EXCLUSIVO: Inspectores postales han usado herramientas de hackeo para iPhone cientos de veces

El Servicio de Inspección Postal de EE. UU. (USPIS) posee herramientas de hackeo sofisticadas que pueden violar iPhones y las ha usado cientos de veces en los últimos años, según los registros de USPIS.

El uso por parte de las fuerzas del orden de las herramientas de hackeo como Cellebrite y GrayKey ha atraído una atención considerable en los últimos años, particularmente luego de los informes de que el FBI usó Cellebrite, con sede en Israel, para ayudar a acceder al iPhone perteneciente al autor del tiroteo en San Bernardino, Syed Rizwan Farook, aunque desde entonces ha informado lo contrario. Más recientemente, los registros obtenidos por Vice Motherboard el año pasado revelaron que los departamentos de policía usaban GrayKey.

El uso de tales herramientas por parte del USPIS, el brazo de aplicación de la ley del Servicio Postal, se divulga en sus informes anuales de 2019 y 2020, pero hasta ahora no ha sido publicitado en gran medida. The Epoch Times también revisó una carta interna del Servicio Postal, que muestra que un técnico de la unidad de pruebas digitales de USPIS usó GrayKey para descifrar más de 150 dispositivos iOS, siendo iOS el sistema operativo móvil para el iPhone.

En conjunto, los registros sugieren que el USPIS ha descifrado cientos de iPhones, generalmente considerados como uno de los celulares comerciales más seguros del mercado, así como otros dispositivos.

“Las herramientas Cellebrite y GrayKey adquiridas en los años fiscales 2019 y 2018 permiten a la Unidad de Evidencia Digital extraer información previamente inalcanzable de los dispositivos móviles incautados. Durante el año fiscal 2020, se procesaron 331 dispositivos y 242 fueron desbloqueados y/o extraídos por estos servicios”, dice el informe anual 2020 de USPIS. “El éxito del programa y la creciente demanda de servicios requirieron la compra este año de un segundo dispositivo GrayKey para usar en la costa este”.

El informe de 2020 revela un aumento en el craqueo de celulares desde 2019, cuando el USPIS accedió a 177 dispositivos: 34 con Cellebrite y 143 con GrayKey, según el informe anual de ese año.

La carta interna de USPIS sugiere que el aumento continuó el año pasado y revela que un solo técnico descifró más de 150 dispositivos iOS.

“En mayo de 2020, el FLS [Forensic Laboratory Services] adquirió una segunda herramienta GrayKey iOS para extracciones de dispositivos iOS bloqueados. Los dispositivos protegidos con contraseña son uno de los mayores desafíos que enfrenta la comunidad de evidencia digital en la actualidad”, dice la carta.

“Desde la adquisición, [el técnico] ha desbloqueado/sobrepasado, extraído y examinado con éxito más de 150 dispositivos iOS bloqueados. La unidad GrayKey adicional ha permitido a FLS equilibrar la carga de trabajo de las tres ubicaciones con herramientas móviles especializadas, eliminando esencialmente la acumulación de estos exámenes”.

Dado que el USPIS es una agencia federal de aplicación de la ley anterior incluso al FBI, el uso de herramientas como GrayKey no es necesariamente sorprendente, dijo el agente retirado del FBI Marc Ruskin.

“Tienen jurisdicción para una variedad de casos mucho más amplia de lo que pensaría porque cualquier tipo de fraude electrónico (una amplia gama de delitos de cuello blanco implica fraude electrónico) o el uso del correo cae bajo su jurisdicción”, dijo Ruskin, autor de “The Pretender: My Life Undercover for the FBI”.

Ruskin le dijo a The Epoch Times que trabajó con Inspectores Postales en investigaciones dos veces durante su carrera, y “tienden a ser muy buenos en cuanto a profesionalismo e inteligencia”.

