El Financial Times informó que NSO, una empresa israelí que comercializa herramientas tecnológicas para los organismos de inteligencia y policías del mundo, desarrolló un malware que aprovechaba una vulnerabilidad de WhatsApp para tomar el control del teléfono de una persona y espiarla.
El ataque aprovechaba una vulnerabilidad no conocida por nadie (día cero) e intentó usarse con al menos un abogado defensor de derechos humanos en Inglaterra.
Hasta ahora la forma de infectar con malware un dispositivo era engañando al destinatario para que hiciera algo que permitía la instalación del mismo, que abriera un archivo, por ejemplo. Lo que se ha reportado sobre este caso, que lo hace más especial, es que el malware se instalaba sin que la víctima hiciera nada.
Su equipo recibía una llamada vía WhatsApp e incluso si no la contestaba el malware se instalaba. En ese momento el atacante tomaba control del dispositivo y podía acceder a todo lo que había en él, incluso encender el micrófono y escuchar lo que sucedía alrededor. Adicionalmente, poco después, el rastro de la llamada desaparecía. Si antes era difícil reconocer un hackeo, esto lo complica aún más.
Ahora, antes de entrar en pánico y culpar de todo a WhatsApp, recuerde que no existe seguridad digital al ciento por ciento. No importa la herramienta que se use, siempre existirá el riesgo de que sea hackeada. Así que respire y actualice ya mismo su aplicación porque desde el domingo WhatsApp publicó el parche.
Quizá también sea hora de recordar que cuando tenga algo realmente importante o sensible que comunicar puede invitar a la otra persona a tomarse un café y dejar su teléfono en casa, el contacto humano sigue siendo una opción.
Lo que quiero decir es que debemos reconocer que el uso de tecnología supone riesgos y que estamos obligados a aprender a mitigarlos. Por eso, personas especialmente expuestas a espionaje, como defensores de derechos humanos, periodistas, líderes sociales, necesitan aprender y comprender mejor lo que sucede para tomar decisiones sobre sus comunicaciones.
Sí, hay herramientas que tienen características mejores que las de WhatsApp para estas personas. Signal, por ejemplo, no comparte los metadatos de tu comunicación con Facebook y permite la autodestrucción programada de mensajes.
Pero por experiencia sé que no es tan fácil para muchos sustituir una por otra. WhatsApp es empleada por el 89% de quienes usan internet en Colombia, eso determina frecuentemente su uso. Además, en nuestro país todas las empresas que nos dan servicio celular de internet ofrecen WhatsApp gratis –su uso no afecta nuestro plan de datos– o a muy bajo costo. Es decir, para muchos WhatsApp es “la opción”, de modo que tampoco es cuestión de satanizarla.
Por eso es importante que sepan que, aunque algunos parecen sugerirlo, el incidente no comprometió el cifrado punto a punto de WhatsApp, el mecanismo que garantiza que el contenido que se transmite por WhatsApp no sea atacado.
Lo que pasa es que de nada sirve tener cifrado punto a punto si el dispositivo que recibe o el que envía está comprometido. En ese caso el espionaje sucede antes o después de la transmisión y eso fue lo que hicieron, logran hackear o meterse al dispositivo y eso les da acceso a los mensajes y, activando el micrófono en tiempo real, a las llamadas.
Como leí en alguna parte, el cinturón de seguridad no evita que se te pinche una llanta, pero no porque se te pinche la llanta dirías que el cinturón no sirve para nada. Su utilidad es otra. Entonces, esta vez sí hackearon WhatsApp pero para hackear el celular, no la aplicación. Sigue siendo grave, pero es diferente.
Es necesario reconocer además que la masificación del uso de WhatsApp en el mundo hace que sea rentable atacarla. Si se consigue vulnerar WhatsApp hay más mercado para esa herramienta de hackeo, se puede afectar a más personas.
Otra cosa, esto no lo hizo cualquiera. Aunque NSO afirma no estar involucrada, hay fuertes sospechas de que fue esta empresa. Fue un ataque muy especializado, en el que se invirtió mucho esfuerzo y dinero. Además, si fue NSO, la herramienta se desarrolló para que la usen los Estados –ese es el mercado de NSO–, lo que supone otra línea de análisis que no es menor: ¿es legítimo que los Estados usen estas herramientas?
Finalmente, conocer los secretos de la gente, espiarla, es un gran negocio con importantes incentivos tanto para mercados negros como para el espionaje estatal. Para combartirlo, entre otras acciones, las empresas tienen programas de reporte de vulnerabilidades que permiten a los hackers contarles las que encuentran y, frecuentemente, reciben a cambio recompensas.
Los Estados, principales responsables de la seguridad digital de su gente, han sido más tímidos en usar programas que incentivan a los hackers a contarles cuando conozcan de vulnerabilidades, pero ya hay ejemplos como el de Holanda, donde se han creado canales para informar vulnerabilidades. Incluso en el caso de Estados Unidos, el Departamento de Defensa lanzó en 2016 el programa Hack the Pentagon para abordar las vulnerabilidades de seguridad recompensando a quienes las encuentran y divulgan.
Además de aprender a mitigar nuestros riesgos, es importante que pidamos al Estado colombiano que desarrolle en el nuevo Conpes de ciberseguridad que se está trabajando una ruta de informe de vulnerabilidades y un protocolo para atenderlas, al menos organicemos la casa. También debemos discutir si es legítimo que nuestras autoridades compren y usen herramientas de hackeo (para ver algo más sobre este último punto puede leer una versión más larga de esta columna en la página de Karisma).
