EU gasta 2.2 mdd en hackeo de móviles desde veto migratorio

0

Por Thomas Fox-Brewster

El 9 de marzo, tres días después de que el presidente Trump firmara su segundo intento para vetar a migrantes, en su mayoría de países musulmanes, el Departamento de Inmigración y Aduanas de EU (ICE, por sus siglas en inglés) destinó 2 millones de dólares (mdd) en lo que se cree que es una de las tecnologías de hacking de móviles y laptops más poderosas hasta ahora disponibles. Esta tecnología fue vendida por el proveedor israelí del gobierno norteamericano, Cellebrite, según lo revelado en los registros públicos en una orden de compra descubierta por Forbes, con el fin de registrar el contenido de la vida digital de los individuos. Junto con la evidencia, la Agencia DHS adquirió la herramienta de hacking justo después de que Trump entrara al poder, en la que gastó sumas récord en Cellebrite y sus competidores, en contratos que han alertado a diferentes activistas sobre invasiones a la privacidad y búsquedas innecesarias en los dispositivos de los viajeros.

La misión de la unidad de apoyo de ICE en Dallas, Texas, ordenó la compra masiva de dispositivos forenses universales Cellebrite (UFEDs), los cuales tienen la capacidad de abrir dispositivos móviles y rápidamente sacar la información y datos que puedan ser investigados por los agentes de seguridad. Estas unidades de apoyo a la misión trabajan dentro de la División de Investigaciones de Seguridad Nacional de ICE, cuya función principal es la ejecución de búsquedas forenses en dispositivos que llegan a la frontera.

Una sola unidad UFED se vende en cualquier lugar entre los 5,000 y 15,000 dólares, según una fuente de la comunidad forense quien describió el trato simplemente como “masivo”, en un mercado dónde un contrato común raramente excede los 100, 000 dls. Efectivamente, es la orden pública más grande del gobierno de Estados Unidos a las tecnologías Cellebrite y una de las compras de equipo forense más conocidas hasta la fecha. Y, de acuerdo con otros contratos públicos, parece que ICE está destinando cifras récord en otra herramienta de espionaje de dos de los rivales más grandes de su proveedor Cellebrite: la compañía rusa Oxygen Forensic, y la compañía canadiense Magnet Forensics.

Aunque todavía no está claro como la Misión de Apoyo del ICE utilizará este nuevo equipo, expertos en derechos humanos han expresado su preocupación ante el uso potencial de una tecnología tan poderosa para búsquedas fronterizas sin necesidad de una orden judicial por parte del Departamento de Seguridad Nacional. “Vemos muy alarmados el seguimiento de estos documentos”, dijo el abogado senior de Electronic Frontier Foundation, Adam Schwartz. “Asumimos que esto significará para cada vez más gente inocente, que su información sea investigada sin razón alguna… nos dice que el gobierno no sólo se limita a checar los dispositivos de las personas, sus teléfonos y computadoras portátiles, pero que la tecnología producida por estas compañías y que están usando para indagar en nuestra información privada es muy poderosa.”

Desde que la administración de Trump entró al poder, la policía de la frontera ha sido criticada fuertemente por el trato que le dan tanto a ciudadanos americanos como a extranjeros al entrar al país, con historias que van desde lo problemático hasta lo obsceno. Sin autorización previa, los agentes aduanales estadounidenses detuvieron al ingeniero de la NASA, nacido en Estados Unidos, Sidd Bikkannavar, y le pidieron las contraseñas de su dispositivo móvil, al igual que al ciudadano norteamericano, Haisam Elsharkawi, quien fue detenido en Los Ángeles, California antes de viajar a Arabia Saudita, y cuestionado mientras estaba esposado. No obstante, el gobierno afirma que puede llevar a cabo estas búsquedas, ya que las protecciones de la Constitución contra búsquedas injustificadas no se extienden a la frontera.

