de los dispositivos móviles que pertenecen a periodistas y activistas. También revela cómo la policía serbia y la Agencia de Información de Seguridad (Bezbedonosno-informativna Agencija, BIA) han utilizado un sistema de software espía para Android a medida, NoviSpy, para infectar de forma encubierta los dispositivos de las personas durante períodos de detención o entrevistas policiales.
"Nuestra investigación revela cómo las autoridades serbias han desplegado tecnología de vigilancia y tácticas de represión digital como instrumentos de un control estatal más amplio y de represión dirigida contra la sociedad civil", dijo Dinushika Dissanayake, directora regional adjunta de Amnistía Internacional para Europa.
"También destaca cómo los productos forenses móviles de Cellebrite, ampliamente utilizados por la policía y los servicios de inteligencia en todo el mundo, pueden representar un enorme riesgo para quienes defienden los derechos humanos, el medio ambiente y la libertad de expresión, cuando se utilizan fuera de un estricto control y supervisión legales".
Cómo se utilizan Cellebrite y NoviSpy para atacar dispositivos
Cellebrite, una empresa fundada y con sede en Israel pero con oficinas en todo el mundo, desarrolla la suite de productos Cellebrite UFED para agencias de aplicación de la ley y entidades gubernamentales. Permite la extracción de datos de una amplia gama de dispositivos móviles, incluidos algunos de los dispositivos Android y modelos de iPhone más recientes, incluso sin acceso a la contraseña del dispositivo.
Aunque es menos avanzado técnicamente que el software espía comercial altamente invasivo como Pegasus, NoviSpy (un software espía para Android previamente desconocido) aún proporciona a las autoridades serbias amplias capacidades de vigilancia una vez instalado en el dispositivo de un objetivo.
NoviSpy puede capturar datos personales confidenciales de un teléfono objetivo y brindar capacidades para encender el micrófono o la cámara de un teléfono de forma remota, mientras que las herramientas forenses de Cellebrite se utilizan tanto para desbloquear el teléfono antes de la infección por software espía como para permitir la extracción de datos en un dispositivo.
En un aspecto crítico, Amnistía Internacional descubrió pruebas forenses que mostraban cómo las autoridades serbias utilizaron productos de Cellebrite para permitir infecciones con el software espía NoviSpy en los teléfonos de activistas. En al menos dos casos, se utilizaron exploits UFED de Cellebrite (un software que se aprovecha de un error o vulnerabilidad) para eludir los mecanismos de seguridad de los dispositivos Android, lo que permitió a las autoridades instalar de forma encubierta el software espía NoviSpy durante los interrogatorios policiales.
Amnistía Internacional también identificó cómo las autoridades serbias utilizaron Cellebrite para explotar una vulnerabilidad de día cero (un fallo de software que no es conocido por el desarrollador original del software y para el que no hay una solución de software disponible) en dispositivos Android para obtener acceso privilegiado al teléfono de un activista medioambiental. La vulnerabilidad, identificada en colaboración con investigadores de seguridad de Google Project Zero y Threat Analysis Group (https://googleprojectzero.blogspot.com/2024/12/qualcomm-dsp-driver-unexpectedly-excavating-exploit.html), afectó a millones de dispositivos Android en todo el mundo que utilizan los populares conjuntos de chips Qualcomm. Se publicó una actualización que soluciona el problema de seguridad en el Boletín de seguridad de Qualcomm de octubre de 2024.
El hackeo de teléfonos de Cellebrite y la infección con software espía amenazan a periodistas y activistas
En febrero de 2024, el periodista de investigación independiente serbio Slaviša Milanov fue arrestado y detenido por la policía con el pretexto de realizar una prueba de conducción bajo los efectos del alcohol. Mientras estaba detenido, Slaviša fue interrogado por agentes vestidos de civil sobre su trabajo periodístico. El teléfono Android de Slaviša estaba apagado cuando lo entregó a la policía y en ningún momento se le pidió ni proporcionó la contraseña.
Después de su liberación, Slaviša se dio cuenta de que su teléfono, que había dejado en la recepción de la comisaría durante su interrogatorio, parecía haber sido manipulado y los datos de su teléfono estaban apagados.
Solicitó al Laboratorio de Seguridad de Amnistía Internacional que realizara un análisis forense de su teléfono, un Xiaomi Redmi Note 10S. El análisis reveló que el producto UFED de Cellebrite se utilizó para desbloquear en secreto el teléfono de Slaviša durante su detención.
Otras pruebas forenses demostraron que las autoridades serbias utilizaron NoviSpy para infectar el teléfono de Slaviša. En un segundo caso del informe, que involucra a un activista medioambiental, Nikola Ristić, se encontraron pruebas forenses similares de productos de Cellebrite utilizados para desbloquear un dispositivo y permitir la posterior infección con NoviSpy.
"Nuestras pruebas forenses demuestran que el software espía NoviSpy se instaló mientras la policía serbia tenía posesión del dispositivo de Slaviša y que la infección dependía del uso de una herramienta avanzada como Cellebrite UFED capaz de desbloquear el dispositivo. Amnistía Internacional atribuye el software espía NoviSpy a BIA con gran confianza", dijo Donncha Ó Cearbhaill, director del Laboratorio de Seguridad de Amnistía Internacional.
Activistas infectados con NoviSpy mientras presentaban denuncias a la policía o a la BIA
Esta táctica de instalar software espía de forma encubierta en los dispositivos de las personas durante la detención o las entrevistas parece haber sido ampliamente utilizada por las autoridades.
