La grieta en el control: cómo un software de vigilancia israelí siguió operando en Rusia pese a los bloqueos comerciales

Los mecanismos de control que las grandes corporaciones tecnológicas implementan sobre sus productos de vigilancia siguen siendo más ficción que realidad. Eso es lo que surge de una investigación que documentó cómo autoridades rusas continuaron usando herramientas de extracción de datos de la empresa israelí Cellebrite meses después de que la compañía anunciara públicamente el cese de sus operaciones comerciales en territorio ruso. El caso no es anecdótico: plantea interrogantes fundamentales sobre la capacidad efectiva que tienen estas empresas para controlar sus propias tecnologías una vez que las venden a gobiernos, particularmente a regímenes autoritarios. La trascendencia de este hallazgo radica en que estas mismas herramientas circulan sin restricciones por decenas de países, siendo utilizadas rutinariamente por fuerzas policiales en democracias occidentales como Reino Unido y Estados Unidos.

Andrei Pivovarov, líder de la organización Open Russia, fue detenido en mayo de 2021. Permaneció encarcelado más de tres años hasta que fue liberado como parte de un canje de prisioneros de alto perfil que también incluyó al periodista estadounidense Evan Gershkovich. Durante su cautiverio, investigadores forenses al servicio del Estado ruso extrajeron información de su dispositivo móvil utilizando software de la empresa Cellebrite. Los datos obtenidos incluían registros detallados de sus contactos, correspondencia personal y profesional, así como mensajes intercambiados a través de plataformas como WhatsApp y Viber. Pivovarov caracterizó esta intrusión como una violación sistemática de su privacidad que puso en riesgo a numerosos colegas y colaboradores. Según documentos que le fueron entregados durante su proceso penal, las autoridades utilizaron esta información para construir casos criminales contra otras personas vinculadas a su círculo político.

La cronología que expone la contradicción

Lo que confiere particular relevancia a este caso es la secuencia temporal de los hechos. Cellebrite anunció públicamente en marzo de 2021 que suspendería la venta de soluciones y servicios a clientes localizados en Rusia y Bielorrusia. Dos meses después, en mayo, el teléfono de Pivovarov fue infiltrado mediante las mismas herramientas que supuestamente ya no estaban siendo comercializadas. El anuncio de Cellebrite había sido consecuencia de presiones mediáticas en Israel, desencadenadas por investigaciones dirigidas por Eitay Mack, abogado especializado en derechos humanos, que revelaron que los dispositivos de Cellebrite habían sido desplegados contra decenas de miles de ciudadanos rusos, entre ellos el opositor político Alexei Navalny. Sin embargo, según señaló Mack, la empresa nunca desmanteló efectivamente la tecnología que ya había vendido. "En sus contratos con autoridades estadounidenses, Cellebrite se reserva el derecho de desactivar remotamente los equipos. Pero la realidad es que su tecnología está en todas partes", afirmó Mack.

La investigación conducida por el Citizen Lab de la Universidad de Toronto confirmó "con alto nivel de confianza" que fueron utilizadas herramientas Cellebrite en el caso de Pivovarov. Esta conclusión se sustentó en pruebas técnicas y fue corroborada por documentos oficiales que las propias autoridades rusas facilitaron durante la causa penal. El hallazgo adquiere dimensiones aún más preocupantes cuando se considera que existen indicios de que el software continuó siendo utilizado tras el anuncio de cese de operaciones, inclusive con licencias vencidas. John Scott-Railton, investigador senior del Citizen Lab, señaló que la compañía dispone de mecanismos técnicos para frenar estos usos no autorizados pero optó por no implementarlos sistemáticamente.

El patrón global de una empresa sin frenos reales

Cellebrite ha negado responsabilidad alegando que cualquier uso de su hardware en Rusia posterior a marzo de 2021 constituiría una violación de términos contractuales enteramente no autorizada. La empresa afirmó además que el equipamiento vendido antes de esa fecha sería incompatible con dispositivos modernos y operaría sin respaldo técnico de su parte. Sin embargo, estos argumentos enfrentan cuestionamientos sustanciales. La tecnología de Cellebrite ha sido comercializada hacia gobiernos autoritarios en múltiples jurisdicciones: Rusia, Bielorrusia, China, Jordania, Kenia, Myanmar y Serbia, entre otros. Mientras que la empresa rescindió contratos en Serbia, Rusia, Bielorrusia, Bangladesh, Hong Kong y China, mantiene relaciones comerciales activas con Jordania y Kenia, a pesar de que investigaciones del Citizen Lab documentaron uso de sus herramientas para vigilar teléfonos de activistas en ambos países.

La postura corporativa de Cellebrite difiere sustancialmente de cómo intenta diferenciarse públicamente de competidores como el Grupo NSO, cuyo software Pegasus ha sido objeto de críticas globales por su supuesto despliegue contra disidentes, periodistas, diplomáticos y miembros del clero. NSO sostiene que sus clientes están obligados contractualmente a no abusar de la tecnología. Pero esa misma lógica defensiva no parece aplicarse con igual rigor cuando Cellebrite debe responder por sus propios productos. En su respuesta a la investigación del Citizen Lab, la empresa utilizó un argumento procedimentalista: afirmó que resultaba imposible responder adecuadamente a un informe cuando la compañía no tuvo oportunidad de revisarlo previamente. Sin embargo, no controvertió los hallazgos técnicos específicos que documentaban el uso de sus herramientas en el caso Pivovarov.

Pivovarov, en una carta abierta dirigida a Cellebrite, expresó que el uso de su tecnología constituyó un acto de complicidad en la persecución política. Señaló que las investigaciones realizadas demuestran que la Federación Rusa y otros estados autoritarios continúan operando dispositivos Cellebrite mucho tiempo después de la terminación formal de contratos comerciales. Exigió que la empresa interrumpa la práctica de "escudarse efectivamente en clientes que abusan de su tecnología". Las consecuencias de esta infiltración trascienden la experiencia individual de Pivovarov: varios de sus colegas abandonaron Rusia inmediatamente después de su detención, temiendo convertirse en blancos de persecución basada en información extraída de su comunicación con él. Algunas de sus fuentes fueron posteriormente objetivo de Coldriver, un grupo vinculado a intereses rusos, un nexo que el Citizen Lab indicó merece investigación adicional.

Las implicancias de este caso se proyectan hacia múltiples direcciones. Por un lado, evidencia que los compromisos corporativos de suspender operaciones en determinadas jurisdicciones carecen de mecanismos de cumplimiento verificable cuando las empresas no implementan desactivaciones remotas sistemáticas. Por otro, expone cómo tecnologías desarrolladas con propósitos de investigación criminal pueden ser instrumentalizadas para represión política en contextos donde no existe separación entre poder judicial e intereses estatales. Paralelamente, genera interrogantes sobre la responsabilidad de empresas que venden tecnología de vigilancia a gobiernos con antecedentes documentados de violaciones a derechos humanos. La pregunta que permanece sin respuesta definitiva es si estas corporaciones cumplen una función de seguridad legítima o si, en última instancia, operan como facilitadores de represión política global, beneficiándose económicamente de sistemas de vigilancia que afectan desproporcionadamente a voces disidentes y activistas.