El número de búsquedas en la frontera también ha incrementado en un rango inimaginable, tanto en la administración del ex presidente Barack Obama el año pasado, y aún más cuando Trump llegó a la Casa Blanca. Recientemente se reportó que el Departamento de Seguridad Nacional registró 5,000 dispositivos en la frontera en tan sólo el mes de febrero de 2017, mientras que en 2015 se registró la misma cifra, pero a lo largo de todo el año completo. Siguiendo con el tema numérico, la orden ejecutiva de Trump dirigida al Departamento de Seguridad Nacional fue para contratar 5,000 agentes fronterizos adicionales para ayudar con la carga de trabajo.

ICE es una de las dos agencias principales con la autoridad de revisar dispositivos al entrar al país junto con Aduana y Protección Fronteriza (CBP). Tradicionalmente, CBP (también un cliente de Cellebrite) es el primer recurso para interceptar tanto dispositivos como personas en Estados Unidos, pero a menudo se los pasa a ICE para una revisión mucho más profunda. Aparentemente, ICE tiene herramientas de revisión más potentes, para tal caso CBP requiere una aprobación de un supervisor antes de copiar el contenido del dispositivo de una persona, mientras que ICE no, según una guía oficial obtenida por MuckRock. Ambas agencias continúan trabajando en conjunto y muy de cerca bajo la administración de Trump, la cual les ha asignado como tarea incrementar sus esfuerzos para detener y deportar inmigrantes que no tengan la documentación apropiada, aunque éstos no hayan quebrantado la ley.

Con las órdenes masivas de Cellebrite y su equipo competitivo, activistas de derechos digitales están preocupados no sólo por el número de búsquedas, sino por la calidad de las mismas, y el poder que tiene ICE en éstas.  “Estamos viendo un incremento tanto en búsquedas y en las capacidades tencológicas para realizarlas”, dijo Esha Bhandari, abogada en la American Civil Liberties Union (ACLU). “Estas tecnologías les permiten a los agentes ver contenido no necesariamente reciente, sino también borrado del dispositivo, y la vida entera de la gente.”

El boom del hacking a móviles después del veto

Cellebrite es conocido como el proveedor más grande de herramientas forenses para dispositivos móviles, otorgando herramientas que vigilen al mundo con el objetivo de encontrar toda clase de medios electrónicos y servicios de la nube. Una vez estuvo vinculado al hack del iPhone 5C del tirador de San Bernardino, pero reportes posteriores indicaron que era otro proveedor el que había sido contratado. Su software, una vez probado por Forbes en una conferencia de tecnología, es considerablemente sencillo de usar: sólo hace falta conectar el teléfono al UFED y teclear los botones que van apareciendo en la pantalla para vaciar toda la información de las apps que albergue. Por ejemplo, puede sacar todo el contenido de servidores como Facebook, Google y hasta Twitter, siempre y cuando el teléfono esté conectado con las cuentas correspondientes del dueño. Cellebrite también tiene el poder de desactivar algunas contraseñas y bloqueos, a pesar de que no se sabe aún si es capaz de desbloquear los modelos más modernos de los sistemas del iPhone de Apple y de Google Android.

“Lo que hemos visto a través de otras fuentes es que Cellebrite tiene el poder de copiar el dispositivo completamente, ir al “espacio no asignado”, donde la información va cuando creemos que la hemos eliminado, para traerla de vuelta”, dijo Schwartz.

La orden de 2 mdd es gigantesca para Cellebrite, la más grande que haya recibido de cualquier agencia gubernamental de Estados Unidos, de acuerdo a los registros públicos en la base del Sistema Federal de Obtención de Datos, la cual mostró que los ingresos anuales de la compañía eran de 70 mdd. La siguiente más grande parece ser en 2012, por un contrato de 1.27 mdd de la Fuerza Aérea y el segundo contrato más rentable con la ICE fue por 974,110 dólares en 2014 (no todos los contratos del gobierno se vuelven públicos). Un reciente informe de la base que utiliza datos de solicitudes de acceso público y otras fuentes, también hace énfasis en el gran tamaño de la transacción de 2 millones de dólares: un mapa de gastos a través de diversos estados, el cual mostraba a Iowa como el más grande gastador, con apenas 258,000 dls. El negocio con Cellebrite tiene una vigencia de dos años, pero ni Cellebrite, ni el Departamento de Inmigración y Aduanas de EU (ICE), aclaró el uso que se le daría a esta tecnología.

