El Citizen Lab de la Universidad de Toronto ha publicado este 25 de junio de 2026 un informe forense que confirma algo incómodo sobre la industria del software de vigilancia: cortar el contrato con un cliente no garantiza que deje de usar tus herramientas. Las autoridades rusas extrajeron datos del iPhone 12 de Andrey Pivovarov, ex director de la ONG Open Russia y defensor de derechos humanos, el 17 de junio de 2021. Ese mismo mes, Pivovarov estaba detenido. La empresa israelí Cellebrite había anunciado que dejaba de vender a Rusia en marzo de 2021, tres meses antes. Lo reporta Engadget y lo amplia Lorenzo Franceschi-Bicchierai en TechCrunch.
Pivovarov no entregó voluntariamente ninguna contraseña relevante. La extracción ocurrió mientras el dispositivo estaba en manos de las autoridades.
Quién es Pivovarov y cómo llegaron a su teléfono
Pivovarov fue arrestado en mayo de 2021 acusado de dirigir una «organización indeseable», la propia Open Russia, que había disuelto semanas antes. Fue condenado en 2022 y cumplió prisión hasta que fue liberado en un intercambio de presos en 2024. Al recuperar sus dispositivos, contactó al Citizen Lab en el otoño de 2025 durante el World Liberty Congress en Berlín. Los investigadores hicieron una inspección inicial de su iPhone y encontraron señales.
El análisis forense completo reveló, con «alta confianza», la presencia de herramientas de Cellebrite en el dispositivo. La prueba más directa proviene del propio sistema judicial ruso: un informe titulado «Dictamen Pericial nº 1269-17» que los propios investigadores del Ministerio del Interior (MVD) entregaron a Pivovarov durante el proceso penal. Traducido al inglés, confirma el uso del UFED Physical Analyzer y el UFED 4PC toolkit de Cellebrite para extraer datos del teléfono entre el 15 de junio y el 12 de julio de 2021.
Qué se extrajo: mensajes de WhatsApp, Viber y Telegram, buscando términos como «Open Russia», «United Democrats» y los nombres de socios de Pivovarov, incluyendo a Mikhail Khodorkovsky (fundador de Open Russia) y la organización de derechos humanos dirigida por Anastasiya Burakova, que también ha sido objetivo de ataques digitales.
La respuesta de Cellebrite y sus limitaciones
Cellebrite vende a más de 60.000 agencias en 150 países. Cuando la investigación sobre Pivovarov llegó a sus manos, el director de marketing de la empresa, David Gee, respondió por escrito al Citizen Lab: «Cualquier uso del hardware de Cellebrite en Rusia después de marzo de 2021 es completamente no autorizado. El hardware vendido antes de esa fecha sería ahora incompatible con dispositivos modernos y operaría sin nuestro soporte técnico, nuestro consentimiento o ninguna sanción legal de Cellebrite.»
El problema es que el iPhone 12 de Pivovarov fue hackeado en junio de 2021, apenas tres meses después del corte. El sistema UFED de Cellebrite tiene, por diseño, un modo offline que permite funcionar sin conexión al servidor del fabricante. La arquitectura del producto hace difícil para la empresa deshabilitar dispositivos vendidos a distancia.
Esta no es la primera vez que el Citizen Lab documenta este patrón. En los últimos años, spyware gubernamental como Morpheus ha seguido funcionando tras el cese de contratos en Italia, y empresas como Mollitiam Industries cerraron solo cuando sus productos fueron expuestos públicamente. Cellebrite ya cortó contratos con Bangladesh, China, Hong Kong, Myanmar y Serbia en años anteriores por casos similares de abuso documentado.
El Citizen Lab señala un mecanismo que convierte las declaraciones de corte de acceso en promesas vacías: la arquitectura de UFED no permite inutilizar el hardware a distancia. El investigador John Scott-Railton argumenta que la empresa debería implementar una función de «inutilización remota» real, no basarse en la esperanza de que el cliente anterior no lo use.
