Los errores que pueden convertir su “smartphone” en una amenaza
Cuanto más avanza la tecnología y más podemos hacer con nuestros teléfonos inteligentes, también aumentan los riesgos. Mal usados, se pueden convertir en una ventana de información privada para gobiernos y delincuentes.
Nicolás Marín Navas
Las pruebas contra Jorge Molina, un empleado de un almacén en la ciudad de Phoenix (EE. UU.), parecían irrefutables. Para las autoridades locales no había duda de que había asesinado a un hombre en marzo de 2018, por lo que fue detenido y llevado a juicio. ¿Cuáles eran las pruebas en su contra? Un meticuloso rastreo del GPS de Google, presente en su smartphone, al cual tuvieron acceso los investigadores del caso.
Esa era la evidencia más certera que había, pese a que en el expediente también constaba un video en el que se veía a una persona, no identificada, disparando contra la víctima en un Honda Civic blanco. El mes pasado, sin embargo, la supuesta prueba reina contra Molina se desmoronó, luego de que se revelara que, durante los días del asesinato, el exesposo de la mamá del acusado había estado usando el dispositivo móvil. Inmediatamente, el primer sospechoso fue puesto en libertad y el segundo fue capturado.
(Le puede interesar: Cuando el terrorismo es creado para ser viral)
El dilema sobre la tecnología como un arma de doble filo a la hora de tomar decisiones judiciales era inevitable. Y más ahora que se convirtió en una herramienta clave en investigaciones policiales. La organización Privacy International define los celulares como “un gran depósito de datos confidenciales, que podría proporcionar una gran cantidad de información sobre su propietario y muchos otros con los que el usuario interactúa”. Por eso, las sociedades de hoy están más expuestas de lo que creen por el simple hecho de tener un smartphone, más allá de su profesión u oficio.
El caso del periodista mexicano Javier Valdez, documentado por la organización civil de ciberseguridad Citizen Lab, es un buen ejemplo. Tras una ardua lucha contra la corrupción, los carteles y el crimen organizado del estado de Culiacán (México), librada desde su pequeño periódico RioDoce, fue asesinado el 15 de mayo de 2017.
Días después de su muerte, colegas suyos empezaron a recibir mensajes en sus teléfonos que prometían información sobre los responsables del delito. Apenas este año, la investigación de Citizen Lab reveló que dichos mensajes de texto habrían sido enviados por el gobierno mexicano para infiltrar en sus celulares el spyware Pegasus, un software espía legal, creado por la empresa israelí NSO Group y comprado por el gobierno mexicano, que permite acceder a cualquier tipo de información.
Esta semana, además, Whatsapp, compañía que pertenece a Facebook, advirtió a sus 1.500 millones de usuarios que debían actualizar inmediatamente la aplicación, pues habían detectado una falla de seguridad que permitió a un programa informático espía acceder a teléfonos móviles.
Los primeros resultados de las investigaciones encontraron que el software parecería estar vinculado con Pegasus. El analista Joseph Hall, del Center for Democracy and Technology, señaló que este tipo de fallos abren la puerta al espionaje de activistas, periodistas y demás ciudadanos por parte de entidades corruptas. “El peligro potencial es bastante alto”, y recordó que las aplicaciones que encriptan mensajes y llamadas “suelen almacenar la información más secreta que la gente necesita proteger”.
El debate, sin embargo, no se debe radicalizar. La tecnología cobra un significado positivo o negativo dependiendo de quién y cómo la utilice. Pero además, como señaló a El Espectador Belisario Contreras, gerente del Programa de Ciberseguridad del Comité Interamericano contra el Terrorismo de la Organización de Estados Americanos (OEA), la tecnología también se desarrolla exponencialmente. Esto significa que si bien nos da más capacidades, también aumentan los riesgos, vulnerabilidades y amenazas.
(Ver más: ¿Vigilan los gobiernos lo que haces en la red?)
