¿La información de su celular está en riesgo?

Deepak Daswani se considera a sí mismo un hacker ético, una especie híbrida entre experto en ciberseguridad, ingeniero informático y conferencista TED. De origen indio, nacido en Tenerife, Islas Canarias, formado en el instituto de Seguridad Informática de España y actual cazatalentos en Deloitte, la firma privada número uno de servicios profesionales en el mundo, Daswani se ha convertido en un referente internacional a la hora de debatir sobre los riesgos de la era digital y los peligros de la vida en internet.

En diálogo con El Espectador, el hacker Daswani revela los trucos de su conferencia “Siempre hay una manera de conseguir lo que quieres”, presentada la semana pasada durante el cuarto foro de seguridad digital 2017, y hace una serie de recomendaciones útiles para que el ciudadano común y corriente aprenda a cuidar y proteger la información que guarda en su dispositivo móvil.

Usted recorre el mundo demostrando las fallas en los sistemas de seguridad y encriptación de aplicaciones como Whatsapp. ¿Qué descubrimientos trajo esta vez a Colombia?

Mi conferencia estuvo enfocada en la seguridad móvil. Utilicé un caso práctico para demostrar que hay muchas maneras de conseguir lo que todo el mundo quiere: información y poder. Por ejemplo, hackear Facebook, Gmail o Twitter.

¿Y Whatsapp?

El plato estrella de la charla fue enseñar una serie de maneras para hackear Whatsapp. Las primeras son posibles cuando los usuarios se mandan los chats al correo electrónico. Ahí es más fácil acceder a la bandeja de entrada y conseguir la información privada de la cuenta. Otras funcionan si la persona utiliza la aplicación en el computador. En este caso es posible hackearlo con un virus troyano y desencriptar los mensajes.

Sin embargo, la forma más interesante y lo último que enseñé en la conferencia fue una aplicación móvil para Android, diseñada por mí, que promete al usuario algo que no cumple: poder ver los mensajes de los otros. Whatsapp Spy funciona como una carnada: pones el número de teléfono de la persona que quieras espiar, le das enter y se supone que la aplicación te va a enviar los chats, pero en realidad lo que hace es mandar los datos del Whatsapp a un servidor en la nube, controlado por mí, y me permite acceder a la información y descifrar los mensajes de tu propio Whatsapp.

Tengo entendido que también diseñó otra aplicación móvil para obtener información privada de los usuarios de Whatsapp que se conectaban a través de redes de wi-fi públicas. ¿Cómo funcionaba?

Descubrí que cuando un dispositivo móvil se conectaba a los servidores de Whatsapp en un wi-fi público, los mensajes iban bien cifrados, pero el número del teléfono era vulnerable. Entonces, con esa información, diseñé una herramienta que se llama Whatsapp Discover, con la cual logré obtener los números de teléfono de los usuarios conectados en la red de wi-fi pública de mi ciudad. A partir de ahí creé otro aplicativo, llamado Intelligence, que intentaba acceder a la foto de perfil, el estado y la hora en línea, y así conseguir información valiosa de la vida cotidiana de cada usuario.

¿Cuál es el objetivo de estas herramientas?

Estas aplicaciones son una prueba de concepto para demostrar que esto es posible. Están en el ámbito académico, las uso para conferencias, pero también para hacer caer en cuenta a las personas de que es algo que cualquiera con mala intención y conocimiento detallado de desarrollo puede hacer. También es una forma de ayudar a las compañías a saber dónde tienen fallas. Por ejemplo, cuando descubrí esa vulnerabilidad en Whatsapp y ellos se dieron cuenta, empezaron a cambiar de sitio los números de celular y yo actualizaba la aplicación. Era como jugar al gato y al ratón, hasta que el año pasado Whatsapp cambió el protocolo de seguridad y arregló definitivamente esa falla.

Actualmente, ¿cuáles son los principales riesgos en materia de seguridad informática para móviles?

