Secretismo y opacidad en Comisión Nacional de los Mercados y la Competencia CNMC sobre uso de sistemas Cellebrite espiando móviles

Información
Corresponsal_Madrid 16 Octubre 2022
social youtube xornalgalicia   feed-image

@miguelgallardo Dr. (PhD) Miguel Gallardo PERITO Tel.  (+34) 902998352 E-mail: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

@APEDANICA Asociación APEDANICA con registro del Ministerio del Interior www.cita.es/apedanica.pdf

https://cita.es/cellebrite-cnmc-reclama-justificante.pdf 

Consejo de Transparencia y Buen Gobierno CTBT (RECLAMACIÓN)

Reclamación publicada en https://www.miguelgallardo.es/cellebrite-cnmc-reclama.pdf  

Como mejor proceda se presenta reclamación contra la “RESOLUCIÓN SOBRE LA SOLICITUD DE ACCESO” firmada el 19.9.22 por el Secretario del Consejo, Miguel Bordiu García-Ovies, con referencia AIP/070/22 en https://cita.es/cellebrite-cnmc-oculta.pdf que deniega con opacidad críptica nuestra solicitud, de 8.8.2022, adjunta, dirigida a 

Comisión Nacional de los Mercados y la Competencia CNMC 

 

Atn. jefa de área de desarrollo de aplicaciones e inspecciones tecnológicas Laura Estebanez Rogero y subdirector de subdirección de sistemas de las tecnologías de la información y las comunicaciones Andrés Aznar López para esta solicitud publicada en https://www.miguelgallardo.es/cellebrite-cnmc-transparencia.pdf

El único motivo que da la CNMC para denegar todo lo solicitado es este

VII. En el caso que nos ocupa, se solicita acceso a información sensible relativa a las inspecciones realizadas por la CNMC mediante el sistema de Cellebrite. El conocimiento por terceros, y la posible difusión de los procedimientos y herramientas tecnológicas utilizadas por la CNMC en las inspecciones de competencia, podría poner en riesgo las funciones de vigilancia, inspección y control encomendadas a la CNMC por la Ley 15/2007, de 3 de julio, de Defensa de la Competencia.

 

Reiteramos todo lo ya precisado (que no son procedimientos ni herramientas que ya conocemos, ni pone en riesgo ninguna función lícita de nadie) en nuestra solicitud, que incluso incluye una denuncia a la Agencia Española de Protección de Datos AEPD, y en la que no se pide nada que afecte ni a la privacidad, ni a la seguridad de nadie, ni pone en riesgo nada lícito, sino todo lo contrario, porque la opacidad total siempre es ilícita, incluso para el Centro Nacional de Inteligencia CNI. Lo que pretendemos es proteger la privacidad y seguridad de todos los posibles afectados. Debemos recordar aquí la sabia cuestión latina Quis custodiet ipsos custodes? (Juvenal, Sátira VI, siglo II) y República de Platón para preguntarnos ¿Quién vigilará a los vigilantes? ¿Quién inspeccionará a los inspectores? y ¿Quién controlará a los controladores? En la CNMC ya se acumulan muchas imágenes o copias completas de todos los teléfonos móviles clonados con el sistema CELLEBRITE y después hacen uso de programas capaces de obtener datos y metadatos de todo el que alguna vez haya estado en contacto con alguno de los teléfonos móviles clonados, o incluso que pudiera haber sido mencionado en alguna comunicación en ellos. La cuestión en esta reclamación es si absolutamente todo lo relacionado con CELLEBRITE en la CNMC es completamente secreto, o si existe algún hecho, dato, o referencia que, por transparencia, sea lícito conocer y publicar.

 

Por lo expuesto en este PDF de 4 páginas, se SOLICITA que se tenga por presentada esta reclamación de transparencia y, estimándola, se requiera a la CNMC todo cuanto pueda conocerse sobre el uso de sus sistemas CELLEBRITE, con fechas, número de inspecciones y aparatos y licencias en total de que dispone, sanciones y judicializaciones relacionadas con su uso, todo ello sin perjuicio de cualquier otro derecho o acción que pueda ejercerse por principio universal “DE OMNI RE SCIBILI” de arts. 20 y 105 CE.

