A Alfândega e Proteção de Fronteiras dos Estados Unidos (CBP) está pedindo que empresas de tecnologia apresentem ferramentas de forense digital projetadas para processar e analisar mensagens de texto, fotos, vídeos e contatos de telefones, laptops e outros dispositivos apreendidos na fronteira dos Estados Unidos, de acordo com documentos revisados pela WIRED.
A agência afirmou em uma lista do registro federal que as ferramentas que está buscando devem ter capacidades muito específicas, como a capacidade de encontrar uma “linguagem oculta” nas mensagens de texto de uma pessoa; identificar objetos específicos, “como um triciclo vermelho”, em diferentes vídeos; acessar chats em aplicativos de mensagens criptografadas; e “encontrar padrões” em grandes conjuntos de dados para “geração de inteligência”. A lista foi publicada pela primeira vez em 20 de junho e atualizada em 1 de julho.
O CBP vem usando a Cellebrite para extrair e analisar dados de dispositivos desde 2008. Mas a agência disse que quer “expandir” e modernizar seu programa de forense digital. No ano passado, o CBP afirma ter realizado buscas em mais de 47.000 dispositivos eletrônicos — um pouco mais do que os aproximadamente 41.500 dispositivos que buscou em 2023, mas um aumento dramático desde 2015, quando buscou pouco mais de 8.500 dispositivos.
O chamado pedido de informações (RFI) vem em meio a uma série de relatos de que o CBP detém pessoas que entram nos EUA, às vezes questionando-as sobre seus planos de viagem ou crenças políticas, e, em algumas ocasiões, coletando e revendo seus telefones. Em um incidente de alto perfil em março, uma professora libanesa da escola de medicina da Universidade Brown foi enviada de volta ao Líbano após as autoridades pesquisarem seu telefone e alegarem que ela era “simpática” ao ex-líder do Hezbollah, Hassan Nasrallah, que foi assassinado em setembro de 2024.
No RFI, o CBP disse que o fornecedor de forense digital que escolher assinará um contrato no terceiro trimestre fiscal de 2026, que vai de abril a junho. O CBP atualmente possui oito contratos ativos para software, licenças, equipamentos e treinamento da Cellebrite — que totalizam mais de $1,3 milhão — que terminarão entre julho de 2025 e abril de 2026. O CBP parece usar ferramentas além da Cellebrite. A agência afirmou na lista recente que utiliza “uma ampla variedade de ferramentas de extração de dados digitais”, mas não nomeia essas ferramentas.
O CBP não respondeu a pedidos de comentário. Quando contatado para comentar, o porta-voz da Cellebrite, Victor Cooper, disse à WIRED que a empresa está “incapaz de comentar sobre pedidos ativos de propostas de informações”.
Três listas de contratos federais mencionam que o CBP paga pelo Universal Forensic Extraction Device (UFED) 4PC da Cellebrite, software projetado para analisar dados em um PC ou laptop existente do usuário. A lista para a “renovação de licença” não menciona um produto específico, mas pode ter se referido à Plataforma de Inteligência Digital Investigativa, que é o conjunto de ferramentas “de ponta a ponta” da Cellebrite para analisar dados de dispositivos.
Em toda a plataforma de inteligência da Cellebrite, os usuários têm uma ampla gama de capacidades. Pode classificar imagens com base em se contêm certos elementos, como joias, manuscritos ou documentos. Também pode examinar mensagens de texto, bem como mensagens diretas em aplicativos como TikTok, e filtrar mensagens que mencionem certos tópicos, como obstrução de evidências, família ou a polícia. Os usuários também podem revelar fotos “ocultas” por um proprietário do dispositivo, fazer mapas sociais de amigos e contatos, e traçar os locais onde uma pessoa enviou mensagens de texto.
Um blog no site da Cellebrite sobre a insurreição de 6 de janeiro cita um relatório do Washington Post que afirma que a Cellebrite produziu “mais de 12.000 páginas de dados”, “2.600 páginas de registros do Facebook” e 800 fotos e vídeos de uma única pessoa. (No seu primeiro dia no cargo, o presidente Donald Trump concedeu clemência a todas as pessoas que foram acusadas em conexão com os atos de 6 de janeiro, que totalizaram quase 1.600 pessoas.)
A Cellebrite também tem um histórico controverso. A empresa lançou uma ferramenta em fevereiro que permite que clientes usem IA para resumir logs de chats e áudio de telefones. Em dezembro, a Anistia Internacional afirmou em um relatório que a polícia sérvia confiscou o telefone de um jornalista, utilizou a Cellebrite para extrair dados dele e, em seguida, usou-os para infectar o telefone com malware. A Cellebrite afirmou em fevereiro que limitou o uso de algumas de suas tecnologias na Sérvia.
Por sua parte, a Cellebrite diz em uma página de “fato” em seu site que possui “políticas e restrições de licenciamento rigorosas” para clientes, e que antes de vender para qualquer um, considera “o histórico de direitos humanos e as políticas de anticorrupção de um cliente potencial”. A empresa também afirma que “apoia vigorosamente os ideais democráticos de liberdade de expressão e liberdade de imprensa”.
“Não condenamos o uso das soluções da Cellebrite para acessar as informações pessoais de jornalistas, ativistas ou outros que estejam trabalhando contra os interesses de regimes repressivos e fazer isso fora dos limites de uma investigação legalmente sancionada viola expressamente os termos de nossos acordos de licenciamento,” diz a Cellebrite na página de fatos.
Legalmente, o CBP tem a autoridade para pesquisar o telefone de qualquer pessoa na fronteira dos EUA sem um mandato. Se uma pessoa se recusa a entregar sua senha, cidadãos americanos podem permanecer sob custódia temporariamente, mas não podem ser negados a entrada. No entanto, não-cidadãos podem ser negados a entrada se se recusarem.
Se os agentes de patrulha de fronteira tiverem a senha do telefone de alguém, podem realizar uma “busca básica” e rolar manualmente pelo telefone no local. No entanto, os agentes podem então optar por baixar a totalidade dos dados de um telefone ou mantê-lo para conduzir uma “busca avançada”, momento em que ferramentas forenses digitais como a Cellebrite podem ser usadas. Dos aproximadamente 47.000 dispositivos pesquisados pelo CBP em 2024, cerca de 4.200 deles foram buscas avançadas.
O CBP tem o direito de manter um telefone por vários dias para conduzir uma busca avançada, mas se a agência citar “circunstâncias atenuantes”, pode ficar com o telefone por semanas ou meses. O CBP afirma que, quando retira dados de um dispositivo, pode compartilhá-los com “outros órgãos” ou com “outras agências de aplicação da lei federal, estadual, local e estrangeira”. O CBP também tem o direito de armazenar os dados em seu Sistema de Direcionamento Automatizado, que utiliza para determinar se alguém representa um risco de terrorismo ou atividade criminosa, por até 15 anos.