Incidentes Asociados
La policía y los servicios de inteligencia de Serbia están utilizando software espía avanzado para dispositivos móviles junto con herramientas forenses móviles para atacar ilegalmente a periodistas, activistas medioambientales y otras personas en una campaña de vigilancia encubierta, según revela un nuevo informe de Amnistía Internacional.
El informe, titulado "Prisión digital: vigilancia y represión de la sociedad civil en Serbia", documenta cómo se están utilizando los productos forenses móviles de la empresa israelí Cellebrite para extraer datos de los dispositivos móviles de periodistas y activistas. El informe revela que la policía serbia y la Agencia de Información de Seguridad (BIA) han utilizado un sistema de software espía NoviSpy personalizado para dispositivos Android con el fin de infectar de forma encubierta los dispositivos durante detenciones o entrevistas policiales.
"Nuestra investigación muestra cómo las autoridades serbias han utilizado tecnología de vigilancia y tácticas de represión digital como herramientas para un control y una represión más amplios dirigidos contra la sociedad civil", afirmó Dinushika Dissanayake, directora regional adjunta de Amnistía Internacional para Europa.
"El informe también destaca cómo los productos forenses móviles de Cellebrite, ampliamente utilizados por la policía y las agencias de inteligencia de todo el mundo, pueden representar un enorme riesgo para quienes defienden los derechos humanos, la protección del medio ambiente y la libertad de expresión, especialmente cuando se utilizan sin estrictos controles legales y supervisión".
Cómo se utilizan Cellebrite y NoviSpy para atacar dispositivos
Fundada y con sede en Israel y oficinas en todo el mundo, Cellebrite es una empresa que desarrolla la suite de productos Cellebrite UFED para agencias de aplicación de la ley e instituciones gubernamentales. Estas herramientas permiten la extracción de datos de una amplia gama de dispositivos móviles, incluidos los últimos modelos de Android y iPhone, incluso sin acceso al código de desbloqueo.
Aunque técnicamente es menos avanzado que el software espía comercial altamente invasivo como Pegasus, NoviSpy (un software espía previamente desconocido para dispositivos Android) aún proporciona a las autoridades serbias amplias capacidades de vigilancia una vez instalado en un dispositivo específico.
NoviSpy permite la recopilación de datos personales confidenciales de un teléfono objetivo, así como activar de forma remota el micrófono o la cámara del teléfono, mientras que las herramientas forenses de Cellebrite se utilizan tanto para desbloquear el teléfono antes de instalar spyware como para extraer datos del dispositivo.
De manera crucial, Amnistía Internacional ha descubierto evidencia forense que muestra cómo las autoridades serbias utilizaron productos de Cellebrite para permitir la infección de los teléfonos de los activistas con el software espía NoviSpy. En al menos dos casos, el exploit Cellebrite UFED se utilizó para eludir los mecanismos de seguridad de los dispositivos Android, lo que permitió a las autoridades instalar en secreto el software espía NoviSpy durante los interrogatorios policiales. Amnistía Internacional también reveló que las autoridades serbias utilizaron Cellebrite para explotar un exploit de "día cero" (un error de software desconocido para los desarrolladores del software y para el que no hay parche disponible) en dispositivos Android para obtener acceso privilegiado al teléfono de la activista medioambiental. La vulnerabilidad, descubierta en colaboración con investigadores de seguridad de Google que trabajan en Project Zero y Threat Analysis, afectó a millones de dispositivos Android en todo el mundo que utilizan chipsets Qualcomm populares, y en el boletín de seguridad de Qualcomm de octubre de 2024 se publicó una actualización para solucionar el problema de seguridad.
El hackeo de teléfonos y la infección con spyware de Cellebrite amenazan a periodistas y activistas
En febrero de 2024, el periodista de investigación independiente serbio Slaviša Milanov fue arrestado y detenido por la policía con el pretexto de una prueba de alcoholemia. Durante su detención, Slaviša fue interrogado por agentes de policía vestidos de civil sobre su trabajo periodístico. Su teléfono Android estaba apagado cuando lo entregó a la policía, y en ningún momento le pidieron ni proporcionó el código de desbloqueo.
Después de su liberación, Slaviša se dio cuenta de que su teléfono, que había dejado en la recepción de la comisaría durante el interrogatorio, había sido pirateado y los datos del teléfono habían sido desactivados.
Pidió al Laboratorio de Seguridad de Amnistía Internacional que realizara un análisis forense del teléfono, un Xiaomi Redmi Note 10S. El análisis mostró que el producto Cellebrite UFED se utilizó para desbloquear en secreto el teléfono de Slavisa durante su detención.
Evidencias forenses adicionales mostraron que las autoridades serbias luego utilizaron NoviSpy para infectar el teléfono de Slavisa. En otro caso citado en el informe, que involucra al activista ambiental Nikola Ristic, se encontró evidencia forense similar del uso de productos Cellebrite para desbloquear dispositivos y permitir una infección posterior con el software espía NoviSpy.
"Nuestra evidencia forense confirma que el software espía NoviSpy fue instalado mientras la policía serbia tenía el dispositivo de Slavisa, y se utilizó una herramienta moderna como Cellebrite UFED, que es capaz de desbloquear el dispositivo, para infectarlo". "Amnistía Internacional tiene un alto grado de certeza al atribuir el software espía NoviSpy a la BIA", afirmó Donncha Ó Cearbhaill, director del Laboratorio de Seguridad de Amnistía Internacional.
Activistas infectados con el software espía NoviSpy al presentar denuncias ante la policía
Esta táctica de instalar secretamente software espía en los dispositivos de las personas durante la detención o el interrogatorio parece estar muy extendida.