@miguelgallardo Dr. (PhD) Miguel Gallardo PERITO Tel.  (+34) 902998352 E-mail: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

@APEDANICA Asociación APEDANICA con registro del Ministerio del Interior www.cita.es/apedanica.pdf

https://cita.es/cellebrite-cnmc-compra.pdf 

Comisión Nacional de los Mercados y la Competencia CNMC 

Atn. jefa de área de desarrollo de aplicaciones e inspecciones tecnológicas Laura Estebanez Rogero y subdirector de subdirección de sistemas de las tecnologías de la información y las comunicaciones Andrés Aznar López para esta solicitud publicada en https://www.miguelgallardo.es/cellebrite-cnmc-transparencia.pdf 

 

Como mejor proceda, ejerciendo los derechos de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno se solicitan los siguientes datos disponibles en la CNMC:

 

Fecha en la que comenzaron a realizarse inspecciones mediante el sistema Cellebrite (Ufed 4PC, Premium o no, u otros), herramientas de las que la CNMC dispone de varias licencias que solicitamos se precisen por la fecha de inicio de uso de cada una de ellas. Nótese que una fecha es la publicada en contrataciondelestado.es y otra la de primer uso de cada licencia Cellebrite, que es lo que aquí solicitamos.

 

Número de inspecciones y total de dispositivos (móviles o tabletas) clonados, o analizados, desglosando cuanto sea posible, con número de casos en que el titular del dispositivo autorizó el uso de alguno de los sistemas Cellebrite, y de los que denegó su consentimiento.

 

3º Número de sanciones que se han basado en algún dato obtenido de algún móvil clonado o analizado por alguno de los sistemas Cellebrite y de ellas, cuántas se han judicializado en cualquier jurisdicción, desde los recursos contenciosos administrativos, hasta las penales, desde la primera con su fecha de judicialización, hasta la más reciente conocida.

 

Aunque la Ley 19/2013 no requiere motivación o justificación alguna, en aras de la eficacia, y para el mejor conocimiento de los responsables de los sistemas Cellebrite en la CNMC, considerando su muy amplio uso y su posición dominante actual, sin competencia comercial mencionable, así como por la gravedad de los hechos revelados por muy diversas publicaciones que evidencian las vulnerabilidades que afectan a la seguridad de datos personales, informamos a la CNMC que ya hemos presentado una denuncia ante la Agencia Española de Protección de Datos AEPD que adjuntamos, sin perjuicio de otras actuaciones que nos reservamos. El justificante del registro electrónico de nuestra denuncia puede verse en https://cita.es/aepd-cellebrite-justificante.pdf 

 

La asociación APEDANICA, y su presidente personalmente, están a la disposición de todo el que pueda dar o recibir información veraz sobre Cellebrite en relación a lo ya denunciado y aquí solicitado con pronto acuse de recibo de este PDF de 3 páginas incluyendo ésta.

@miguelgallardo Dr. (PhD) Miguel Gallardo PERITO Tel.  (+34) 902998352 E-mail: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

@APEDANICA Asociación APEDANICA con registro del Ministerio del Interior www.cita.es/apedanica.pdf

https://cita.es/aepd-cellebrite-justificante.pdf  https://www.miguelgallardo.es/aepd-cellebrite-personal.pdf 

Agencia Española de Protección de Datos AEPD por DENUNCIA 

Atn. directora Mar España Martí secretaria general Mónica Bando Munugarren y subdirectora de Inspección de Datos Olga Pérez Sanjuán por denuncia publicada en https://www.miguelgallardo.es/aepd-cellebrite.pdf 

 

Como mejor proceda se presenta denuncia por los siguientes HECHOS:

 

Recientemente se han publicado noticias sobre la brecha con fuga de información en la empresa Cellebrite que afecta a muy sensibles datos personales. Con fecha 5.8.22 https://www.hackread.com/anonymous-leaks-4tb-cellebrite-data-cyberattack/