Uno de los casos más destacados que involucran al USPIS fue el envío de correos con ántrax en 2001, y los inspectores postales han trabajado en numerosas investigaciones conjuntas de terrorismo desde entonces.

Sin embargo, Ruskin cuestionó qué supervisión y salvaguardas existen en el USPIS para garantizar que los derechos de privacidad estén protegidos y que no se abuse de GrayKey/Cellebrite.

“No sabemos qué salvaguardas existen. Si las pautas son endebles, es posible que permitan registros sin orden judicial”, dijo Ruskin. “¿Bajo qué circunstancias se requieren órdenes judiciales?”.

El USPS y USPIS no respondieron a los correos electrónicos ni llamadas en busca de respuestas a esas preguntas. El inspector general de USPS ha hecho referencia a las «directrices de informes de gestión de casos» que establecen los requisitos sobre cómo los inspectores postales deben realizar y documentar sus investigaciones, pero ese documento no parece ser público, a diferencia de las directrices similares que rigen al FBI, que están disponibles en Internet.

Incluso con pautas, es posible que el USPIS no esté sujeto al mismo escrutinio o supervisión que otros organismos encargados de hacer cumplir la ley, agregó Ruskin.

“Si bien pueden estar sujetos a las mismas limitaciones legales, de hecho puede haber menos supervisión porque tienen una visibilidad más baja”, dijo. “Todo el mundo mira constantemente lo que hacen el FBI y el ICE, pero ¿quién mira al Servicio de Inspección Postal?”.

The Epoch Times ha presentado una solicitud de la Ley de Libertad de Información (FOIA) para las pautas del UPSIS y otros registros relacionados con herramientas que pueden descifrar iPhones.

El desarrollador de Cellebrite y GrayKey, Grayshift, por su parte, tampoco respondió de inmediato a las consultas sobre si audita el uso de sus productos por parte de sus clientes o si tiene otras medidas de seguridad para evitar el abuso.

Cellebrite ha estado bajo un escrutinio particular en los últimos años por hacer negocios con regímenes autoritarios. La empresa anunció en octubre de 2020 que dejaría de hacer negocios en China y Hong Kong.

Tras las revelaciones del año pasado sobre el monitoreo del USPIS a los manifestantes contra los bloqueos a través de su Programa de operaciones encubiertas de Internet (iCOP), los activistas de la privacidad advirtieron que el USPIS está en peligro de «desplazamiento de la misión», cuando una agencia tiene acceso a más herramientas o información de la que necesita. completar su misión diseñada, lo que lo lleva a expandirse a otro rol fuera de la misión designada para utilizar esas herramientas.

“El Servicio de Inspección Postal tiene una misión bien definida para proteger el correo, pero la agencia a menudo se ha excedido en sus límites”, declaró el Centro de Privacidad de Información Electrónica (EPIC) a principios de este mes. «El Servicio de Inspección Postal ahora reclama una ‘jurisdicción amplia’ para preservar la ‘seguridad e integridad del sistema de correo de la nación contra el uso indebido delictivo'».

En términos más generales, los activistas a favor de la privacidad están preocupados por la proliferación de herramientas como GrayKey y Cellebrite, que se han vuelto cada vez más baratas y omnipresentes a lo largo de los años.

“Las búsquedas forenses de celulares son cada vez más comunes… Las búsquedas también suelen ser demasiado amplias. No es raro que los datos no relacionados con las sospechas iniciales se copien, conserven y utilicen para otros fines más adelante”, dijo Electronic Frontier Foundation (EFF) en una explicación de marzo de 2021.

«Por ejemplo, la policía puede considerar que los datos no relacionados están ‘relacionados con pandillas’ y mantenerlos en una ‘base de datos de pandillas’, que a menudo tiene estándares vagos».

EFF agregó: «Muchos departamentos de policía no tienen políticas establecidas sobre cuándo se pueden usar las herramientas forenses de búsqueda de celulares».

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí