El servicio postal piratea cientos de dispositivos móviles incautados, rastrea publicaciones en redes sociales

Los grupos de vigilancia han alertado sobre el departamento de aplicación de la ley del Servicio Postal de EE. UU., que, según dicen, está violando la privacidad y las libertades civiles del pueblo estadounidense al utilizar herramientas sofisticadas para entrar en los teléfonos celulares de cientos de ciudadanos y recopilar sus publicaciones en las redes sociales.

Hasta ahora, no se había hecho público que el Servicio de Inspección Postal de EE. UU. (USPIS por sus siglas en inglés) admitió en su informe anual de 2020 que no solo empleó tecnología de punta cientos de veces para piratear teléfonos móviles, sino que también planeó expandir el uso de las herramientas de piratería en el futuro.

"Las herramientas Cellebrite Premium y GrayKey adquiridas en [año fiscal] 2019 y 2018 permiten a la Unidad de Evidencia Digital extraer información previamente inalcanzable de los dispositivos móviles incautados", afirma el informe de 2020. "Durante el año fiscal 2020, se procesaron 331 dispositivos y estos servicios desbloquearon o extrajeron 242. El éxito del programa y la creciente demanda requirieron la compra este año de un segundo dispositivo GrayKey para usar en la costa este ."

Las cifras de USPIS indican un aumento en este tipo de piratería en comparación con 2019, cuando la agencia reveló que había accedido a 34 dispositivos usando Cellebrite y 143 con GrayKey.

La semana pasada, The Epoch Times informó por primera vez sobre el uso de herramientas de piratería por parte de la agencia para acceder a dispositivos móviles encriptados.

La nueva tecnología utilizada por USPIS ha encontrado soluciones para acceder a los teléfonos, descifrar datos cifrados que de otro modo serían ilegibles y copiarlos para que los revisen las fuerzas del orden.

Esta tecnología es peligrosa y propensa al abuso, según Jake Wiener, miembro del derecho del Centro de Información de Privacidad Electrónica (EPIC), quien argumentó que estas herramientas violan la privacidad de uno y, a menudo, son innecesarias.

"Los teléfonos celulares contienen multitud de información íntima sobre todos los aspectos de nuestras vidas, mensajes con la familia, fotos privadas, registros de nuestros movimientos y mucho más", dijo Wiener a Just the News. "Las herramientas de piratería telefónica son una amenaza directa a la privacidad porque pueden exponer información que todos quieren mantener en privado y sería irrelevante para una investigación criminal".

Las herramientas forenses como Cellebrite y GrayKey "brindan a los investigadores la capacidad de acceder y analizar mucha más información que nunca", dijo Jennifer Granick, asesora de vigilancia y seguridad cibernética del Proyecto de Tecnología, Privacidad y Discurso de la Unión Estadounidense de Libertades Civiles. "Esto incluye información que la gente no sabe que está en sus dispositivos, como datos eliminados y almacenados temporalmente. Las herramientas forenses pueden desbloquear y extraer información privada que es irrelevante para una investigación, y existen medidas de seguridad inadecuadas para garantizar que esta información no sea mal utilizado".

Wiener, Granick y otros críticos del programa USPIS señalan que no está claro para qué delitos e investigaciones la agencia usa herramientas de piratería para acceder a teléfonos bloqueados, lo que genera preocupaciones de que los criterios son arbitrarios y podrían llevar a que la agencia gubernamental abuse de su poder.

El listón para usar esta tecnología de piratería debería ser bastante alto, si es que se usa, y regido por una supervisión estricta, dicen los defensores de la privacidad. Otros responden que, en los casos en que la seguridad nacional y la vida de los estadounidenses estén en riesgo, las autoridades deberían tener una mayor capacidad para obtener rápidamente información potencialmente crítica.

USPIS se negó a comentar cómo determina cuándo usar las herramientas Cellebrite Premium y GrayKey para extraer datos de dispositivos móviles incautados. Sin embargo, la agencia sugirió que respeta la ley federal en todos los casos, incluso mediante la obtención de una orden judicial.

"Solo un número limitado de personas tiene acceso a estas herramientas y se utilizan de acuerdo con los requisitos legales", dijo a Just the News un portavoz de USPIS. "Debe existir una orden de allanamiento, una orden judicial u otra situación permitida constitucionalmente antes de cualquier examen de evidencia digital de teléfonos celulares".

Si una agencia federal quiere usar nuevas tecnologías como la herramienta de hackeo de teléfonos de Cellebrite, la Ley de Gobierno Electrónico de 2002 requiere que la agencia pase primero por una Evaluación de Impacto de la Privacidad (PIA, por sus siglas en inglés), que debe revelar los riesgos para la privacidad individual que están en juego cuando la agencia usa la tecnología, las formas de mitigar el riesgo y asegurarse si se justifica el uso de la tecnología.

