Una nueva investigación del Citizen Lab ha enemigo indicios de que las autoridades de Kenia utilizaron una útil de procedencia forense comercial fabricada por la empresa israelí Cellebrite para lograr al teléfono de un destacado disidente, lo que lo convierte en el postrero caso de desmán de la tecnología dirigido a la sociedad civil.
La pelotón de investigación interdisciplinaria de la Escuela Munk de Asuntos Globales y Políticas Públicas de la Universidad de Toronto dijo que encontró los indicadores en un teléfono personal perteneciente a Boniface Mwangi, un perturbador keniano a privanza de la democracia que anunció planes para postularse para presidente en 2027.
Específicamente, se supo que las herramientas de procedencia forense de Cellebrite se utilizaron en su teléfono Samsung mientras estaba bajo custodia policial tras su arresto en julio de 2025.
Le devolvieron el teléfono casi dos meses a posteriori, en septiembre, momento en el que Mwangi descubrió que el teléfono ya no estaba protegido con contraseña y podía desbloquearse sin condición de contraseña. Se ha evaluado con incorporación confianza que la tecnología de Cellebrite se utilizó en el teléfono rodeando del 20 y 21 de julio de 2025.
“El uso de Cellebrite podría ocurrir permitido la procedencia completa de todos los materiales del dispositivo de Mwangi, incluidos mensajes, materiales privados, archivos personales, información financiera, contraseñas y otra información confidencial”, dijo Citizen Lab.
Los últimos hallazgos surgen tras un noticia separado publicado el mes pasado, en el que los investigadores dijeron que los funcionarios de Jordania probablemente utilizaron Cellebrite para extraer información de los teléfonos móviles de activistas y defensores de los derechos humanos que habían criticado a Israel y habían hablado en apoyo de los palestinos en Lazo.
Los dispositivos fueron incautados por las autoridades jordanas durante las detenciones, brío e interrogatorios, y seguidamente se les devolvieron. Los incidentes documentados tuvieron ocasión entre finales de 2023 y mediados de 2025, dijo Citizen Lab.
En respuesta a los hallazgos, un portavoz de Cellebrite dijo a The Guardian que la tecnología de la compañía se utiliza para “lograr a datos privados sólo de acuerdo con el correcto proceso permitido o con el consentimiento apropiado para ayudar legalmente a las investigaciones a posteriori de que haya ocurrido un evento”.
Los dos casos se suman a un creciente conjunto de pruebas que documentan el uso indebido de la tecnología Cellebrite por parte de clientes gubernamentales. Igualmente refleja un ecosistema más amplio de abusos de vigilancia por parte de varios gobiernos de todo el mundo para permitir una vigilancia mucho específica utilizando software agente mesnadero como Pegasus y Predator.
El software agente Predator apunta a un periodista angoleño
El exposición incluso coincide con otro noticia de Perdón Internacional, que descubrió evidencia de que el iPhone perteneciente a Teixeira Cândido, periodista angoleño y defensor de la excarcelación de prensa, fue atacado con éxito por el software agente Predator de Intellexa en mayo de 2024 a posteriori de que abrió un enlace de infección recibido a través de WhatsApp.
El iPhone ejecutaba iOS 16.2, una traducción desactualizada del sistema activo con problemas de seguridad conocidos. Actualmente no se sabe qué exploit se utilizó para desencadenar la infección. En múltiples informes publicados el año pasado, Recorded Future reveló que ha observado operaciones sospechosas de Predator en Angola que se remontan a 2024.
“Éste es el primer caso confirmado forense de software agente Predator utilizado contra la sociedad civil en Angola”, afirmó la ordenamiento internacional de derechos humanos. “Una vez instalado el software agente, el atacante podría obtener entrada ilimitado al iPhone de Teixeira Cândido”.
“La infección del software agente Predator parece ocurrir durado menos de un día, y la infección se eliminó cuando se reinició el teléfono de Teixeira Cândido en la tarde del 4 de mayo de 2024. Desde ese momento hasta el 16 de junio de 2024, los atacantes hicieron 11 nuevos intentos de retornar a infectar el dispositivo enviándole nuevos enlaces maliciosos de infección Predator. Todos estos intentos de ataque posteriores parecen ocurrir fallado, probablemente correcto a que los enlaces simplemente no se abrieron”.
Según un descomposición publicado por la empresa francesa de seguridad ataque Reverse Society, Predator es un producto de software agente comercial “creado para una implementación confiable y a amplio plazo” y permite a los operadores habilitar o deshabilitar selectivamente módulos según la actividad del objetivo, otorgándoles control en tiempo verdadero sobre los esfuerzos de vigilancia.
Igualmente se ha descubierto que Predator incorpora varios mecanismos antianálisis no documentados, incluido un sistema de monitoreo de reporteros de accidentes para fines antiforenses y un enlace SpringBoard para suprimir los indicadores de cinta de las víctimas cuando se activa el micrófono o la cámara, lo que ilustra la sofisticación del software agente. Encima de eso, tiene controles explícitos para evitar su ejecución en ubicaciones de EE. UU. e Israel.
“Estos hallazgos demuestran que los operadores de Predator tienen una visibilidad granular de las implementaciones fallidas, (…) lo que les permite adaptar sus enfoques a objetivos específicos”, dijeron los investigadores de Jamf Threat Labs, Shen Yuan y Nir Avraham. “Este sistema de códigos de error transforma implementaciones fallidas de cajas negras en eventos de diagnosis”.
