Una nueva investigación del Citizen Lab ha encontrado indicios de que las autoridades de Kenia utilizaron una herramienta de extracción forense comercial fabricada por la empresa israelí Cellebrite para acceder al teléfono de un destacado disidente, lo que lo convierte en el último caso de abuso de la tecnología dirigido a la sociedad civil.
La unidad de investigación interdisciplinaria de la Escuela Munk de Asuntos Globales y Políticas Públicas de la Universidad de Toronto dijo que encontró los indicadores en un teléfono personal perteneciente a Boniface Mwangi, un activista keniano a favor de la democracia que anunció planes para postularse para presidente en 2027.
Específicamente, se supo que las herramientas de extracción forense de Cellebrite se utilizaron en su teléfono Samsung mientras estaba bajo custodia policial tras su arresto en julio de 2025.
Le devolvieron el teléfono casi dos meses después, en septiembre, momento en el que Mwangi descubrió que el teléfono ya no estaba protegido con contraseña y podía desbloquearse sin necesidad de contraseña. Se ha evaluado con alta confianza que la tecnología de Cellebrite se utilizó en el teléfono alrededor del 20 y 21 de julio de 2025.
«El uso de Cellebrite podría haber permitido la extracción completa de todos los materiales del dispositivo de Mwangi, incluidos mensajes, materiales privados, archivos personales, información financiera, contraseñas y otra información confidencial», dijo Citizen Lab.
Los últimos hallazgos surgen tras un informe separado publicado el mes pasado, en el que los investigadores dijeron que los funcionarios de Jordania probablemente utilizaron Cellebrite para extraer información de los teléfonos móviles de activistas y defensores de los derechos humanos que habían criticado a Israel y habían hablado en apoyo de los palestinos en Gaza.
Los dispositivos fueron incautados por las autoridades jordanas durante las detenciones, arrestos e interrogatorios, y posteriormente se les devolvieron. Los incidentes documentados tuvieron lugar entre finales de 2023 y mediados de 2025, dijo Citizen Lab.
En respuesta a los hallazgos, un portavoz de Cellebrite dijo a The Guardian que la tecnología de la compañía se utiliza para «acceder a datos privados sólo de acuerdo con el debido proceso legal o con el consentimiento apropiado para ayudar legalmente a las investigaciones después de que haya ocurrido un evento».
Los dos casos se suman a un creciente conjunto de pruebas que documentan el uso indebido de la tecnología Cellebrite por parte de clientes gubernamentales. También refleja un ecosistema más amplio de abusos de vigilancia por parte de varios gobiernos de todo el mundo para permitir una vigilancia altamente específica utilizando software espía mercenario como Pegasus y Predator.
El software espía Predator apunta a un periodista angoleño
El desarrollo también coincide con otro informe de Amnistía Internacional, que descubrió evidencia de que el iPhone perteneciente a Teixeira Cândido, periodista angoleño y defensor de la libertad de prensa, fue atacado con éxito por el software espía Predator de Intellexa en mayo de 2024 después de que abrió un enlace de infección recibido a través de WhatsApp.
El iPhone ejecutaba iOS 16.2, una versión desactualizada del sistema operativo con problemas de seguridad conocidos. Actualmente no se sabe qué exploit se utilizó para desencadenar la infección. En múltiples informes publicados el año pasado, Recorded Future reveló que ha observado operaciones sospechosas de Predator en Angola que se remontan a 2024.
«Éste es el primer caso confirmado forense de software espía Predator utilizado contra la sociedad civil en Angola», afirmó la organización internacional de derechos humanos. «Una vez instalado el software espía, el atacante podría obtener acceso ilimitado al iPhone de Teixeira Cândido».
«La infección del software espía Predator parece haber durado menos de un día, y la infección se eliminó cuando se reinició el teléfono de Teixeira Cândido en la tarde del 4 de mayo de 2024. Desde ese momento hasta el 16 de junio de 2024, los atacantes hicieron 11 nuevos intentos de volver a infectar el dispositivo enviándole nuevos enlaces maliciosos de infección Predator. Todos estos intentos de ataque posteriores parecen haber fallado, probablemente debido a que los enlaces simplemente no se abrieron».
Según un análisis publicado por la empresa francesa de seguridad ofensiva Reverse Society, Predator es un producto de software espía comercial «creado para una implementación confiable y a largo plazo» y permite a los operadores habilitar o deshabilitar selectivamente módulos según la actividad del objetivo, otorgándoles control en tiempo real sobre los esfuerzos de vigilancia.
También se ha descubierto que Predator incorpora varios mecanismos antianálisis no documentados, incluido un sistema de monitoreo de reporteros de accidentes para fines antiforenses y un enlace SpringBoard para suprimir los indicadores de grabación de las víctimas cuando se activa el micrófono o la cámara, lo que ilustra la sofisticación del software espía. Además de eso, tiene controles explícitos para evitar su ejecución en ubicaciones de EE. UU. e Israel.
«Estos hallazgos demuestran que los operadores de Predator tienen una visibilidad granular de las implementaciones fallidas, (…) lo que les permite adaptar sus enfoques a objetivos específicos», dijeron los investigadores de Jamf Threat Labs, Shen Yuan y Nir Avraham. «Este sistema de códigos de error transforma implementaciones fallidas de cajas negras en eventos de diagnóstico».