La CNMC recurre a la Justicia para seguir clonando bajo secreto móviles de empresarios

La Comisión Nacional del Mercado de la Competencia (CNMC) recurre a la Justicia. Quiere seguir usando bajo secreto, con carácter reservado y sin supervisión judicial el software policial israelí UFED4 de Cellebrite para clonar móviles y otros dispositivos de empresarios investigados por supuestas prácticas anticompetitivas. Pocos días antes de sancionar con 6,1 millones de euros a cuatro compañías y seis directivos por repartirse varias licitaciones del Ministerio de Defensa a través de dos cárteles, la CNMC presentaba en la Audiencia Nacional un recurso contencioso-administrativo contra la reciente resolución del Consejo de Transparencia y Buen Gobierno (CTBG) que le obligaba a entregar información sobre el uso de Cellebrite en sus inspecciones a empresas y directivos.

Según confirman fuentes del organismo público a THE OBJECTIVE, tras el recurso de la CNMC, el Consejo de Transparencia envió esta semana a la Sección Séptima de la Sala de lo Contencioso Administrativo de la Audiencia Nacional todo el expediente y los documentos en los que se basó para exigir desde el pasado mes de mayo a Competencia información sobre Cellebrite. Se trata de una sofisticada herramienta informática forense que la Policía Nacional y la Guardia Civil usan para clonar los dispositivos móviles de las personas investigadas en causas judiciales, siempre con autorización previa de un juez. Sin embargo, la CNMC se niega a dar detalles sobre el uso que está haciendo de esta tecnología en sus inspecciones a empresas y directivos.

En una resolución fechada el pasado 11 de mayo, el presidente del Consejo de Transparencia estimó favorablemente una solicitud de información sobre el uso de Cellebrite por parte de la CNMC. La reclamación había sido presentada por la Asociación para la Prevención y Estudios de Delitos, Abusos y Negligencias en Informática y Comunicaciones Avanzadas (Apedanica).

Se trata de una asociación de peritos forenses que desde hace una década libra una batalla judicial contra Cellebrite, al entender que «una inmensa mayoría de las extracciones de datos móviles» que se realizan con esa herramienta informática «son ilegales» y podrían vulnerar la tutela judicial efectiva. Tras años de investigación, esa organización sospecha que esa tecnología estaría permitiendo extraer de forma indiscriminada información de dispositivos móviles sin autorización judicial, incluyendo mensajes y otros documentos de terceras personas o corporaciones.

La CNMC oculta el uso de Cellebrite

Transparencia dio a la CNMC un plazo máximo de diez días para informar con detalle de «en qué fecha comenzaron a realizarse inspecciones utilizando el sistema Cellebrite (Ufed 4PC o Cellebrite Premium u otros)». También le exigía aportar datos sobre el «número de inspecciones y total de dispositivos clonados o analizados» con ese software israelí, así como el «número de sanciones que se han basado en algún dato obtenido por alguno de los sistemas Cellebrite» durante las inspecciones de la CNMC.

Sin embargo, el organismo dedicado a perseguir las prácticas que violan la Ley de Defensa de la Competencia (LDC) acude ahora a la Audiencia Nacional para evitar entregar esa información. Fuentes de la CNMC no han querido hacer comentarios esta vez sobre las razones por las que han decidido recurrir ante la Sala de lo Contencioso-Administrativo de ese tribunal, en lugar de entregar los datos que le exige transparencia.

A principios de julio, fuentes de los servicios jurídicos de la CNMC afirmaban a este diario que la LDC les permite denegar cualquier información sobre Cellebrite u otras herramientas utilizadas en sus inspecciones administrativas para garantizar la libre competencia. «Al igual que en las investigaciones policiales o judiciales, se considera imprescindible para la detección de las infracciones en materia de competencia, generalmente muy complejas, que el contenido de las investigaciones y las herramientas utilizadas en las mismas no sea de acceso público», añadían desde el organismo presidido por Cani Fernández.

Accede a Whatsapps de directivos

El ejemplo más reciente del secretismo de la CNMC respecto al uso de Cellebrite es la resolución de la Sala de Competencia de la CNMC por la que se ha sancionado con 5,6 millones de euros a cuatro empresas de Defensa por repartirse licitaciones relacionadas con el suministro, el mantenimiento y la modernización de vehículos militares entre enero de 2016 y junio de 2021: Comercial Hernando Moreno Cohemo, S.L.U. (Cohemo); Star Defence Logistics & Engineering, S.L. (SDLE); y Grupo de Ingeniería, Reconstrucción y Recambios, JPG, S.A. (JPG). También sanciona con otros 550.000 euros a Cohemo y a Casli, S.A. (Casli) por manipular un acuerdo marco del Ministerio de Defensa para comprar contenedores militares entre septiembre de 2019 y noviembre de 2021.

A lo largo de 195 páginas, la CNMC recoge en su resolución mensajes de WhatsApp, correos electrónicos y otros documentos compartidos entre los directivos de las empresas sancionadas. El fallo admite que muchos de ellos habrían sido obtenidos durante las inspecciones de Competencia en las oficinas de las empresas investigadas. Sin embargo, no se hace referencia alguna a la tecnología utilizada para el volcado y extracción de los dispositivos (ordenadores, tablets o móviles) de los que se han extraído las pruebas. Tampoco sobre las garantías legales con las que se habrían obtenido esos documentos y conversaciones privadas.