Cellebrite is an Israel-based smartphone hacking (or cracking) firm that previously made headlines for unlocking iPhone devices for law enforcement and security agencies in the United States. An anonymous source has leaked around 4TB of proprietary data belonging to Israeli digital intelligence firm, Cellebrite. The affected products are the company’s flagship product, Cellebrite Mobilogy, and the Cellebrite Team Foundation server.

https://www.thetechoutlook.com/news/technology/security/an-anonymous-source-leaked-4tb-of-data-from-israeli-intelligence-company-cellebrite/

An anonymous source leaked 4TB of proprietary data from Cellebrite an Israeli digital intelligence company. Cellebrite provides cybersecurity tools for federal, state, and local law enforcement as well as for companies and enterprises. The company provides services to collect, review, analyze, and manage digital data.

 

Los sistemas de Cellebrite han sido adquiridos y usados desde hace muchos años por Ministerios del Interior y de Defensa, Comisión Nacional de los Mercados y la Competencia CNMC y otras entidades públicas y privadas. Puede asegurarse que hay muy numerosos sistemas de Cellebrite que durante años han accedido a muchos TERABYTES de datos personales extremadamente sensibles. Por ejemplo, a cierto perfil de detenidos se les han clonado sus teléfonos móviles. APEDANICA ya denunció tan gravísima inseguridad a la Defensora del Pueblo, Soledad Becerril Bustamante, tal y como puede verse en los enlaces publicados en www.cita.es/defensora-del-pueblo y www.miguelgallardo.es/defensora-del-pueblo.pdf y también a la Agencia Española de Protección de Datos AEPD según enlaces en www.cita.es/aepd-smartphones y www.miguelgallardo.es/aepd-smartphones.pdf

www.cita.es/aepd-vodafone y www.miguelgallardo.es/aepd-vodafone.pdf

 

Es muy probable que los 4 TB (cuatro terabytes) hackeados a Cellebrite afecten a los datos personales y secretos de numerosos españoles (considerando que sus sistemas tienen “mantenimiento remoto” con acceso a datos del sistema en España) y puedan ser extorsionados por quienes accedan a tan sensible información. Cellebrite debe informar a los afectados, y todavía no consta ningún comunicado en relación a los gravísimos hechos publicados. Es muy relevante aquí el precedente comunicado por Vodafone sobre otra brecha de seguridad de Cellebrite archivado por la Agencia Española de Protección de Datos AEPD en E-01903-2017.

 

Por lo expuesto, solicitamos que se admita esta denuncia y URGENTEMENTE se requiera a Cellebrite, así como a las entidades públicas y privadas que utilicen sus sistemas en España y puedan estar afectadas por ser responsables de datos compartidos con Cellebrite, su informe detallado y publicable sobre los hechos aquí denunciados, y se nos tenga por personados como interesados legítimos, sin perjuicio de otras acciones y derechos que podamos ejercer, y que nos reservamos.

NOTA: Hemos encontrado, al menos, 144 resultados de licitaciones en que se menciona a Cellebrite en la Plataforma de Contratación del Sector Público así

https://contrataciondelestado.es/wps/portal/!ut/p/b1/pZDLasNADEU_SbLmEc9yPLbHDmnjR8apZ1O8CCElj03p91cxga7iFirQQuIcdBFEGJUmSogb3iBep6_Tcfo83a7T-T5H_W6HorW1EYjGZUidlZ0PRGhWDIwM4JOyOPtZn6Y2SyyiCCla3bbO5Mi-ePhKODmsh0b3tUesqzLfhEShJ_23-wsH7r4sts6VFWHaC15v8hB0xaNXD_8pQP_01W_59xBnZOkDM7D04uWQBK_V7XKAkbHVT5Zt1jG2bl52jacEUcIOxgIu8VxymfpDTt-ImUUq/dl4/d5/L2dBISEvZ0FBIS9nQSEh/pw/Z7_BS88AB1A0OUMA0IL1IQEP210C1/act/id=0/520986484533/-/?ACTION_NAME=ScopeSearchAction&SearchFieldPrefix=ns_Z7_BS88AB1A0OUMA0IL1IQEP210C1_&ns_Z7_BS88AB1A0OUMA0IL1IQEP210C1_pageNumber=1&ns_Z7_BS88AB1A0OUMA0IL1IQEP210C1_scopeId=&ns_Z7_BS88AB1A0OUMA0IL1IQEP210C1_ExecuteQuery=1&ns_Z7_BS88AB1A0OUMA0IL1IQEP210C1_query=CELLEBRITE&ns_Z7_BS88AB1A0OUMA0IL1IQEP210C1__submitSearch=Buscar 