Por eso la organización, desde hace tres años publicó un primer informe de ciberseguridad en la región, desarrollado junto con el Banco Interamericano de Desarrollo (BID) y el Centro Global de Capacitación de Seguridad Cibernética (Gcscc) de la Universidad de Oxford, en el que evaluaban la “madurez cibernética de la región”. “Tenemos que concientizar a los ciudadanos de que los primeros guardianes de toda esa información sobre sus vidas son ellos mismos. Es indispensable que, entre todos, incrementemos y fomentemos el nivel de conciencia sobre el uso responsable y seguro de las TIC y sus funcionalidades”, aseguró Contreras.
La Escuela de Seguridad Digital de Colnodo proporciona una visión similar sobre la relación actual entre la sociedad y la tecnología. “Hay un gran vacío en estudiantes, en padres de familia. Lo que hacemos es, primero, sensibilizar a las personas sobre estos riesgos que existen y cómo esos peligros pueden convertirse realmente en una amenaza importante para la seguridad personal o para la seguridad de la organización”, aseguró a este diario Ariel Barbosa, funcionario de la organización.
¿Espían los gobiernos a los ciudadanos?
Para nadie es un secreto que los gobiernos contratan empresas para que les vendan softwares espías, con el argumento de poder detectar posibles actos terroristas o de delincuencia. Este tipo de vigilancia, que es legal al menos en Colombia, se hace en el marco de una investigación judicial, normalmente es solicitada por un fiscal y autorizada por un juez. Lo normal es esperar que cumplan con el buen uso de estas herramientas.Barbosa, sin embargo, advierte: “El espionaje ilegal es cuando sencillamente se saltan todos estos procedimientos y cualquier tipo de funcionario, normalmente vinculado con fuerzas militares o policía, acceden a estas plataformas que tiene el Estado y por su propia cuenta hacen escuchas ilegales”.
De hecho, el experto asegura que en Colombia, cuando explotó el escándalo del caso Andrómeda en 2014, en el que se interceptaron conversaciones de algunos negociadores de paz con las Farc, se evidenció la mala práctica que se le hizo a PUMA, una herramienta comprada por el Estado para llevar a cabo este tipo de acciones. Según Barbosa, el error fue capacitar en su uso a personal que no eran funcionarios públicos ni policías.
“El Estado tiene la potestad de comprar software espía para utilizarlo en este tipo de vigilancia legal. El problema es cuando no hay control ni transparencia ni rendición de cuentas sobre el uso que se hace de esas plataformas. Estas empresas producen y los gobiernos compran, pero también queda la duda por parte de las empresas de quién escoge a qué gobierno le vende”, apunta el experto.
Contreras, por su parte, asegura que lo que busca la OEA es lograr es que los gobiernos de la región se acerquen a trabajar cada vez más con los ciudadanos y a actualizar los marcos políticos, legislativos y regulatorios que fortalezcan la seguridad y privacidad en el ámbito cibernético. “De igual forma, existen instrumentos internacionales como la Convención Interamericana contra el Terrorismo de la OEA, la convención de Budapest y los tratados de asistencia legal mutua entre Estados. Lo importante es que existen procedimientos legales para esto”, asegura.
El consultor mexicano José Ramón López Portillo aseguró a este diario que en ese aspecto hay posibilidad de conciliar entre los que defienden un control del Estado en la información digital de los ciudadanos y los que buscan proteger su privacidad. “Yo creo que sí debe haber una intromisión del Estado entre los dos extremos, en donde los datos digitales que uno permite que sean accesados se hagan públicos para uso de todos. También se debe limitar lo que puede hacer cada compañía sin el conocimiento de uno con esos datos”.