El Financial Times informó que NSO, una empresa israelí que comercializa herramientas tecnológicas para los organismos de inteligencia y policías del mundo, desarrolló un malware que aprovechaba una vulnerabilidad de WhatsApp para tomar el control del teléfono de una persona y espiarla.
El ataque aprovechaba una vulnerabilidad no conocida por nadie (día cero) e intentó usarse con al menos un abogado defensor de derechos humanos en Inglaterra.
Hasta ahora la forma de infectar con malware un dispositivo era engañando al destinatario para que hiciera algo que permitía la instalación del mismo, que abriera un archivo, por ejemplo. Lo que se ha reportado sobre este caso, que lo hace más especial, es que el malware se instalaba sin que la víctima hiciera nada.
Su equipo recibía una llamada vía WhatsApp e incluso si no la contestaba el malware se instalaba. En ese momento el atacante tomaba control del dispositivo y podía acceder a todo lo que había en él, incluso encender el micrófono y escuchar lo que sucedía alrededor. Adicionalmente, poco después, el rastro de la llamada desaparecía. Si antes era difícil reconocer un hackeo, esto lo complica aún más.
Ahora, antes de entrar en pánico y culpar de todo a WhatsApp, recuerde que no existe seguridad digital al ciento por ciento. No importa la herramienta que se use, siempre existirá el riesgo de que sea hackeada. Así que respire y actualice ya mismo su aplicación porque desde el domingo WhatsApp publicó el parche.
Quizá también sea hora de recordar que cuando tenga algo realmente importante o sensible que comunicar puede invitar a la otra persona a tomarse un café y dejar su teléfono en casa, el contacto humano sigue siendo una opción.
Lo que quiero decir es que debemos reconocer que el uso de tecnología supone riesgos y que estamos obligados a aprender a mitigarlos. Por eso, personas especialmente expuestas a espionaje, como defensores de derechos humanos, periodistas, líderes sociales, necesitan aprender y comprender mejor lo que sucede para tomar decisiones sobre sus comunicaciones.
Sí, hay herramientas que tienen características mejores que las de WhatsApp para estas personas. Signal, por ejemplo, no comparte los metadatos de tu comunicación con Facebook y permite la autodestrucción programada de mensajes.
Pero por experiencia sé que no es tan fácil para muchos sustituir una por otra. WhatsApp es empleada por el 89% de quienes usan internet en Colombia, eso determina frecuentemente su uso. Además, en nuestro país todas las empresas que nos dan servicio celular de internet ofrecen WhatsApp gratis –su uso no afecta nuestro plan de datos– o a muy bajo costo. Es decir, para muchos WhatsApp es “la opción”, de modo que tampoco es cuestión de satanizarla.
Por eso es importante que sepan que, aunque algunos parecen sugerirlo, el incidente no comprometió el cifrado punto a punto de WhatsApp, el mecanismo que garantiza que el contenido que se transmite por WhatsApp no sea atacado.
Lo que pasa es que de nada sirve tener cifrado punto a punto si el dispositivo que recibe o el que envía está comprometido. En ese caso el espionaje sucede antes o después de la transmisión y eso fue lo que hicieron, logran hackear o meterse al dispositivo y eso les da acceso a los mensajes y, activando el micrófono en tiempo real, a las llamadas.
Como leí en alguna parte, el cinturón de seguridad no evita que se te pinche una llanta, pero no porque se te pinche la llanta dirías que el cinturón no sirve para nada. Su utilidad es otra. Entonces, esta vez sí hackearon WhatsApp pero para hackear el celular, no la aplicación. Sigue siendo grave, pero es diferente.
Es necesario reconocer además que la masificación del uso de WhatsApp en el mundo hace que sea rentable atacarla. Si se consigue vulnerar WhatsApp hay más mercado para esa herramienta de hackeo, se puede afectar a más personas.
Otra cosa, esto no lo hizo cualquiera. Aunque NSO afirma no estar involucrada, hay fuertes sospechas de que fue esta empresa. Fue un ataque muy especializado, en el que se invirtió mucho esfuerzo y dinero. Además, si fue NSO, la herramienta se desarrolló para que la usen los Estados –ese es el mercado de NSO–, lo que supone otra línea de análisis que no es menor: ¿es legítimo que los Estados usen estas herramientas?
Finalmente, conocer los secretos de la gente, espiarla, es un gran negocio con importantes incentivos tanto para mercados negros como para el espionaje estatal. Para combartirlo, entre otras acciones, las empresas tienen programas de reporte de vulnerabilidades que permiten a los hackers contarles las que encuentran y, frecuentemente, reciben a cambio recompensas.
Los Estados, principales responsables de la seguridad digital de su gente, han sido más tímidos en usar programas que incentivan a los hackers a contarles cuando conozcan de vulnerabilidades, pero ya hay ejemplos como el de Holanda, donde se han creado canales para informar vulnerabilidades. Incluso en el caso de Estados Unidos, el Departamento de Defensa lanzó en 2016 el programa Hack the Pentagon para abordar las vulnerabilidades de seguridad recompensando a quienes las encuentran y divulgan.
Además de aprender a mitigar nuestros riesgos, es importante que pidamos al Estado colombiano que desarrolle en el nuevo Conpes de ciberseguridad que se está trabajando una ruta de informe de vulnerabilidades y un protocolo para atenderlas, al menos organicemos la casa. También debemos discutir si es legítimo que nuestras autoridades compren y usen herramientas de hackeo (para ver algo más sobre este último punto puede leer una versión más larga de esta columna en la página de Karisma).