El eslabón más débil de la cadena siempre es el usuario y la forma más fácil de atacarlo es con ingeniería social, intentando engañarlo, robándole cuentas y contraseñas, haciéndole instalar aplicaciones maliciosas. El principal peligro al que nos exponemos hoy en día es a que nos roben nuestra vida digital, a perder la base de datos de Whatsapp, las fotos, los correos, los mensajes privados, las conversaciones íntimas, los contactos. El riesgo es perder la información y que ésta pueda caer en manos de cibercriminales que puedan extorsionarnos.

¿Qué recomendaciones o hábitos det seguridad se deben adoptar para mitigar el riesgo de que un ciberdelincuente vulnere la seguridad de nuestro celular y se robe las imágenes, los chats, los documentos?

Lo primero es actualizar los sistemas operativos móviles a la última versión. Siempre instalar los parches de seguridad necesarios. Tener todas las aplicaciones actualizadas y asegurarse de que sean legítimas, no bajadas de internet, sino del App Store o la tienda de Android. Utilizar, además, un antivirus comercial en los casos en que sea posible y verificar los permisos que concedemos a las aplicaciones. Una clave es no dar más permisos de los que la aplicación necesita para su funcionamiento. No descargar programas gratis y tratar, en la medida de lo posible, de no conectarse a redes wi-fi públicas, y si lo haces, no consultar el banco online o el correo electrónico.

¿Cuáles son los principales desafíos para el futuro de la ciberseguridad?

Estamos en un momento tecnológico en que, debido a la cantidad de posibilidades de conectividad, el usuario normal no sabe si las cosas que le ofrecen pueden ser veraces o no. La tecnología evoluciona a un ritmo vertiginoso y a veces nos cuesta adaptarnos a ella. Tenemos que seguir evolucionando y crear herramientas más seguras para facilitarles las cosas a los usuarios. El objetivo es que la seguridad no dependa tanto de las personas del común, sino que los productos sean seguros por sí mismos, que sean seguros por defecto.

Deepak Daswani se considera a sí mismo un hacker ético, una especie híbrida entre experto en ciberseguridad, ingeniero informático y conferencista TED. De origen indio, nacido en Tenerife, Islas Canarias, formado en el instituto de Seguridad Informática de España y actual cazatalentos en Deloitte, la firma privada número uno de servicios profesionales en el mundo, Daswani se ha convertido en un referente internacional a la hora de debatir sobre los riesgos de la era digital y los peligros de la vida en internet.

En diálogo con El Espectador, el hacker Daswani revela los trucos de su conferencia “Siempre hay una manera de conseguir lo que quieres”, presentada la semana pasada durante el cuarto foro de seguridad digital 2017, y hace una serie de recomendaciones útiles para que el ciudadano común y corriente aprenda a cuidar y proteger la información que guarda en su dispositivo móvil.

Usted recorre el mundo demostrando las fallas en los sistemas de seguridad y encriptación de aplicaciones como Whatsapp. ¿Qué descubrimientos trajo esta vez a Colombia?

Mi conferencia estuvo enfocada en la seguridad móvil. Utilicé un caso práctico para demostrar que hay muchas maneras de conseguir lo que todo el mundo quiere: información y poder. Por ejemplo, hackear Facebook, Gmail o Twitter.

¿Y Whatsapp?

El plato estrella de la charla fue enseñar una serie de maneras para hackear Whatsapp. Las primeras son posibles cuando los usuarios se mandan los chats al correo electrónico. Ahí es más fácil acceder a la bandeja de entrada y conseguir la información privada de la cuenta. Otras funcionan si la persona utiliza la aplicación en el computador. En este caso es posible hackearlo con un virus troyano y desencriptar los mensajes.

