La policía y las autoridades de los servicios de inteligencia de Serbia están utilizando programas avanzados de espionaje telefónico, junto con productos forenses para teléfonos móviles, para atacar ilegítimamente a periodistas, activistas ambientales y otras personas en una campaña de vigilancia encubierta, según ha revelado un nuevo informe de Amnistía Internacional.
El informe,“Una prisión digital”: Vigilancia y supresión de la sociedad civil en Serbia,” documenta cómo se están utilizando productos forenses fabricados por la empresa israelí Cellebrite para extraer datos de dispositivos móviles pertenecientes a periodistas y activistas. También revela cómo la policía serbia y la Agencia de Información de Seguridad (Bezbedonosno-informativna Agencija, la BIA) han utilizado un sistema de software espía para Android hecho a medida, NoviSpy, para infectar de forma encubierta los dispositivos de personas durante periodos de detención o interrogatorios policiales.
“Nuestra investigación pone de manifiesto cómo las autoridades serbias han desplegado tecnología de vigilancia y tácticas de represión digital como instrumentos de un control estatal más amplio y de represión dirigida contra la sociedad civil”, ha declarado Dinushika Dissanayake, directora adjunta de Amnistía Internacional para Europa.
“También destaca cómo los productos forenses para móviles de Cellebrite —que utilizan con gran frecuencia la policía y los servicios de inteligencia de todo el mundo— pueden suponer un enorme riesgo para quienes defienden los derechos humanos, el medio ambiente y la libertad de expresión, cuando se utilizan fuera de un estricto control y supervisión legales”.
Cómo se utilizan Cellebrite y NoviSpy para atacar dispositivos
Cellebrite, empresa fundada en Israel y con sede en ese país, pero con oficinas en todo el mundo, desarrolla el conjunto de productos Cellebrite UFED para organismos policiales y entidades gubernamentales. Permite extraer datos de una amplia gama de dispositivos móviles, incluidos algunos de los modelos más recientes de Android y iPhone, incluso sin acceder a la contraseña del dispositivo.
Aunque técnicamente sea un programa menos avanzado que otros programas espía comerciales altamente invasivos como Pegasus, NoviSpy —un programa espía para Android hasta ahora desconocido— sigue proporcionando a las autoridades serbias una gran capacidad de vigilancia una vez instalado en el dispositivo de un objetivo.
NoviSpy puede capturar datos personales sensibles de un teléfono objetivo y proporcionar capacidades para encender el micrófono o la cámara de un teléfono de forma remota, mientras que las herramientas forenses de Cellebrite se utilizan tanto para desbloquear el teléfono antes de la infección con el software espía como para permitir la extracción de los datos de un dispositivo.
Un aspecto decisivo es que Amnistía Internacional ha descubierto pruebas forenses que demuestran que las autoridades serbias utilizaron productos de Cellebrite para permitir la infección de los teléfonos de activistas con el programa espía NoviSpy. En al menos dos casos, se utilizaron exploits de Cellebrite UFED (software que aprovecha un error o una vulnerabilidad) para eludir los mecanismos de seguridad de los dispositivos Android, lo que permitió a las autoridades instalar de forma encubierta el programa espía NoviSpy durante los interrogatorios policiales.
Amnistía Internacional también identificó cómo las autoridades serbias utilizaron Cellebrite para aprovechar una vulnerabilidad de día cero (un fallo de software que no conoce el desarrollador original del programa y para el que no se dispone de una solución informática) en dispositivos Android para obtener acceso privilegiado al teléfono de una persona dedicada al activismo ambiental. La vulnerabilidad, identificada en colaboración con personal de investigación de seguridad de Google Project Zero y Threat Analysis Group, afectaba a millones de dispositivos Android de todo el mundo que utilizan los populares chipsets de Qualcomm. En el Boletín de seguridad de Qualcomm de octubre de 2024 se publicó una actualización que solucionaba el problema de seguridad.
