La CNMC usa en secreto un 'software' policial israelí para clonar móviles de empresarios
El regulador se niega a entregar a Transparencia la información que le exige desde hace dos meses sobre Cellebrite
La Comisión Nacional de los Mercados y la Competencia (CNMC) utiliza con carácter secreto un software policial para clonar dispositivos móviles. Se trata del sistema Ufed 4PC, desarrollado por la empresa israelí Cellebrite. Una sofisticada herramienta informática forense que la Policía Nacional y la Guardia Civil usan para clonar los dispositivos móviles de las personas investigadas en causas judiciales, siempre con autorización previa de un juez. Sin embargo, la CNMC se niega a dar detalles sobre el uso que está haciendo de esta tecnología en sus inspecciones a empresas y directivos, según consta en una reciente resolución del Consejo de Transparencia y Buen Gobierno (CTBG) y confirman fuentes del regulador a THE OBJECTIVE .
La CNMC ni siquiera está dispuesta a hacer públicos los datos, en su mayoría de carácter estadístico, que Transparencia le exige entregar desde hace dos meses en relación al uso de Cellebrite. El regulador desoye al organismo que se encarga de luchar contra la opacidad en la administración pública y considera de carácter reservado cualquier información relativa a la tecnología que la Dirección de Competencia estaría utilizando en sus inspecciones administrativas a empresas y directivos investigados por presuntas vulneraciones de la Ley de Defensa de la Competencia.
En una resolución fechada el pasado 11 de mayo, el presidente del Consejo de Transparencia estimó favorablemente una solicitud de información sobre el uso de Cellebrite por parte de la CNMC. La reclamación había sido presentada por la Asociación para la Prevención y Estudios de Delitos, Abusos y Negligencias en Informática y Comunicaciones Avanzadas (Apedanica).
Se trata de una asociación de informáticos y peritos forenses que desde hace una década libra una batalla judicial contra Cellebrite, al entender que «una inmensa mayoría de las extracciones de datos móviles» que se realizan con esa herramienta informática «son ilegales». Tras años de investigación, esa organización sospecha que esa tecnología estaría permitiendo extraer de forma indiscriminada información de dispositivos móviles sin autorización judicial, incluyendo mensajes y otros documentos de terceras personas o corporaciones.
La CNMC oculta datos a Transparencia
En su resolución, Transparencia dio a la CNMC un plazo máximo de diez días para informar con detalle «en qué fecha comenzaron a realizarse inspecciones utilizando el sistema Cellebrite (Ufed 4PC o Cellebrite Premium u otros)». También le exigía aportar datos sobre el «número de inspecciones y total de dispositivos clonados o analizados» con ese software israelí, así como el «número de sanciones que se han basado en algún dato obtenido por alguno de los sistemas Cellebrite» durante las inspecciones de la CNMC.
No obstante, ese plazo ha sido superado con creces sin que la CNMC esté dispuesta a responder. Fuentes del regulador aseguran a este diario que la Ley de Defensa de la Competencia (LDC) les permite denegar cualquier información adicional sobre Cellebrite u otras herramientas utilizadas en sus inspecciones administrativas para garantizar la libre competencia. «Al igual que en las investigaciones policiales o judiciales, se considera imprescindible para la detección de las infracciones en materia de competencia, generalmente muy complejas, que el contenido de las investigaciones y las herramientas utilizadas en las mismas no sea de acceso público», indican desde los Servicios Jurídicos de la CNMC a este medio.
El Ufed 4PC de Cellebrite es el software forense más utilizado para clonar y duplicar los dispositivos móviles de personas investigadas por la Justicia en España. La Policía Nacional y la Guardia Civil lo usan para extraer de forma masiva información, documentos y metadatos de teléfonos, ordenadores y tablets intervenidos en el marco de investigaciones judiciales. Siempre con orden previa de un juez, incluso aunque el investigado haya dado su consentimiento para clonar sus dispositivos, subrayan fuentes policiales. La CNMC podría estar utilizándolo para clonar los dispositivos de aquellas empresas y directivos que son objeto de sus inspecciones administrativas en materia de competencia, según la denuncia de Apedanica.