Sin embargo, la forma más interesante y lo último que enseñé en la conferencia fue una aplicación móvil para Android, diseñada por mí, que promete al usuario algo que no cumple: poder ver los mensajes de los otros. Whatsapp Spy funciona como una carnada: pones el número de teléfono de la persona que quieras espiar, le das enter y se supone que la aplicación te va a enviar los chats, pero en realidad lo que hace es mandar los datos del Whatsapp a un servidor en la nube, controlado por mí, y me permite acceder a la información y descifrar los mensajes de tu propio Whatsapp.

Tengo entendido que también diseñó otra aplicación móvil para obtener información privada de los usuarios de Whatsapp que se conectaban a través de redes de wi-fi públicas. ¿Cómo funcionaba?

Descubrí que cuando un dispositivo móvil se conectaba a los servidores de Whatsapp en un wi-fi público, los mensajes iban bien cifrados, pero el número del teléfono era vulnerable. Entonces, con esa información, diseñé una herramienta que se llama Whatsapp Discover, con la cual logré obtener los números de teléfono de los usuarios conectados en la red de wi-fi pública de mi ciudad. A partir de ahí creé otro aplicativo, llamado Intelligence, que intentaba acceder a la foto de perfil, el estado y la hora en línea, y así conseguir información valiosa de la vida cotidiana de cada usuario.

¿Cuál es el objetivo de estas herramientas?

Estas aplicaciones son una prueba de concepto para demostrar que esto es posible. Están en el ámbito académico, las uso para conferencias, pero también para hacer caer en cuenta a las personas de que es algo que cualquiera con mala intención y conocimiento detallado de desarrollo puede hacer. También es una forma de ayudar a las compañías a saber dónde tienen fallas. Por ejemplo, cuando descubrí esa vulnerabilidad en Whatsapp y ellos se dieron cuenta, empezaron a cambiar de sitio los números de celular y yo actualizaba la aplicación. Era como jugar al gato y al ratón, hasta que el año pasado Whatsapp cambió el protocolo de seguridad y arregló definitivamente esa falla.

Actualmente, ¿cuáles son los principales riesgos en materia de seguridad informática para móviles?

El eslabón más débil de la cadena siempre es el usuario y la forma más fácil de atacarlo es con ingeniería social, intentando engañarlo, robándole cuentas y contraseñas, haciéndole instalar aplicaciones maliciosas. El principal peligro al que nos exponemos hoy en día es a que nos roben nuestra vida digital, a perder la base de datos de Whatsapp, las fotos, los correos, los mensajes privados, las conversaciones íntimas, los contactos. El riesgo es perder la información y que ésta pueda caer en manos de cibercriminales que puedan extorsionarnos.

¿Qué recomendaciones o hábitos det seguridad se deben adoptar para mitigar el riesgo de que un ciberdelincuente vulnere la seguridad de nuestro celular y se robe las imágenes, los chats, los documentos?

Lo primero es actualizar los sistemas operativos móviles a la última versión. Siempre instalar los parches de seguridad necesarios. Tener todas las aplicaciones actualizadas y asegurarse de que sean legítimas, no bajadas de internet, sino del App Store o la tienda de Android. Utilizar, además, un antivirus comercial en los casos en que sea posible y verificar los permisos que concedemos a las aplicaciones. Una clave es no dar más permisos de los que la aplicación necesita para su funcionamiento. No descargar programas gratis y tratar, en la medida de lo posible, de no conectarse a redes wi-fi públicas, y si lo haces, no consultar el banco online o el correo electrónico.

¿Cuáles son los principales desafíos para el futuro de la ciberseguridad?

Estamos en un momento tecnológico en que, debido a la cantidad de posibilidades de conectividad, el usuario normal no sabe si las cosas que le ofrecen pueden ser veraces o no. La tecnología evoluciona a un ritmo vertiginoso y a veces nos cuesta adaptarnos a ella. Tenemos que seguir evolucionando y crear herramientas más seguras para facilitarles las cosas a los usuarios. El objetivo es que la seguridad no dependa tanto de las personas del común, sino que los productos sean seguros por sí mismos, que sean seguros por defecto.