Amenazas de hackeo telefónico e infección por software espía de Cellebrite para periodistas y activistas
En febrero de 2024, el periodista de investigación independiente serbio Slaviša Milanov fue detenido por la policía con el pretexto de realizar una prueba por conducir bajo los efectos del alcohol. Durante su detención, Slaviša fue interrogado por agentes vestidos de civil sobre su trabajo periodístico. El teléfono Android de Slaviša estaba apagado cuando se lo entregó a la policía y en ningún momento se le pidió la contraseña ni él la facilitó.
Tras su liberación, Slaviša se dio cuenta de que el teléfono, que había dejado en la recepción de la comisaría durante su interrogatorio, parecía haber sido manipulado, y los datos del dispositivo estaban apagados.
Pidió al Laboratorio sobre Seguridad de Amnistía Internacional que realizara un análisis forense de su teléfono, un Xiaomi Redmi Note 10S. El análisis reveló que se había utilizado el producto UFED de Cellebrite para desbloquear en secreto el teléfono de Slaviša durante su detención.
Otras pruebas forenses demostraron que las autoridades serbias habían utilizado NoviSpy para infectar el teléfono de Slaviša. En un segundo caso del informe, en el que estaba implicado el activista ambiental Nikola Ristić, se encontraron pruebas forenses similares de productos Cellebrite utilizados para desbloquear un dispositivo con el fin de permitir la posterior infección con NoviSpy.
“Nuestras pruebas forenses demuestran que el programa espía NoviSpy se instaló mientras la policía serbia tenía en su poder el dispositivo de Slaviša, y que la infección dependía del uso de una herramienta avanzada como Cellebrite UFED, capaz de desbloquear el dispositivo. Amnistía Internacional atribuye con un elevado grado de confianza el programa espía NoviSpy a la BIA”, ha declarado Donncha Ó Cearbhaill, director del Laboratorio sobre Seguridad de Amnistía Internacional.
Activistas infectados con NoviSpy mientras presentaban denuncias ante la policía o la BIA
Esta táctica de instalar programas espía de forma encubierta en los dispositivos de las personas durante las detenciones o los interrogatorios parece haber sido muy utilizada por las autoridades.
En otro caso, a un activista de Krokodil, organización que promueve el diálogo y la reconciliación en los Balcanes Occidentales, le infectaron su teléfono, un Samsung Galaxy S24+, con un programa espía durante una entrevista con funcionarios de la BIA en octubre de 2024.
Le habían convocado a la oficina de la BIA en Belgrado para facilitar información sobre el ataque perpetrado en sus oficinas por personas de habla rusa, supuestamente en oposición a la condena pública que había hecho Krokodil de la invasión rusa de Ucrania.
Después de la entrevista, sospechó que su teléfono había sido manipulado. A petición suya, Amnistía Internacional llevó a cabo una investigación forense que descubrió que NoviSpy se había instalado en el dispositivo durante la entrevista con la BIA. Amnistía Internacional también pudo recuperar y descifrar los datos de vigilancia capturados por NoviSpy mientras esta persona utilizaba su teléfono, que incluían capturas de pantalla de cuentas de correo electrónico, mensajes de Signal y WhatsApp y actividad en redes sociales.
Amnistía Internacional informó de la campaña del programa espía NoviSpy a investigadores de seguridad de Android y Google antes de su publicación, quienes tomaron medidas para eliminar el programa espía de los dispositivos Android afectados. Google también ha enviado una ronda de alertas de “ataque respaldado por el gobierno” a las personas que identificaron como posibles objetivos de esta campaña.
Impacto de las tácticas estatales de vigilancia y represión digital en la sociedad civil serbia
Las personas serbias que se dedican al activismo han quedado traumatizadas por los ataques.
“Es una forma increíblemente eficaz de desalentar totalmente la comunicación entre las personas. Cualquier cosa que digas puede ser utilizada en tu contra, lo que resulta paralizante tanto a nivel personal como profesional”, afirma Branko*, activista que fue objeto del programa espía Pegasus.