Usa Cellebrite desde 2015
El uso de Cellebrite por parte de la CNMC fue detectado por Apedanica a través del Portal de Contratación del Estado. Tanto en esa página como en la propia web del regulador de los mercados y la competencia, se puede constatar que la CNMC ha otorgado desde 2015 al menos cinco contratos públicos por importe total de unos 258.000 euros para la compra y renovación de las licencias necesarias para clonar teléfonos con Cellebrite Premium y Ufed 4pC.
El último contrato que figura en la web de la CNMC para la adquisición de cinco adaptadores y licencias de Cellebrite Ufed 4PC -por un periodo de tres años- se firmó en 2022. Se pagaron 59.817,56 euros a cambio. Apedanica pidió a la CNMC, a través de Transparencia, datos concretos con los que se podría esclarecer desde cuándo, con qué garantías legales y con qué frecuencia está utilizando ese software israelí en sus inspecciones a directivos y empresas. La CNMC se negó aludiendo al «deber de reserva absoluto de las actuaciones de instrucción e investigación de las infracciones» que lleva a cabo para prevenir cualquier violación de la LDC.
El presidente de Consejo de Transparencia y Buen Gobierno, José Luis Rodríguez Álvarez, reprocha a la CNMC que apele al carácter reservado de Cellebrite cuando en su propia web ya se admite la compra de licencias de esa tecnología de origen israelí. Por el contrario, considera que la información solicitada se refiere exclusivamente «a datos numéricos sobre las inspecciones llevadas a cabo con uso de la herramienta tecnológica Cellebrite y las sanciones impuestas que han derivado de aquellas». Transparencia defiende que se trata de cifras de carácter estadístico que no pondrían en riesgo en ningún caso la confidencialidad de los procedimientos sancionadores llevados a cabo por el regulador de la competencia.
Tirón de orejas a la CNMC
La CNMC se había negado en primera instancia a entregar la información requerida, señalando que «los datos incluidos en la solicitud de información permitirían el conocimiento y la difusión de los procedimientos y herramientas tecnológicas utilizadas por la CNMC en las inspecciones de competencia, lo que podría poner en riesgo las funciones de vigilancia, inspección y control encomendadas a la CNMC».
En su última resolución, que es firme y ante la cual solo cabe recurso contencioso-administrativo en la Audiencia Nacional, el presidente del Consejo de Transparencia y Buen Gobierno tumba ese argumento de la CNMC. «Tales previsiones no constituyen un régimen jurídico específico del derecho de acceso a la información por parte de terceros, sino mandatos de sigilo y deber de secreto para las personas que, en el ejercicio de las funciones propias de la autoridad reguladora, tienen acceso a determinada información que haya sido declarada confidencial», señala Rodríguez.
«A lo anterior se añade que la solicitud de información no se está refiriendo a datos o documentos que integren esos procedimientos, con la salvedad antes apuntada, ni se ha justificado por parte de la CNMC el carácter o la naturaleza confidencial de la información solicitada», añade el presidente de Transparencia. Contra el presunto carácter reservado de esta tecnología al que alude la propia CNMC, el organismo dedicado a combatir la opacidad en la administración pública da un tirón de orejas al regulador de la competencia.
¿Qué es Cellebrite?
Apedanica define el Ufed 4PC de Cellebrite como «una solución forense móvil de alta tecnología que extrae, decodifica y analiza datos accionables de teléfonos inteligentes, antiguos, tabletas y dispositivos GPS». Los expertos de esta asociación de peritos forenses informáticos afirman haber acreditado que en 100 países distintos hay al menos 30.000 licencias de Ufed Cellebrite «implementadas en instituciones de aplicación de la ley, policía y seguridad».
«Los numerosos casos en los que se ha hecho uso del sistema de extracción de datos de teléfonos móviles de Cellebrite sin autorización judicial alguna y sin el consentimiento del propietario del teléfono móvil nos ha motivado para iniciar una investigación general sobre todos los procedimientos judiciales en los que se aportan datos de móviles de manera presuntamente ilegal», explican desde la asociación.