258.000 euros en licencias de Cellebrite

El uso de Cellebrite por parte de la CNMC fue detectado por Apedanica a través del Portal de Contratación del Estado. Tanto en esa página como en la propia web del regulador de los mercados y la competencia, se puede constatar que la CNMC ha otorgado desde 2015 al menos cinco contratos públicos por importe total de unos 258.000 euros para la compra y renovación de las licencias necesarias para clonar teléfonos con Cellebrite Premium y Ufed 4pC.

El Ufed 4PC de Cellebrite es el software forense más utilizado para clonar y duplicar los dispositivos móviles de personas investigadas por la Justicia en España. Prácticamente el único utilizado por la Policía Nacional y la Guardia Civil para extraer de forma masiva información, documentos y metadatos de teléfonos, ordenadores y tablets intervenidos en el marco de investigaciones judiciales. Siempre con orden previa de un juez, incluso aunque el investigado haya dado su consentimiento para clonar sus dispositivos, subrayan fuentes policiales.

¿Monopolio tolerado por la CNMC?

La CNMC podría estar utilizándolo para clonar los dispositivos de aquellas empresas y directivos que son objeto de sus inspecciones administrativas en materia de competencia, según la denuncia que Apedanica presentó al Consejo de Transparencia y que fue estimada parcialmente. Añade esa asociación que prepara una denuncia contra la CNMC porque, paradójicamente, «con esa actitud encubridora» estaría fomentando un monopolio pericial de Cellebrite para el control de pruebas criminalísticas complejas que «atenta contra la libre competencia y los mercados más sensibles». La empresa israelí es la única con la que la CNMC ha suscrito contratos, pero existen muchas otras compañías con productos similares en el sector.

Entre otros fabricantes mundiales que venden en España aplicaciones para la extracción de información en dispositivos digitales y teléfonos móviles se encuentran la escandinava MSAB-XRY, la rusa Oxygen Forensic, las estadounidenses Grayshift y Belkeasoft, la checa MovilEdit y la británica MD5 (fabricante del Virtual Forensic Computing), entre otras muchas. Sin embargo, el organismo dedicado a combatir las prácticas contra la competencia en el mercado español solo tiene contratada una herramienta forense para la extracción de datos durante sus inspecciones a empresas y directivos: la compañía israelí Cellebrite.

«Estamos estudiando el Reglamento Reglamento (UE) 2023/1543 del Parlamento Europeo y del Consejo, de 12 de julio de 2023, sobre las órdenes europeas de producción y las órdenes europeas de conservación a efectos de prueba electrónica en procesos penales y de ejecución de penas privativas de libertad a raíz de procesos penales y la Directiva (UE) 2023/1544 del Parlamento Europeo y del Consejo, de 12 de julio de 2023, por la que se establecen normas armonizadas para la designación de establecimientos designados y de representantes legales a efectos de recabar pruebas electrónicas en procesos penales», indican desde la asociación que destapó el uso de Cellebrite por parte de la CNMC.

Programa de clemencia de la CNMC

La CNMC no quiere aclarar cómo utiliza Cellebrite, ni en qué supuestos concretos. El propio organismo regulador cuenta con un Programa de clemencia para aquellos directivos o empresas que denuncien formar parte de un cártel cuyas prácticas violen la libre competencia del mercado. Ese protocolo permite que los denunciantes o compañías que soliciten clemencia a la CNMC, a cambio de colaborar y aportar elementos de prueba, puedan eludir multas o pagar sanciones inferiores por las irregularidades investigadas.

No obstante, en su apartado 66, el propio Programa de clemencia de la CNMC obliga a los denunciantes a «facilitar sin dilación a la Dirección de Investigación toda la información y los elementos de prueba relevantes en relación con el cártel que estén en su poder o a su disposición». «Entendiéndose que se incumple este deber de cooperación si el solicitante se reserva información y elementos de prueba», añade.

Es decir, los directivos o empresas que solicitan clemencia a la CNMC podrían estar obligados a entregar cualquier teléfono móvil, ordenador o tablet que contenga pruebas de los hechos denunciados. Sus dispositivos con datos, conversaciones y documentos de terceros podrían estar siendo clonados con Cellebrite Premium o con Cellebrite Ufed 4PC. La CNMC no lo niega, pero intenta ocultar cualquier información que pudiera confirmar cuántos teléfonos o dispositivos móviles de directivos o empresas ha clonado con esta tecnología.

El pasado 11 de julio, la propia CNMC publicaba en su web un cuestionario para evaluar su programa de clemencia y explicaba que «casi la mitad de las sanciones impuestas por cárteles hasta 2022 en han tenido su origen en una solicitud de clemencia». «Así, sobre un total de 116 cárteles sancionados, se han presentado solicitudes de clemencia en 53 casos (un 46% del total)», añadía el organismo regulador en un comunicado. En el caso de las sanciones impuestas la semana pasada a cuatro empresas del sector de Defensa, los importes de las multas a los seis directivos sancionados varían. Tres de ellos tendrán que pagar 52.000 euros de sanción, mientras que el director general de JPD recibe una multa inferior al resto, de 30.000 euros. La mayoría de las conversaciones de WhatsApp obtenidas en la investigación, según la propia resolución de la CNMC, se consiguieron durante la inspección a esa compañía.