En otro caso, el teléfono Samsung Galaxy S24+ de un activista de la organización Krokodil, que promueve el diálogo y la reconciliación en los Balcanes Occidentales, fue infectado con software espía durante una conversación con agentes de la BIA en octubre de 2024.
El activista fue citado a la oficina de BIA en Belgrado para proporcionar información sobre un ataque a sus instalaciones por parte de individuos de habla rusa, aparentemente en respuesta a la condena pública de Krokodil a la invasión rusa de Ucrania.
Tras la conversación, el activista sospechó que su teléfono había sido comprometido. A petición suya, Amnistía Internacional realizó una investigación forense que demostró que NoviSpy estaba instalado en el dispositivo durante la conversación con la BIA. Amnistía Internacional también pudo recuperar y descifrar datos que NoviSpy había recopilado mientras el activista usaba su teléfono, incluidas capturas de pantalla de cuentas de correo electrónico, mensajes de Signal y WhatsApp, y actividad en las redes sociales.
Amnistía Internacional informó sobre el uso del software espía NoviSpy a los investigadores de seguridad de Android y a Google antes de que se publicara el informe, para que pudieran tomar medidas para eliminarlo de los dispositivos Android afectados. Google también envió notificaciones sobre "ataques patrocinados por el gobierno" a personas identificadas como posibles objetivos de esta campaña.
El impacto de la vigilancia digital estatal y las tácticas de represión en la sociedad civil serbia
Los activistas en Serbia están traumatizados por los ataques.
"Esta es una forma increíblemente efectiva de desalentar por completo la comunicación entre personas". "Todo lo que dices puede ser usado en tu contra, lo cual resulta paralizante tanto a nivel personal como profesional", afirma Branko*, un activista atacado por el software espía Pegasus.
La autocensura es también una de las consecuencias de la persecución.
"Todos estamos en una especie de prisión digital, un gulag digital. Tenemos la ilusión de libertad, pero en realidad no la tenemos. Tenemos dos opciones: o bien optamos por la autocensura, que afecta profundamente a nuestra capacidad de trabajar, o bien damos el paso; en ese caso, tenemos que estar preparados para afrontar las consecuencias", afirma Goran*, un activista que ha sido víctima del programa espía Pegasus.
El activista Aleksandar*, que también fue blanco del software espía Pegasus, dijo: “Mi privacidad ha sido violada y ha destruido completamente mi sensación de seguridad personal. Me causó una ansiedad enorme... Sentí pánico y me sentí muy aislada”.
En respuesta a estos hallazgos, NSO Group, que desarrolló Pegasus, no pudo confirmar si Serbia era su cliente, pero afirmó que "toma en serio su responsabilidad de respetar los derechos humanos y está firmemente comprometido a evitar causar, contribuir a o estar directamente asociado con impactos adversos sobre los derechos humanos, y a revisar exhaustivamente todas las acusaciones creíbles de mal uso de los productos de NSO Group".
En respuesta a nuestros hallazgos, Cellebrite afirmó: "Nuestras soluciones de software digital no instalan software espía ni realizan vigilancia en tiempo real como el software espía o cualquier otro tipo de actividad cibernética invasiva".
"Agradecemos que Amnistía Internacional haya puesto de relieve el presunto uso indebido de nuestra tecnología". "Tomamos en serio todas las acusaciones de posible mal uso de nuestra tecnología por parte de los usuarios de formas que violen los términos explícitos e implícitos establecidos en nuestro acuerdo de usuario final".
“Estamos investigando las acusaciones hechas en este informe. "Si se confirma, estamos preparados para imponer las sanciones apropiadas, incluida la ruptura de los vínculos de Cellebrit con todas las agencias relevantes".
En respuesta a una consulta enviada anteriormente por Amnistía Internacional durante la investigación para el informe,
Cellebrite dijo que su producto es "una plataforma forense digital que equipa a las agencias policiales con la tecnología necesaria para proteger y salvar vidas, agilizar la justicia y proteger la privacidad de los datos".
También afirmaron que sus productos están "autorizados únicamente para uso legal, requiriendo una orden judicial o consentimiento para ayudar a las agencias policiales en investigaciones legales después de que se haya producido un delito".
Si bien este puede ser un uso previsto, nuestra investigación muestra cómo los productos de Cellebrite pueden usarse indebidamente para permitir la implementación de software espía y la recopilación de una amplia gama de datos de teléfonos móviles fuera del alcance de investigaciones criminales legítimas, lo que representa graves amenazas a los derechos humanos.
Amnistía Internacional presentó las conclusiones del informe al gobierno serbio antes de su publicación, pero no recibió respuesta antes de la publicación de este informe.
Las autoridades de Serbia deben dejar urgentemente de utilizar programas espía altamente invasivos, ofrecer reparaciones efectivas a las víctimas de vigilancia selectiva ilegal y procesar de manera responsable a quienes han violado sus derechos. Cellebrite y otras empresas de investigación forense digital también deben realizar la debida diligencia para garantizar que sus productos no se utilicen de una manera que contribuya a violaciones de los derechos humanos.
En los últimos años, la represión estatal y el ambiente hostil para quienes defienden la libertad de expresión en Serbia se han intensificado con cada ola de protestas antigubernamentales. Las autoridades han llevado a cabo continuas campañas de difamación contra ONG, medios de comunicación y periodistas, y los participantes en protestas pacíficas también han sido objeto de detenciones y represión legal.
*El nombre ha sido cambiado para proteger la identidad.