Los hallazgos recientes del Citizen Lab vuelven a poner en primer plano una realidad incómoda: las herramientas forenses comerciales que prometen ayudar a resolver crímenes pueden convertirse en armas contra la sociedad civil. Un análisis forense independiente determinó con alto grado de confianza que la tecnología de Cellebrite fue utilizada para extraer datos del teléfono de Boniface Mwangi, activista keniano y figura pública que ha anunciado su intención de presentarse a la presidencia en 2027. Puede consultarse el informe del Citizen Lab aquí: Citizen Lab — informe sobre Mwangi.
Los detalles técnicos que desvela el estudio son inquietantes por su sencillez práctica: el teléfono de Mwangi, un Samsung retenido por la policía tras su arresto en julio de 2025, presentó evidencias de una extracción forense fechada alrededor del 20 y 21 de julio. Cuando le devolvieron el dispositivo en septiembre, éste ya no requería contraseña para desbloquearse. Eso sugiere no solo acceso puntual a mensajes y archivos, sino la posibilidad de una copia exhaustiva de la información personal y profesional del activista, desde comunicaciones privadas hasta credenciales y datos financieros.
El uso de herramientas como las de Cellebrite no es nuevo ni aislado. En meses recientes el Citizen Lab publicó otro informe en el que documentó usos parecidos de la misma tecnología por parte de autoridades jordanianas contra defensores de derechos humanos y manifestantes a favor de Palestina; en esos casos los teléfonos fueron incautados durante detenciones y posteriormente devueltos tras las extracciones. El informe está disponible aquí: Citizen Lab — informe sobre Jordania, y la investigación periodística de OCCRP sobre el asunto ofrece contexto adicional: OCCRP — Jordan used Israeli tech.
Ante estas revelaciones, Cellebrite afirmó a la prensa que sus herramientas deben emplearse conforme al debido proceso y con el consentimiento adecuado para apoyar investigaciones legales, según declaraciones reproducidas por The Guardian. Sin embargo, la acumulación de casos en los que estas tecnologías aparecen asociadas a violaciones de derechos genera preguntas sobre los controles que los fabricantes y los estados aplican sobre su uso efectivo y sobre la transparencia en la venta y el despliegue de esas capacidades.
Paralelamente, el panorama de amenazas tecnológicas crece en sofisticación con la proliferación de spyware comerciales diseñados explícitamente para vigilancia sostenida. Amnesty International documentó el caso de Teixeira Cândido, periodista angoleño, cuya iPhone fue comprometida por el spyware Predator tras abrir un enlace malicioso recibido por WhatsApp en mayo de 2024. La investigación de Amnistía, que reconstruye la intrusión y los intentos posteriores de re‑infección, puede leerse aquí: Amnesty International — Predator en Angola.
Los informes forenses indican que Predator no es un simple troyano dirigido: se trata de una plataforma modular que permite activar o desactivar capacidades en función de la actividad del objetivo y que incorpora mecanismos para dificultar su análisis y detección. Un análisis técnico publicado por Reverse Society ofrece un desglose profundo de estas características y de las técnicas anti‑análisis empleadas por Predator: Reverse Society — análisis de Predator. La sofisticación de estas herramientas, que incluso evitan operar en determinadas localidades, las hace especialmente peligrosas cuando caen en manos de gobiernos con historial de persecución política.
Investigadores de Jamf Threat Labs han llamado la atención sobre sistemas de telemetría y códigos de error que Predator utiliza para convertir fallos de despliegue en información accionable, facilitando que los operadores perfeccionen sus ataques. Este trabajo, que explica cómo los operadores obtienen visibilidad sobre intentos fallidos, está documentado en el blog de Jamf: Jamf — Predator y técnicas anti‑análisis. Es decir: estas plataformas aprenden de sus errores y ajustan sus tácticas para garantizar futuras intrusiones exitosas.
El entramado que conecta a fabricantes de herramientas forenses comerciales con compradores estatales plantea dilemas regulatorios y éticos. Por un lado, las fuerzas de seguridad argumentan que estas tecnologías son útiles para investigar delitos graves; por otro, los casos documentados muestran un patrón de uso contra periodistas, activistas y opositores políticos. Organizaciones internacionales y medios han venido pidiendo mayor transparencia en la exportación y el control de estas tecnologías, así como mecanismos de rendición de cuentas cuando se documenta su abuso.
Además del debate público y las demandas de regulación, hay consecuencias prácticas y humanas: la violación de la privacidad de activistas y periodistas puede significar no solo la exposición de conversaciones y redes de apoyo, sino riesgos físicos y legales inmediatos. Cuando un teléfono es objeto de una extracción completa o de una intrusión avanzada, la vulnerabilidad de sus contactos y colaboradores también aumenta, multiplicando el daño más allá del individuo directamente afectado.
La combinación de herramientas forenses y spyware comercial crea un ecosistema en el que actores estatales con pocos escrúpulos pueden acceder a capacidades técnicas que, en manos responsables y reguladas, servirían para perseguir el crimen; en manos irresponsables, sirven para silenciar disidencia. Las investigaciones del Citizen Lab y de organizaciones como Amnesty contribuyen a arrojar luz sobre prácticas que de otro modo quedarían en la oscuridad, y sus informes ofrecen pruebas que deben servir de base para políticas públicas y procesos legales.
Mientras tanto, la comunidad tecnológica y los defensores de derechos digitales insisten en la necesidad de una respuesta multifacética: controles más estrictos sobre la venta de estas herramientas, auditorías independientes de los casos de uso por parte de estados, y marcos legales que garanticen transparencia y reparaciones cuando se abusa de ellas. Los responsables políticos, las empresas y la sociedad civil tienen por delante el reto de balancear necesidades legítimas de seguridad con la protección de libertades fundamentales.
Las historias de Mwangi y de Teixeira Cândido son ejemplos concretos de una tendencia global que exige atención. Para quien quiera profundizar en los detalles técnicos y las pruebas forenses, recomiendo consultar directamente los documentos originales citados en este artículo: los informes del Citizen Lab, el análisis de Reverse Society sobre Predator y la investigación de Amnesty International. Solo con información rigurosa y vigilancia ciudadana será posible limitar los abusos y proteger a quienes ejercen su derecho a la libre expresión y a protestar pacíficamente.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...