USPIS no respondió a una consulta sobre si obtuvo un PIA.

"Si el Servicio de Inspección Postal no ha realizado un PIA para Cellebrite y GrayKey, eso sugiere que la agencia no está considerando los efectos nocivos del uso de esta tecnología ni está implementando suficientes medidas de seguridad para evitar el abuso", dijo Wiener. "Si lo tienen, no está publicado en su sitio web".

El acceso a teléfonos celulares no ha sido la única fuente de controversia para USPIS. Yahoo News reveló el año pasado que la agencia ha estado "ejecutando silenciosamente un programa que rastrea y recopila las publicaciones de los medios sociales de los estadounidenses, incluidas aquellas sobre la planificación de protestas".

El esfuerzo de vigilancia, conocido como el Programa de Operaciones Encubiertas de Internet, iCOP, involucra a analistas que revisan los sitios de redes sociales para marcar publicaciones "incendiarias" y compartir esa información con todo el gobierno federal.

El mandato oficial de iCOP es la "identificación, interrupción y desmantelamiento de personas y organizaciones que utilizan el correo o las herramientas en línea de USPS para facilitar el comercio en el mercado negro u otras actividades ilegales".

El programa ha utilizado tecnología de reconocimiento facial y servicios de monitoreo de redes sociales para vigilar a las personas, incluidos los manifestantes que protestan contra cualquier cosa, desde la brutalidad policial hasta las medidas de bloqueo de COVID-19.

"La supervisión y retención de información por parte del gobierno sobre el discurso protegido por la Primera Enmienda aumenta la probabilidad de que las agencias investiguen o vigilen a las personas basándose en ese discurso", dijo Granick. "También corre el riesgo de enfriar la libre expresión... Estos riesgos y consecuencias son aún más graves cuando el gobierno utiliza herramientas poderosas para compilar expedientes digitales y rastrear el discurso, las redes y las asociaciones en línea".

El año pasado, EPIC presentó una demanda en virtud de la Ley de Gobierno Electrónico de 2002 para impedir que USPIS continúe con el programa, señalando que la agencia aún no ha publicado un PIA.

Judicial Watch también demandó al Servicio Postal el año pasado, lanzando una solicitud de la Ley de Libertad de Información (FOIA) para obtener información sobre el esfuerzo de vigilancia.

"Los esquemas de vigilancia cuestionables parecen indicar que el gobierno está armando el servicio postal de la nación para espiar indebidamente a los ciudadanos que lo financian", dijo Judicial Watch. "¿Por qué el gobierno dependería del Servicio Postal para examinar Internet por razones de seguridad?"

La organización también está presentando una solicitud de FOIA ante el Servicio Postal para obtener información sobre los dispositivos utilizados por la agencia para piratear teléfonos celulares.

Los críticos argumentan que USPIS se está saliendo del alcance de su misión y debe rendir cuentas.

"En los últimos años, el Servicio de Inspección se ha salido de su misión de monitorear a los manifestantes en todo el país utilizando herramientas de reconocimiento facial y monitoreo de redes sociales, sin siquiera implementar las protecciones básicas de privacidad requeridas por la ley federal", según Wiener. "El USPIS cree que no está sujeto a las reglas básicas que rigen otras agencias".

El Servicio Postal está exento de varias reglas que rigen a otras agencias bajo la Ley de Reorganización Postal, lo que lleva a algunos a cuestionar el papel adecuado de USPIS.

"Hay algo muy extraño en tener una agencia de aplicación de la ley integrada en un servicio postal", dijo Wiener a Just the News. "No es un formato que se ve en ningún otro lado".

Varios expertos en libertades civiles expresaron preocupaciones similares a Yahoo News el año pasado, cuestionando cómo el mandato de USPIS puede incluir algunas de sus actividades.

"Si las personas que están monitoreando llevan a cabo o planean actividades delictivas, eso debería ser competencia del FBI", dijo Rachel Levinson-Waldman, subdirectora del programa de libertad y seguridad nacional del Centro Brennan para la Justicia. "Si simplemente están participando en un discurso legalmente protegido, incluso si es odioso u objetable, entonces monitorearlos sobre esa base plantea serias preocupaciones constitucionales".

Just the News le pidió a USPIS que respondiera a los críticos que alegan que la agencia está violando la privacidad y las libertades civiles de los estadounidenses y se está saliendo del alcance de su misión. La agencia se negó a comentar.