El problema estructural detrás del caso
La industria de la forensia digital es, en esencia, una industria de ruptura de seguridad. Las herramientas que vende Cellebrite sirven tanto para investigaciones criminales legítimas como para la represión política. La distinción entre usos no la controla el fabricante una vez que el hardware cruza la frontera.
El abogado de derechos humanos israelí Eitay Mack, quien lleva años litigando contra esta industria, señala un detalle que los comunicados de Cellebrite siempre omiten: la empresa no exige a sus clientes que destruyan o devuelvan los dispositivos cuando se corta el contrato. Sin esa obligación, el «cese de ventas» tiene valor cosmético, no operativo.
La guía sobre cómo reducir tu huella de rastreo digital detalla medidas que cualquier ciudadano puede tomar para reducir la superficie de ataque de sus dispositivos, pero ninguna protege completamente frente a UFED una vez que el dispositivo está físicamente en manos de un actor hostil.
Desde wwwhatsnew.com llevamos cubriendo la industria del spyware desde antes del escándalo de Pegasus. El patrón se repite sin excepción: empresa vende, régimen abusa, empresa anuncia «cese», abuso continúa.
Mi valoración
Lo que más me convence es la calidad de la evidencia. No es solo análisis forense de Citizen Lab: es el propio informe pericial del Ministerio del Interior ruso el que confirma el uso de UFED. Una empresa raramente tiene pruebas más directas en su contra.
Lo que más me preocupa es la ausencia de consecuencias regulatorias. Cellebrite es una empresa pública (cotiza en NASDAQ bajo CLBT). Ha cortado contratos con al menos seis países por abusos documentados. En todos los casos, la consecuencia fue un comunicado de prensa, no una sanción regulatoria, no una retirada de hardware, no un proceso judicial.
Lo más estructuralmente significativo es el mensaje para cualquier activista, periodista o defensor de derechos humanos en contextos de riesgo: si tu dispositivo físico cae en manos de las autoridades durante un periodo de 12-18 meses después de que el fabricante del software «cortara» el acceso a ese gobierno, sigues siendo vulnerable. La startup española Mollitiam Industries cerró sus puertas por presiones similares, pero el software que había vendido no desapareció con ella.
La pregunta a 12 meses: ¿usará la Unión Europea el caso Pivovarov como argumento para imponer auditorías obligatorias de software de vigilancia exportado a terceros países, en el marco del AI Act y las regulaciones de exportación de tecnología de uso dual?
Preguntas frecuentes
¿Qué es Cellebrite UFED y para qué sirve?
UFED (Universal Forensic Extraction Device) es el principal producto de Cellebrite para extracción de datos de dispositivos móviles. Permite extraer toda la información de un teléfono —mensajes, fotos, historial de llamadas, datos de apps— incluso sin la contraseña del usuario, explotando vulnerabilidades de software. Está diseñado para fuerzas del orden pero, como documenta el Citizen Lab, también lo usan gobiernos para perseguir a disidentes y activistas.
¿Cuándo cortó Cellebrite el acceso a Rusia?
Cellebrite anunció en marzo de 2021 que dejaba de vender a clientes del gobierno ruso «de inmediato», terminando contratos existentes. Sin embargo, el análisis forense del Citizen Lab muestra que el UFED se usó en el iPhone de Pivovarov en junio de 2021, tres meses después del anuncio. Cellebrite sostiene que ese uso es «completamente no autorizado» y que el hardware es «legado» e incompatible con dispositivos modernos.
¿Qué puede hacer alguien para proteger su móvil de este tipo de ataque?
La extracción forense con UFED requiere acceso físico al dispositivo. Las medidas de protección más efectivas son el uso de un PIN largo y alfanumérico (no biometría sola), activar el borrado automático tras varios intentos fallidos, mantener el sistema operativo actualizado (Apple y Google corrigen las vulnerabilidades que explotan estas herramientas con rapidez), y nunca dejar el teléfono sin supervisión en situaciones de riesgo.