Cellebrite: la misteriosa empresa de piratería de teléfonos que afirma no tener nada que ocultar

Cellebrite: la misteriosa empresa de piratería de teléfonos que afirma no tener nada que ocultar Cellebrite se anuncia a sí misma como una empresa de inteligencia digital, pero esta descripción opaca no pinta una imagen particularmente clara. En resumen, la inteligencia digital es un código para piratear dispositivos; Cellebrite ayuda al gobierno y a las fuerzas del orden a entrar en los teléfonos inteligentes y las computadoras portátiles de los investigados, siempre que el cliente tenga una razón legal para hacerlo. La compañía israelí ha recibido muchas críticas en los últimos años por parte de activistas de privacidad de datos que dicen que sus prácticas no son éticas. Otros han atacado a la empresa por no revelar las vulnerabilidades activas que explota para ingresar a los dispositivos. Sin embargo, Cellebrite se mantiene firme en su posición de que su tecnología hace más bien de lo que podría hacer mal. También señala inconsistencias en los argumentos de sus detractores; Hay pocas críticas sobre la ejecución de órdenes de registro físicas, dice el director de marketing Mark Gambill, entonces, ¿por qué deberían aplicarse reglas diferentes en el mundo digital? “Estamos agrupados con empresas de vigilancia, pero eso no es lo que hacemos. Y no se puede usar nuestra tecnología sin una orden legal, por lo que si se usa correctamente no hay violación de la privacidad ”, dijo a LaComparacion Pro. “Hay innumerables ejemplos de que nuestra tecnología se utiliza para el bien de la sociedad; para encontrar niños desaparecidos, romper las redes de tráfico de drogas y más. Pero lamentablemente estamos en un entorno donde el sensacionalismo vende. Sin embargo, ya sea intencionalmente o no, Cellebrite ha cortejado un aire de misterio que ahora busca disipar antes de una cotización en Nasdaq que se espera que valore a la compañía en € 2.4 mil millones. Según Gambill, Cellebrite no tiene nada que ocultar.

Legislar contra el abuso

Cellebrite dice que atiende a aproximadamente 6.700 clientes en todo el mundo, la gran mayoría (aproximadamente 5.000) del sector público. En este contexto, los servicios de la compañía se dividen en tres áreas principales: recolección de datos, análisis y auditoría. Como explica Gambill, los delincuentes se han vuelto extremadamente expertos en el uso de la tecnología y, como era de esperar, a menudo se muestran reacios a ofrecer sus dispositivos desbloqueados. Avec l'approbation légale, le dispositif d'extraction médico-légale universel (UFED) de Cellebrite peut être utilisé pour extraire des données stockées sur des smartphones, des ordinateurs, des montres intelligentes et plus encore, parfois en exploitant des vulnérabilités actives dans les sistema de explotacion.

Cellebrite

Cellebrite UFED Touch (Crédito de la imagen: Cellebrite) A nivel de software, la herramienta Physical Analyzer de Cellebrite ayuda a los clientes a explorar los terabytes de datos que a menudo se almacenan en los dispositivos de los consumidores en la actualidad. La empresa combina la filtración basada en palabras clave con inteligencia artificial (IA) para generar información específica. Por último, para mantener la integridad de la evidencia, el hardware de Cellebrite está respaldado por un paquete de administración que mantiene un registro de actividad y una pista de auditoría estrictos. “Es esencial tener transparencia sobre quién maneja la evidencia, ya que existen problemas de confidencialidad y manipulación”, dijo Gambill. “Nuestra solución es capaz de demostrar con precisión quién ha accedido a qué datos y cuándo. " Incluso más que la mayoría de las empresas, Cellebrite es responsable de elegir a los clientes con los que trabaja. De hecho, Gambill admite que ha habido casos en los que sus tecnologías han sido mal utilizadas, aunque señaló que son extremadamente raras. Para protegerse contra esta eventualidad, Cellebrite ha diseñado su hardware de tal manera que no puede ser utilizado por nadie más que los licenciatarios activos. Las actualizaciones implementadas cada dos semanas también significan que el obsoleto kit de Cellebrite es efectivamente inútil, "a menos que quieras hacer una maceta con él", bromeó Gambill. Cuando se le preguntó sobre la posibilidad de que un licenciatario actual estuviera abusando del material a puerta cerrada, nos dijo que sería "muy difícil" sin que Cellebrite se enterara. "Se trata de tener la capacidad de monitorear lo que está sucediendo y, en la rara situación en la que alguien se vuelve deshonesto, tomar una acción decisiva".