 

REFERENCIAS SOBRE CELLEBRITE: Ofrecemos al menos 21 documentos como resultados nuestros (de APEDANICA) en el metaenlace “autoactualizable”

https://www.google.com/search?q=CELLEBRITE+site%3Acita.es+%7C+site%3Amiguelgallardo.es

entre los que aquí destacamos

https://www.cita.es/aepd-smartphones 

AEPD y registro policial de teléfonos móviles smartphones de ...

Es decir, que Europol conoce los sistemas de Cellebrite, autónomos o en PC, que tiene como único propósito acceder a los datos de cualquier móvil …

https://www.cita.es/defensora-del-pueblo 

Defensora del Pueblo Soledad Becerril y perito por detenidos ...

Es conocida la marca del fabricante “Cellebrite” que se jacta de suministrar a policías diversos sistemas para la extracción de datos de smartphones, …

http://www.miguelgallardo.es/apedanica-smartphone.pdf 

HABEAS SMARTPHONE de la asociación APEDANICA con Tel.

28 mar 2017 — UNIDAD ORGÁNICA DE POLICÍA JUDICIAL (“Cellebrite UFED Reports”) del examinador M41779L con fecha 01/02/2017 y diversas manifestaciones ..

PUBLICACIONES CITABLES SOBRE CELLEBRITE

 

Cellebrite UFED is recognized as the most advanced commercial mobile forensics tool … SAHARAN, Sameer; YADAV, Bhuvnesh. Digital and Cyber Forensics: A Contemporary Evolution in Forensic Sciences. En Crime Scene Management within Forensic Science. Springer, Singapore, 2022. p. 267-294.

 

… Documents show they purchased Cellebrite’s phone-hacking tech and received training

Israeli phone-hacking firm Cellebrite sold its technology to Bangladesh’s notorious paramilitary… 

HASHMI, Taj. “Dynastic Democracy” Under the “Battling Begums,” 1991–2021. En Fifty Years of Bangladesh, 1971-2021. Palgrave Macmillan, Cham, 2022. p. 191-242.

 

This article also appears to suggest that Cellebrite may have been using software written

by hackers to remove software restrictions on Apple devices

BROWN, Steven David. Hacking for evidence: the risks and rewards of deploying malware in pursuit of justice. En ERA Forum. Springer Berlin Heidelberg, 2020. p. 423-438.

… a contract with Cellebrite, and Centrelink apparently uses spyware to hack the phones of …

MANN, Monique; MOLNAR, Adam; WARREN, Ian. Spyware merchants: the risks of outsourcing government hacking. The conversation, 2017, p. 1-1.

In 2017, the Cyber security company Cellebrite was hacked and data was published…

SAALBACH, Klaus-Peter. Attribution of cyber attacks. En Information Technology for Peace and Security. Springer Vieweg, Wiesbaden, 2019. p. 279-303.

Esta última publicación y la resolución E-01903-2017 evidencian ciertos antecedentes de los hechos aquí denunciados. Cellebrite debe ser investigada como solicitamos a la Agencia Española de Protección de Datos AEPD en este documento de 2 páginas con nuestra  denuncia publicada en https://www.miguelgallardo.es/aepd-cellebrite.pdf

 

@miguelgallardo Dr. (PhD) Miguel Gallardo PERITO Tel.  (+34) 902998352 E-mail: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

@APEDANICA Asociación APEDANICA con registro del Ministerio del Interior www.cita.es/apedanica.pdf