En otro caso, un activista de Krokodil, una organización que promueve el diálogo y la reconciliación en los Balcanes Occidentales, tuvo su teléfono, un Samsung Galaxy S24+, infectado con software espía durante una entrevista con funcionarios de la BIA en octubre de 2024.
El activista fue invitado a la oficina de la BIA en Belgrado para proporcionar información sobre un ataque a sus oficinas por parte de personas de habla rusa aparentemente en oposición a la condena pública de Krokodil a la invasión rusa de Ucrania.
Después de la entrevista, el activista sospechó que su teléfono había sido manipulado. A petición suya, Amnistía Internacional llevó a cabo una investigación forense que descubrió que NoviSpy había sido instalado en el dispositivo durante la entrevista de la BIA. Amnistía Internacional también pudo recuperar y descifrar los datos de vigilancia capturados por NoviSpy mientras el activista estaba usando su teléfono, que incluían capturas de pantalla de cuentas de correo electrónico, mensajes de Signal y WhatsApp y actividad en las redes sociales.
Amnistía Internacional informó sobre la campaña de software espía NoviSpy a los investigadores de seguridad de Android y Google antes de su publicación, quienes tomaron medidas para eliminar el software espía de los dispositivos Android afectados. Google también envió una ronda de alertas de "ataque respaldado por el gobierno" a las personas que identificaron como posibles objetivos de esta campaña.
Impacto de la vigilancia digital estatal y las tácticas de represión en la sociedad civil serbia
Los activistas serbios han quedado traumatizados por los ataques.
"Esta es una forma increíblemente eficaz de desalentar por completo la comunicación entre las personas. Cualquier cosa que digas puede usarse en tu contra, lo que es paralizante tanto a nivel personal como profesional", dijo Branko*, un activista que fue atacado con el software espía Pegasus.
Los ataques también han dado lugar a la autocensura.
"Todos estamos en una especie de prisión digital, un gulag digital. Tenemos la ilusión de ser libres, pero en realidad no tenemos ninguna libertad. Esto tiene dos efectos: o bien optas por la autocensura, que afecta profundamente a tu capacidad para trabajar, o bien decides hablar a pesar de todo, en cuyo caso tienes que estar preparado para afrontar las consecuencias", dijo Goran*, un activista que también fue blanco del programa espía Pegasus.
El activista Aleksandar*, que también fue blanco del programa espía Pegasus, dijo: "Mi privacidad fue invadida y esto destrozó por completo mi sensación de seguridad personal. Me causó una enorme ansiedad... Sentí una sensación de pánico y me sentí bastante aislado".
En respuesta a estos hallazgos, NSO Group, que desarrolló Pegasus, no pudo confirmar si Serbia era su cliente, pero afirmó que el Grupo "se toma en serio su responsabilidad de respetar los derechos humanos y está firmemente comprometido a evitar causar, contribuir o estar directamente vinculado a impactos negativos sobre los derechos humanos, y revisar exhaustivamente todas las acusaciones creíbles de uso indebido de los productos de NSO Group".
En respuesta a nuestros hallazgos, Cellebrite dijo: "Nuestras soluciones de software de investigación digital no instalan malware ni realizan vigilancia en tiempo real consistente con spyware o cualquier otro tipo de actividad cibernética ofensiva.
"Agradecemos que Amnistía Internacional haya destacado el presunto uso indebido de nuestra tecnología. Nos tomamos en serio todas las acusaciones de un posible uso indebido de nuestra tecnología por parte de un cliente de formas que contradigan las condiciones explícitas e implícitas descritas en nuestro acuerdo de usuario final.
"Estamos investigando las afirmaciones realizadas en este informe. Si se confirman, estamos preparados para imponer sanciones apropiadas, incluida la terminación de la relación de Cellebrite con cualquier agencia relevante".
En respuesta a las consultas de Amnistía Internacional enviadas al principio del proceso de investigación, Cellebrite dijo que sus productos "tienen licencia estrictamente para uso legal, requieren una orden judicial o consentimiento para ayudar a las agencias de aplicación de la ley con investigaciones sancionadas legalmente después de que se haya cometido un delito".
Si bien este puede ser el uso previsto, la investigación de Amnistía Internacional demuestra cómo los productos de Cellebrite pueden usarse indebidamente para permitir la implementación de software espía y la amplia recopilación de datos de teléfonos móviles fuera de investigaciones criminales justificadas, lo que plantea graves riesgos para los derechos humanos.
Amnistía Internacional ha compartido los hallazgos de esta investigación con el gobierno serbio antes de la publicación, pero no ha recibido respuesta.
Las autoridades serbias deben dejar de usar programas espía altamente invasivos y proporcionar un remedio efectivo a las víctimas de vigilancia selectiva ilegal y hacer que los responsables de las violaciones rindan cuentas. Cellebrite y otras empresas de análisis forense digital también deben llevar a cabo la debida diligencia para garantizar que sus productos no se utilicen de una manera que contribuya a abusos de los derechos humanos.
En los últimos años, la represión estatal y un entorno hostil para los defensores de la libertad de expresión en Serbia se han intensificado con cada ola de protestas contra el gobierno. Las autoridades han participado en campañas de desprestigio sostenidas contra ONG, medios de comunicación y periodistas y también han sometido a quienes participan en protestas pacíficas a arrestos y acoso judicial.
*Nombre cambiado para proteger la identidad
Amnistía Internacional también ha publicado el software espía NoviSpy Indicadores de compromiso para permitir que la sociedad civil serbia compruebe sus dispositivos en busca de pruebas de ataques de NoviSpy mediante el Kit de herramientas de verificación móvil.