Colombia, entre el progreso y el desconocimiento
Según explicó a este diario el gerente del Programa de Ciberseguridad del Comité Interamericano contra el Terrorismo de la OEA, en el caso de Colombia, si bien todavía falta trabajo en el campo, se está desarrollando la tercera política de Seguridad y Confianza Digital, “lo que convertiría a Colombia en el primer país de América Latina, y en uno de los primeros del mundo, en tener este número de iteraciones de actualización de política pública en esta materia”.Con respecto a la big data de los colombianos, el país es el primero en tener una política regional en la materia. Ahí se “establece en una de sus acciones que se emitirá un documento con los elementos que deben incorporar los proyectos de explotación de datos implementados por las entidades públicas para garantizar que estos sean transparentes, explicables y auditables”, señaló Contreras.
(Ver más: La gran guerra de los memes en la política)
Además, en términos prácticos, el grado de conciencia en la sociedad colombiana sobre los peligros de los smartphones es bajo y la facilidad de acceder a sistemas de espionaje es cada vez mayor. Comenzando por las aplicaciones que se consiguen en la App Store o la Play Store, por ejemplo, cuyos filtros por parte de Apple y Android muchas veces no bastan para asegurar la privacidad de los usuarios y terminan incluyendo permisos que autorizan un espionaje difícil de controlar.
Así lo relata Ariel Barbosa, quien agregó que son tres temas los más recurrentes durante las capacitaciones que desarrollan en la organización: manejo de contraseñas, uso del celular y privacidad. Y es que desde el uso de Whatsapp, la aplicación más usada en el país, hay errores básicos que se podrían corregir fácilmente.
El manejo de contraseñas, sin embargo, es el que más se repite dentro de las dudas de las personas. “Es el más fácil de resolver, pero es que el que mayor facilidad le da a un atacante para acceder a la información. Es increíble que después de tantos años si usted busca contraseñas más usadas del 2012 para delante, nos damos cuenta de que siempre son las mismas contraseñas: ‘123456’. A veces no se requiere ni siquiera un atacante experto”, señala.
Contreras ilustra esta problemática asegurando que a nadie se le ocurriría dejar su carro en una calle con las puertas abiertas y la llave dentro durante un mes. “Eso es precisamente lo que hacemos cuando nuestras claves de acceso al correo electrónico, o para operar con nuestra entidad financiera, no son suficientemente seguras. Sin embargo, nadie percibe que esos dos hechos son idénticos: uno en el mundo físico y otro en el mundo digital”, aseguró.
Las pruebas contra Jorge Molina, un empleado de un almacén en la ciudad de Phoenix (EE. UU.), parecían irrefutables. Para las autoridades locales no había duda de que había asesinado a un hombre en marzo de 2018, por lo que fue detenido y llevado a juicio. ¿Cuáles eran las pruebas en su contra? Un meticuloso rastreo del GPS de Google, presente en su smartphone, al cual tuvieron acceso los investigadores del caso.
Esa era la evidencia más certera que había, pese a que en el expediente también constaba un video en el que se veía a una persona, no identificada, disparando contra la víctima en un Honda Civic blanco. El mes pasado, sin embargo, la supuesta prueba reina contra Molina se desmoronó, luego de que se revelara que, durante los días del asesinato, el exesposo de la mamá del acusado había estado usando el dispositivo móvil. Inmediatamente, el primer sospechoso fue puesto en libertad y el segundo fue capturado.
(Le puede interesar: Cuando el terrorismo es creado para ser viral)
El dilema sobre la tecnología como un arma de doble filo a la hora de tomar decisiones judiciales era inevitable. Y más ahora que se convirtió en una herramienta clave en investigaciones policiales. La organización Privacy International define los celulares como “un gran depósito de datos confidenciales, que podría proporcionar una gran cantidad de información sobre su propietario y muchos otros con los que el usuario interactúa”. Por eso, las sociedades de hoy están más expuestas de lo que creen por el simple hecho de tener un smartphone, más allá de su profesión u oficio.
El caso del periodista mexicano Javier Valdez, documentado por la organización civil de ciberseguridad Citizen Lab, es un buen ejemplo. Tras una ardua lucha contra la corrupción, los carteles y el crimen organizado del estado de Culiacán (México), librada desde su pequeño periódico RioDoce, fue asesinado el 15 de mayo de 2017.
