Cellebrite: sobre la compra del Cuerpo Nacional de Policia

En los últimos días se está hablando sobre Cellebrite, a consecuencia de una licitación pública del Ministerio del Interior, publicada en el BOE del pasado 17 de agosto, con el siguiente título:

Anuncio de licitación de: División Económica y Técnica (Cuerpo Nacional de Policía). Objeto: Adquisición de 15 analizadores de dispositivos móviles Cellebrite UDEF Touch II Ultimated (SIC) Standard, con destino a la CGEF de la DGP. Expediente: Z21IN002/R20.

La indicación de cita textual se debe a que el nombre correcto es Cellebrite UFED Touch2 Ultimate.

Como puedes comprobar, el objetivo de este concurso público recibir ofertas para la adquisición de 15 dispositivos Cellebrite UFED Touch II Unlimited Standard que irán dirigidos a la Comisaría General de Extranjería y Fronteras (CGEF), dependiente del Cuerpo Nacional de Policía (CNP). Tanto la licitación como el pliego de condiciones pueden ser consultados aquí, y el perfil del contratante lo puedes encontrar en este enlace.

El valor estimado es de 151.500 euros y la recepción de ofertas finalizará el a las 09:00 horas del 15 de septiembre. La apertura de los sobres con las ofertas tendrá lugar ocho días después, el 23 de septiembre, también a las nueve de la mañana. No entraré más en el propio proceso de licitación por dos razones: primera, porque no se sale del canon común de este tipo de contrataciones; y segunda, no es la parte que más interesante resulte desde el punto de vista de la seguridad.

Así pues, hablemos de Cellebrite y, más concretamente, de los dispositivos UFED. Como ya te contamos hace algún tiempo, las soluciones de esta compañía se dividen en dos ramas: UFED y Physical Analyzer. El conjunto de ambas es analizar el contenido de smartphones y, para ello, UFED crea una copia de seguridad de todo el contenido del dispositivo y, posteriormente, el contenido de dicha copia es indexado por Physical Analyzer, lo que facilita la navegación por el mismo.

Es importante aclarar que las herramientas de Cellebrite no son capaces de desbloquear teléfonos ni de descifrar contenido cifrado. Para poder acceder al contenido del smarphone es imprescindible desbloquearlo previamente. Dicho de otra manera, la CGEF no podrá emplear los UFED de Cellebrite para acceder directamente al contenido de smartphones bloqueados, cuyo contenido se encuentre cifrado, solo facilitará la revisión del mismo una vez que se haya podido realizar una copia de seguridad sin cifrar.

En principio, cualquier inversión en soluciones tecnológicas para mejorar en seguridad es una buena idea y, por lo tanto, la primera lectura que podríamos hacer de esta noticia es positiva. El problema es que hay un pero, y es un pero lo suficientemente grande como para que la CGEF se replantee este concurso. Y es que la seguridad de los dispositivos de Cellebrite, y por lo tanto su fiabilidad, quedó puesta en entredicho hace unos meses.

Como ya te contamos en abril, el creador del popular servicio de mensajería segura Signal, pudo hacerse con un kit de herramientas de Cellebrite y, claro, lo sometió a varias pruebas. El resultado fue sorprendente y, siempre en base a su publicación, para poner los pelos de punta y replantearse muy seriamente el volver a emplear dichas soluciones.

Por su naturaleza, Physical Analyzer, la herramienta hermana de UFED, tiene que acceder a contenido potencialmente no seguro. Esto es lógico e inevitable, y no es la única herramienta que se enfrenta a esta circunstancia. Sin embargo, y de las que conocemos, probablemente sea la que menos se cuestiona la potencial inseguridad de dicha circunstancia y, en consecuencia, toma medidas para protegerse. Y el problema es que desde hace ya unos meses esto es públicamente conocido.

Para llevar a cabo sus funciones, el software de los dispositivos de Cellebrite se apoya en desarrollos de terceros, algo que también es normal. El problema es que tras el análisis de las mismas, el desarrollador de Signal encontró nada menos que 315 vulnerabilidades identificadas y explotables. Con algunos casos tan flagrantes como el de la DLL que emplea para reproducir vídeo en formato Mpeg. Es una versión de 2012 de FFmpeg con problemas de seguridad y que, a día de hoy, ha recibido más de 100 actualizaciones de seguridad. Actualizaciones que, efectivamente, no están presentes en el software de Cellebrite.

Este es el gráfico, que ya te mostramos en su momento, de las vulnerabilidades del software de Cellebrite en relación con los años en que fueron publicadas las versiones de las herramientas que emplea:

Esta imagen habla mucho, y no precisamente bien, del cuidado que pone la compañía al diseñar sus soluciones. Y con este problema de seguridad habiendo trascendido ya a la opinión pública, cualquier desarrollador puede crear apps que invaliden por completo la utilidad de UFED y Physical Analyzer.

Y claro, quiero pensar que Cellebrite tomó nota de lo publicado hace unos meses, y que en consecuencia ha solucionado todos estos problemas. Lo que ocurre es que no tenemos constancia de ello, y si a principios de este año arrastraban software con vulnerabilidades identificadas hace 16 años, me cuesta ser optimista al respecto. Y espero que el organismo licitador haya hecho sus averiguaciones al respecto, pues de lo contrario, y muy a mi pesar, cabe la posibilidad de que estén adquiriendo unas herramientas que no ofrecen los niveles de seguridad que, con total seguridad, esperarán encontrar en las mismas.

La entrada Cellebrite: sobre la compra del Cuerpo Nacional de Policia es original de MuySeguridad. Seguridad informática.