Transparencia avala la petición de Apedanica y pide información concreta sobre lo que la propia web de la CNMC y el Portal de Contratación del Estado ya desvelaban: el organismo ha comprado dispositivos y licencias desde hace años para usar Cellebrite. En su respuesta a la petición de Apedanica, y en la ofrecida a este diario, la CNMC no desmiente que esté empleando esa herramienta tecnológica en sus inspecciones administrativas a empresas y directivos para evitar las prácticas que vulneren la LDC.
Ante su negativa a dar respuesta a la información requerida por Transparencia, se desconoce con qué frecuencia, desde cuándo y con qué fines está utilizando la CNMC una herramienta forense que fuentes policiales y peritos informáticos describen como la mejor para el clonado de teléfonos móviles, y prácticamente la única que se utiliza en España para ese cometido. Según la legislación vigente, añaden las mismas fuentes, las herramientas de Cellebrite solo podrían ser utilizadas sin autorización judicial en caso de contar con el consentimiento del propietario del teléfono.
El programa de clemencia de la CNMC
La CNMC no quiere aclarar cómo utiliza Cellebrite, ni en qué supuestos concretos. El propio organismo regulador cuenta con un ‘Programa de clemencia‘ para aquellos directivos o empresas que denuncien ante la Autoridad formar parte de un cártel cuyas prácticas violen la libre competencia del mercado. Ese protocolo permite que los denunciantes o compañías que soliciten clemencia a la CNMC, a cambio de colaborar y aportar elementos de prueba, puedan eludir multas o pagar sanciones inferiores por las irregularidades investigadas.
En su apartado 66, el propio programa de Clemencia de la CNMC obliga a los denunciantes a «facilitar sin dilación a la Dirección de Investigación toda la información y los elementos de prueba relevantes en relación con el cártel que estén en su poder o a su disposición». «Entendiéndose que se incumple este deber de cooperación si el solicitante se reserva información y elementos de prueba», añade.
Es decir, los directivos o empresas que solicitan clemencia a la CNMC podrían estar obligados a entregar cualquier teléfono móvil, ordenador o tablet que contenga pruebas de los hechos denunciados por presuntas prácticas contra la libre competencia de los mercados. Sus dispositivos con datos, conversaciones y documentos de terceros-ajenos a la investigación o inspección de la CNMC- podrían estar siendo clonados con Cellebrite Premium o con Cellebrite Ufed 4PC. La CNMC no lo niega, pero intenta ocultar cualquier información que pudiera confirmar cuántos teléfonos o dispositivos móviles de directivos o empresas ha clonado con esta tecnología.
¿Por qué la CNMC oculta Cellebrite?
En respuesta a las preguntas de THE OBJECTIVE, sobre las razones por las que no ha entregado la información sobre Cellebrite que el Consejo de Transparencia y Buen Gobierno le requiere desde el pasado mes de mayo, desde los servicios jurídicos de la CNMC se traslada a este diario el siguiente comunicado:
«La CNMC está especialmente comprometida con la transparencia de su actuación. Nuestra ley de creación obliga a publicar en la página web de la CNMC todos los acuerdos, actos o resoluciones que adopta el Consejo en el ejercicio de sus funciones. Sin embargo, se entiende que esta transparencia del resultado final de las actuaciones de la Comisión es compatible con el deber de reserva absoluto de las actuaciones de instrucción e investigación de las infracciones que, en este caso, lleva a cabo la Dirección de Competencia. La propia LDC establece expresamente el carácter reservado de esta información, que ha sido confirmado en muchas ocasiones por el propio Consejo de Transparencia y Buen Gobierno. Al igual que en las investigaciones policiales o judiciales, se considera imprescindible para la detección de las infracciones en materia de competencia, generalmente muy complejas, que el contenido de las investigaciones y las herramientas utilizadas en las mismas no sea de acceso público».