Días después de su muerte, colegas suyos empezaron a recibir mensajes en sus teléfonos que prometían información sobre los responsables del delito. Apenas este año, la investigación de Citizen Lab reveló que dichos mensajes de texto habrían sido enviados por el gobierno mexicano para infiltrar en sus celulares el spyware Pegasus, un software espía legal, creado por la empresa israelí NSO Group y comprado por el gobierno mexicano, que permite acceder a cualquier tipo de información.
Esta semana, además, Whatsapp, compañía que pertenece a Facebook, advirtió a sus 1.500 millones de usuarios que debían actualizar inmediatamente la aplicación, pues habían detectado una falla de seguridad que permitió a un programa informático espía acceder a teléfonos móviles.
Los primeros resultados de las investigaciones encontraron que el software parecería estar vinculado con Pegasus. El analista Joseph Hall, del Center for Democracy and Technology, señaló que este tipo de fallos abren la puerta al espionaje de activistas, periodistas y demás ciudadanos por parte de entidades corruptas. “El peligro potencial es bastante alto”, y recordó que las aplicaciones que encriptan mensajes y llamadas “suelen almacenar la información más secreta que la gente necesita proteger”.
El debate, sin embargo, no se debe radicalizar. La tecnología cobra un significado positivo o negativo dependiendo de quién y cómo la utilice. Pero además, como señaló a El Espectador Belisario Contreras, gerente del Programa de Ciberseguridad del Comité Interamericano contra el Terrorismo de la Organización de Estados Americanos (OEA), la tecnología también se desarrolla exponencialmente. Esto significa que si bien nos da más capacidades, también aumentan los riesgos, vulnerabilidades y amenazas.
(Ver más: ¿Vigilan los gobiernos lo que haces en la red?)
Por eso la organización, desde hace tres años publicó un primer informe de ciberseguridad en la región, desarrollado junto con el Banco Interamericano de Desarrollo (BID) y el Centro Global de Capacitación de Seguridad Cibernética (Gcscc) de la Universidad de Oxford, en el que evaluaban la “madurez cibernética de la región”. “Tenemos que concientizar a los ciudadanos de que los primeros guardianes de toda esa información sobre sus vidas son ellos mismos. Es indispensable que, entre todos, incrementemos y fomentemos el nivel de conciencia sobre el uso responsable y seguro de las TIC y sus funcionalidades”, aseguró Contreras.
La Escuela de Seguridad Digital de Colnodo proporciona una visión similar sobre la relación actual entre la sociedad y la tecnología. “Hay un gran vacío en estudiantes, en padres de familia. Lo que hacemos es, primero, sensibilizar a las personas sobre estos riesgos que existen y cómo esos peligros pueden convertirse realmente en una amenaza importante para la seguridad personal o para la seguridad de la organización”, aseguró a este diario Ariel Barbosa, funcionario de la organización.
¿Espían los gobiernos a los ciudadanos?
Para nadie es un secreto que los gobiernos contratan empresas para que les vendan softwares espías, con el argumento de poder detectar posibles actos terroristas o de delincuencia. Este tipo de vigilancia, que es legal al menos en Colombia, se hace en el marco de una investigación judicial, normalmente es solicitada por un fiscal y autorizada por un juez. Lo normal es esperar que cumplan con el buen uso de estas herramientas.Barbosa, sin embargo, advierte: “El espionaje ilegal es cuando sencillamente se saltan todos estos procedimientos y cualquier tipo de funcionario, normalmente vinculado con fuerzas militares o policía, acceden a estas plataformas que tiene el Estado y por su propia cuenta hacen escuchas ilegales”.
De hecho, el experto asegura que en Colombia, cuando explotó el escándalo del caso Andrómeda en 2014, en el que se interceptaron conversaciones de algunos negociadores de paz con las Farc, se evidenció la mala práctica que se le hizo a PUMA, una herramienta comprada por el Estado para llevar a cabo este tipo de acciones. Según Barbosa, el error fue capacitar en su uso a personal que no eran funcionarios públicos ni policías.