La persecución también ha dado lugar a la autocensura.
“Todas las personas estamos en una especie de prisión digital, un gulag digital. Tenemos una ilusión de libertad, pero en realidad no somos libres en absoluto. Esto tiene dos efectos: o bien optas por la autocensura, lo que afecta profundamente a tu capacidad de trabajo, o bien decides alzar la voz a pesar de todo, en cuyo caso, tienes que prepararte para afrontar las consecuencias”, dijo Goran*, activista que también fue objeto del programa espía Pegasus.
El activista Aleksandar*, víctima asimismo del programa espía Pegasus, declaró: “Invadieron mi intimidad, lo que destrozó por completo mi sensación de seguridad personal. Me causó una enorme ansiedad… Sentí pánico y me quedé bastante aislado”.
En respuesta a estos hallazgos, NSO Group, que desarrolló Pegasus, no pudo confirmar si Serbia era su cliente, pero declaró que la empresa “se toma en serio su responsabilidad de respetar los derechos humanos, y está firmemente comprometida a evitar causar, contribuir o estar directamente vinculada a impactos negativos sobre los derechos humanos, y a investigar a fondo todas las acusaciones verosímiles de uso indebido de los productos de NSO Group”.
En respuesta a los hallazgos derivados del trabajo de Amnistía Internacional, Cellebrite ha manifestado: “Nuestras soluciones de software de investigación digital no instalan malware ni realizan vigilancia en tiempo real consistente con spyware o cualquier otro tipo de actividad cibernética de carácter ofensivo”.
“Agradecemos a Amnistía Internacional que haya señalado el presunto uso indebido de nuestra tecnología. Nos tomamos muy en serio todas las denuncias sobre posible uso indebido de nuestra tecnología por parte de un cliente en formas que pudieran contravenir las condiciones explícitas e implícitas recogidas en nuestro acuerdo de usuario final.
“Estamos investigando las afirmaciones que se realizan en este informe. En caso de confirmarse, estamos dispuestos a imponer las sanciones correspondientes, incluida la terminación de la relación de Cellebrite con cualquier entidad pertinente.”
En respuesta a las preguntas que Amnistía Internacional remitió con anterioridad en el curso del proceso de investigación, Cellebrite añadió que sus productos “se ofrecen bajo licencia estrictamente para su uso legal, y requieren una orden judicial o consentimiento para ayudar a los organismos encargados de hacer cumplir la ley con investigaciones legalmente sancionadas después de que se haya cometido un delito”.
Aunque éste pueda ser el uso previsto, la investigación de Amnistía Internacional demuestra cómo los productos de Cellebrite pueden utilizarse indebidamente para permitir el despliegue de programas espía y la recopilación de gran cantidad de datos de teléfonos móviles al margen de investigaciones penales justificadas, lo que supone graves riesgos para los derechos humanos.
Amnistía Internacional ha compartido las conclusiones de esta investigación con el gobierno serbio antes de su publicación, pero no ha recibido respuesta.
Las autoridades serbias deben dejar de utilizar programas espía altamente invasivos y proporcionar reparación efectiva a las víctimas de vigilancia selectiva ilegal, así como pedir cuentas a los responsables de violaciones de los derechos humanos. Cellebrite y otras empresas de análisis forense digital también deben actuar con la diligencia debida para garantizar que sus productos no se utilizan de forma que contribuyan a cometer abusos contra los derechos humanos.
En los últimos años, la represión estatal y el entorno hostil para los defensores y defensoras de la libertad de expresión en Serbia se han intensificado con cada oleada de protestas contra el gobierno. Las autoridades han emprendido continuas campañas de desprestigio contra ONG, medios de comunicación y periodistas, y también han sometido a detención y acoso judicial a quienes participaban en protestas pacíficas.
*Se ha cambiado el nombre para proteger la identidad.