Cellebrite

Kit de caja y cable reforzado Cellebrite (Crédito de la imagen: Cellebrite) Gambill note également que Cellebrite a retiré ses produits d'un certain nombre de pays, dont la Chine et la Russie, qui, selon lui, pourraient utiliser sa technologie de manière contraire à l'éthique ou qui se classent mal dans les indices des droits del hombre. Sin embargo, varios defensores de la privacidad, como la organización sin fines de lucro Access Now, dicen que la compañía no ha ido lo suficientemente lejos como para legislar contra las posibles violaciones de derechos humanos que su arsenal es capaz de facilitar. Además, dicen que Cellebrite ha sido demasiado lento para cortar lazos con clientes desagradables y solo ha tomado medidas bajo presión pública. En una carta abierta reciente, Access Now y sus colegas afirman que Cellebrite ha sido consciente desde hace mucho tiempo del potencial de abuso, pero ha seguido vendiendo sus productos a regímenes represivos, como Arabia Saudita y Myanmar (que los ex empleados de Cellebrite corroboraron). Hasta que "no tome las medidas necesarias para cumplir con los derechos humanos", no se debe permitir que la empresa se haga pública, dicen los activistas.

área gris

A finales del año pasado, Cellebrite se convirtió en enemigo de la empresa de mensajería Signal. La compañía había anunciado recientemente la compatibilidad con los tipos de archivos de Signal y también había publicado un informe que sugería que había descifrado el famoso cifrado de la plataforma, pero esto luego fue desacreditado y etiquetado como "molesto". Unos meses más tarde, el CEO de Signal, Moxie Marlinspike, publicó su propio informe, en el que demostró vulnerabilidades en el hardware de Cellebrite. En el mismo artículo, afirmó que el negocio "existe en gris, donde la marca corporativa se une al ladrón para ser llamado 'inteligencia digital'". También bromeó diciendo que estaba "preparado para revelar responsablemente vulnerabilidades específicas que conocemos a Cellebrite si hacen lo mismo por cualquier vulnerabilidad que utilicen en su extracción física y otros servicios a sus respectivos proveedores, ahora y en el futuro". Cuando se le preguntó sobre la ética que rodea a la conservación de vulnerabilidades que potencialmente podrían ser explotadas en la naturaleza por terceros malintencionados, Gambill nos dio una respuesta indirecta. Describió la relación de la empresa con los proveedores de dispositivos, como Apple, como una relación de "cooperación", una fusión de cooperación y competencia. “Apple es un socio clave para nosotros de muchas maneras. Por supuesto, todos respetamos el derecho de las personas a garantizar que sus teléfonos tengan los tipos de seguridad y cifrado adecuados desde el punto de vista de la privacidad ”, dijo. “Al mismo tiempo, tenemos la obligación de brindar tecnología y herramientas que faciliten las investigaciones. Los medios por los que lo hacemos son parte de nuestra salsa secreta.

Intimidad

(Crédito de la imagen: Shutterstock / Valery Brozhinsky) Gambill explicó que no reconoció una contradicción entre la actitud de la empresa hacia la confidencialidad y su enfoque de la divulgación de vulnerabilidades, en parte porque tiene fundamentos legales para su comportamiento y en parte porque el fin justifica los medios. "Ce que nous faisons, c'est fournir une technologie que vous ne pouvez utiliser qu'avec un mandat légal et pour moi, cela ne suggère pas d'opérer dans des zones grises - c'est assez simple", nous a-t -el dice. “Mucho de esto se trata de educar más al mercado sobre exactamente lo que hace nuestra tecnología y los resultados positivos que conlleva. " Y, sin embargo, antes de su cotización en el Nasdaq, Cellebrite se esfuerza por establecer un comité autónomo diseñado para garantizar que siempre opere dentro de la ley y de la manera más ética posible. Ese panel estará compuesto por personas que nunca han estado asociadas con la empresa, dice Gambill, pero aún se está trabajando en la competencia total de la nueva junta. Dependiendo de la perspectiva, este movimiento podría celebrarse como un esfuerzo loable para cortar los problemas de raíz antes de que surjan, o más bien como una prueba de que la empresa es consciente de que hay problemas éticos inmediatos que deben abordarse. En última instancia, si algo es legal y ético son dos cuestiones separadas, una objetiva y otra subjetiva. Si bien Cellebrite puede funcionar bien dentro de los límites de la ley, el hecho de que opere dentro de los límites de la moralidad seguirá alimentando el debate. Irónicamente, como señaló la investigadora de Stanford, Riana Pfefferkorn, la capacidad de la compañía para ingresar a los dispositivos podría tener un efecto neto positivo en la privacidad. Ella dice que la compañía está actuando como una especie de "válvula de seguridad", aliviando la presión sobre los fabricantes de teléfonos inteligentes para que creen puertas traseras en sus dispositivos, lo que muchos considerarían un desastre absoluto. Sin embargo, si este "equilibrio precario" resiste la prueba del tiempo, probablemente dependerá de si Cellebrite encuentra una manera de hacerse más aceptable para una comunidad tecnológica cada vez más bulliciosa y consciente de la privacidad.