Cellebrite no es el único celebrando el veto extremista de Trump

Cellebrite no es el único proveedor forense que se beneficia de los crecientes requerimientos tecnológicos de ICE desde que se cumplió la orden de Trump y el presidente exigió un “veto extremo” a las personas que viajan desde las naciones en su mayoría de origen musulmán, incluyendo Iran, Libia, Somalia, Sudán, Siria y Yemen. Ciertamente, la agencia fronteriza está gastando sumas desmesuradas en tecnologías de investigación y espionaje de dispositivos móviles.

El departamento de Misión de Apoyo de Dallas gastó 151, 848 dólares al inicio de abril en las actualizaciones de sus licencias para softwares de teléfonos y laptops llamados Axiom de Magnet Forensics, el material comercial que afirma que rápidamente puede crear una copia de un dispositivo “iOS o Android, discos duros, y contenido multimedia borrable” para que las agencias encuentren la evidencia que no sabías que tenías.” De nuevo, según los registros públicos, éste ha sido el único y más grande pago a la firma por parte de ICE. La compañía también recibió órdenes de compra de ICE el 15 de marzo por 15,586 dls y el 9 de marzo por 8,600 dls, a pesar de que los registros indicaban que éste último fue para una investigación de red entre pares. (Para ser claros, ICE hace mucho más que sólo investigaciones fronterizas, como investigaciones de explotación infantil, venta de narcóticos y fraude, entre otros crímenes).

Magnet es una empresa canadiense fundada por el oficial de la policía Jad Saliba, quien en 2016 anunció su alianza estratégica con el fondo de In-Q-Tel, un inversor para la comunidad de inteligencia de EU. Ha estado creciendo en importancia, en parte por su participación en el caso de bomba de Boston, en el cual el Buscador de Evidencia de Internet fue utilizado para destapar “artefactos” de actividad web para PC de Tamerlan Tsarnaev, el hermano menor involucrado en el ataque terrorista de 2013, de acuerdo a un documento mostrado en la corte.

Oxygen Forensics recibió dos órdenes de entrega del departamento en marzo, conformando un total por encima de los 58,000 dls. El primero, firmado antes de la segunda orden de Trump, pero después de su primer intento (bloqueado por tribunales estadounidenses), llegó a 55, 509 dólares y parece ser un contrato por un corto periodo de una semana, que también fue una suma récord que Oxygen recibió por parte de ICE.  Oxygen se establecida en Rusia por sus fundadores Oleg Fedorov y Oleg Davydov. Ahora con una base en el corazón del complejo industrial de vigilancia de Estados Unidos en Alexandria, Virginia, también afirma tener contratos con el Departamento de Defensa y el Ejército de EU, así como con agencias del orden mundial, explotando así la habilidad de hackear en el rango más amplio posible los sistemas operativos móviles desde el iOS de Apple, hasta el Android de Google, BlackBerry y el Windows Phone.

Ni Magnet ni Oxygen respondieron a las solicitudes de comentarios.

‘Falta de transparencia’

De acuerdo con Bhandari, este contrato sólo logra generar más preguntas acerca de los registros fronterizos desautorizados de la administración de Trump. “La adquisición de este tipo de tecnología realmente llama a mayor transparencia sobre lo que realmente están buscando, qué tan seguido lo hacen y cuánto tiempo almacenan los datos y con quién comparten esta información.”

Actualmente, el gobierno estadounidense no cree que deba requerir una autorización para indagar en los dispositivos de las personas que entran al país, incluso si suman lo que Bhandari describió como “búsquedas digitales en tiras”. Sin embargo, la administración está siendo llevada a la tarea por la ACLU y otros por su alegación de que las protecciones de privacidad de la Cuarta Enmienda no se aplican en la frontera.

Mientras esta confusión sobre la legalidad de los registros en aduanas continúa, el gobierno sigue invirtiendo fuertemente en tecnología y personal que puede indagar en las vidas personales de cualquiera que entre a Estados Unid

Fuente: Forbes

Comments are closed.