“El Estado tiene la potestad de comprar software espía para utilizarlo en este tipo de vigilancia legal. El problema es cuando no hay control ni transparencia ni rendición de cuentas sobre el uso que se hace de esas plataformas. Estas empresas producen y los gobiernos compran, pero también queda la duda por parte de las empresas de quién escoge a qué gobierno le vende”, apunta el experto.
Contreras, por su parte, asegura que lo que busca la OEA es lograr es que los gobiernos de la región se acerquen a trabajar cada vez más con los ciudadanos y a actualizar los marcos políticos, legislativos y regulatorios que fortalezcan la seguridad y privacidad en el ámbito cibernético. “De igual forma, existen instrumentos internacionales como la Convención Interamericana contra el Terrorismo de la OEA, la convención de Budapest y los tratados de asistencia legal mutua entre Estados. Lo importante es que existen procedimientos legales para esto”, asegura.
El consultor mexicano José Ramón López Portillo aseguró a este diario que en ese aspecto hay posibilidad de conciliar entre los que defienden un control del Estado en la información digital de los ciudadanos y los que buscan proteger su privacidad. “Yo creo que sí debe haber una intromisión del Estado entre los dos extremos, en donde los datos digitales que uno permite que sean accesados se hagan públicos para uso de todos. También se debe limitar lo que puede hacer cada compañía sin el conocimiento de uno con esos datos”.
Colombia, entre el progreso y el desconocimiento
Según explicó a este diario el gerente del Programa de Ciberseguridad del Comité Interamericano contra el Terrorismo de la OEA, en el caso de Colombia, si bien todavía falta trabajo en el campo, se está desarrollando la tercera política de Seguridad y Confianza Digital, “lo que convertiría a Colombia en el primer país de América Latina, y en uno de los primeros del mundo, en tener este número de iteraciones de actualización de política pública en esta materia”.Con respecto a la big data de los colombianos, el país es el primero en tener una política regional en la materia. Ahí se “establece en una de sus acciones que se emitirá un documento con los elementos que deben incorporar los proyectos de explotación de datos implementados por las entidades públicas para garantizar que estos sean transparentes, explicables y auditables”, señaló Contreras.
(Ver más: La gran guerra de los memes en la política)
Además, en términos prácticos, el grado de conciencia en la sociedad colombiana sobre los peligros de los smartphones es bajo y la facilidad de acceder a sistemas de espionaje es cada vez mayor. Comenzando por las aplicaciones que se consiguen en la App Store o la Play Store, por ejemplo, cuyos filtros por parte de Apple y Android muchas veces no bastan para asegurar la privacidad de los usuarios y terminan incluyendo permisos que autorizan un espionaje difícil de controlar.
Así lo relata Ariel Barbosa, quien agregó que son tres temas los más recurrentes durante las capacitaciones que desarrollan en la organización: manejo de contraseñas, uso del celular y privacidad. Y es que desde el uso de Whatsapp, la aplicación más usada en el país, hay errores básicos que se podrían corregir fácilmente.
El manejo de contraseñas, sin embargo, es el que más se repite dentro de las dudas de las personas. “Es el más fácil de resolver, pero es que el que mayor facilidad le da a un atacante para acceder a la información. Es increíble que después de tantos años si usted busca contraseñas más usadas del 2012 para delante, nos damos cuenta de que siempre son las mismas contraseñas: ‘123456’. A veces no se requiere ni siquiera un atacante experto”, señala.
Contreras ilustra esta problemática asegurando que a nadie se le ocurriría dejar su carro en una calle con las puertas abiertas y la llave dentro durante un mes. “Eso es precisamente lo que hacemos cuando nuestras claves de acceso al correo electrónico, o para operar con nuestra entidad financiera, no son suficientemente seguras. Sin embargo, nadie percibe que esos dos hechos son idénticos: uno en el mundo físico y otro en el mundo digital”, aseguró.