Introducción
El caso de Andrey Pivovarov, opositor político detenido en Rusia, ha puesto en evidencia una contradicción inquietante: una empresa occidental de forense digital había anunciado el cese de sus ventas al Gobierno ruso, pero sus herramientas siguieron siendo usadas para vulnerar la privacidad de un disidente. La investigación del Citizen Lab revela que, a pesar de los comunicados oficiales, el hardware y el software de Cellebrite continuaron operando en manos de agentes estatales, lo que suscita dudas sobre la capacidad real de las compañías para controlar el destino de sus productos una vez que estos salen al mercado.
El caso Pivovarov
En junio de 2021, autoridades rusas lograron abrir el iPhone de Andrey Pivovarov, un activista de derechos humanos, mientras se encontraba bajo custodia. Según el informe del Citizen Lab, el acceso se obtuvo mediante el uso de UFED, el dispositivo de desbloqueo y extracción de datos que fabrica Cellebrite. Lo sorprendente es que la empresa había anunciado tres meses antes que cesaría de forma inmediata cualquier suministro de tecnología a clientes gubernamentales de Moscú.
¿Por qué el bloqueo no funcionó?
Cellebrite asegura que, desde marzo de 2021, puede desactivar sus equipos o impedir actualizaciones de software a los usuarios a los que ha cortado la relación. Sin embargo, en el caso ruso, esa capacidad no se materializó. La falta de claridad sobre los mecanismos de desactivación y la ausencia de pruebas de que la compañía haya intentado revocar el software generan una brecha crítica en su política de “desconexión”.
Declaraciones de Cellebrite y lagunas en la responsabilidad
El portavoz de la empresa confirmó que los dispositivos vendidos antes del cese siguen operativos, pero no ofreció detalles sobre si se solicitó a los clientes que destruyeran las herramientas ni si se aplicaron medidas de desactivación remota. Esta ambigüedad alimenta la sospecha de que la mera interrupción de ventas no basta para evitar abusos posteriores, cuando los clientes conservan copias funcionales del software.
Dificultades para revocar herramientas de vigilancia
Expertos en derechos humanos, como el abogado israelí Eitay Mack, señalan que revocar licencias de software no es suficiente; los dispositivos pueden ser reprogramados o instalados en entornos aislados, manteniendo su capacidad de espionaje. Además, la tecnología de Cellebrite se ha difundido a otras jurisdicciones, como Hong Kong, Kenia y Jordania, donde también se ha documentado su uso contra activistas y periodistas.
Recomendaciones de los investigadores
John Scott‑Railton, del Citizen Lab, propone que Cellebrite implemente dos medidas esenciales: una capacidad de apagado remoto que se active al detectarse usos indebidos, y la inserción de marcas criptográficas que identifiquen cada dispositivo y cada extracción de datos. De este modo, se reduciría la “denegación plausible” y se facilitaría la trazabilidad de los abusos.
Conclusión
El episodio ruso ilustra la fragilidad de los controles post‑venta en el sector de la vigilancia digital. Aunque las empresas pueden anunciar cortes de relaciones, la ausencia de mecanismos técnicos robustos permite que sus productos sigan operando en manos opresivas. La presión de la comunidad de derechos digitales y la adopción de tecnologías de desactivación remota son pasos necesarios para evitar que herramientas diseñadas para la investigación criminal se conviertan en armas contra la disidencia.
Source: https://techcrunch.com/2026/06/25/cellebrite-said-it-cut-off-russia-but-russia-used-is-tools-anyway/