MILLONARIO NEGOCIO
A los amantes de las teorías conspirativas les encanta apuntar a la CIA como un organismo omnipresente, una entidad que sabe todo lo que los usuarios hacen y que es capaz de convertir dispositivos de uso común, como televisores y celulares, en feroces enemigos.
Y el último reporte de Wikileaks, parte de una gran filtración de datos recolectados entre 2013 y 2016 llamado “Vault 7”, llegó para levantar aún más dudas sobre qué tan protegidos están los datos privados en el mundo digital. Esto porque se reveló que la Agencia de Inteligencia de EEUU. creó una unidad especial dedicada al espionaje a través de tecnología casera.
Desde interceptar conversaciones por chat hasta grabar charlas en el living con el micrófono del televisor, como parte del nuevo arsenal de espionaje digital que se ha estado desarrollando. La pregunta que cabe es ¿hay cómo protegerse?
Día cero
Lo primero que hay que señalar sobre estas técnicas de espionaje es que en su mayoría “Para estar seguro siempre hay que actualizar los dispositivos y no tener apps que no se necesitan”.
CIA habría pagado hasta 1 millón de dólares
Tim Strazzere, experto en Android citado por Forbes, dijo que el aspecto más interesante de la liberación de Wikileaks fue el número de exploits que la CIA compró. Los exploits son vulnerabilidades que los hackers pueden vender hasta en un millón de dólares. Incluso, hay empresas que explotan estas vulnerabilidades y se las venden a las propias empresas para reparar sus posibles fallas. usan vulnerabilidades conocidas como de “día cero”, es decir, cuando un dispositivo viene con su configuración de fábrica, sin las actualizaciones de seguridad que se van agregando con el tiempo.
Es por eso que uno de los dispositivos preferidos por este programa de espionaje son los televisores: la mayoría cuenta con sistemas smart pero rara vez son actualizados, a diferencia de lo que pasa con un celular o un PC. A través de una herramienta llamada “Blazing Angel”, los agentes podían manipular un televisor Samsung para que utilizara el micrófono incorporado -usado principalmente para darle órdenes- para grabar conversaciones.
La firma de seguridad Dragos señaló que cualquier dispositivo que contenga un micrófono y una conexión a internet, como el Amazon Echo o cualquier celular, podría ser susceptible a un ataque como el de Blazing Angel, pero su aplicación es altamente específica, pues se requiere intervención directa en el dispositivo, ya sea a través de una unidad USB.
Pero una vez infectados, la única forma de prevenir el espionaje es desenchufando el aparato, ya que el sistema puede simular que la TV está apagada pero seguir grabando.
Otra de las maneras que utiliza la CIA para ingresar a los dispositivos es a través de aplicaciones modificadas. El informe revela que la agencia trabajó en 24 aplicaciones que simulaban ser programas reales como Skype, VLC Player o Prezi, los cuales al ejecutarse en el computador, instalaban el software que permitía el espionaje mientras el programa mostraba una película o una presentación.
Por ello, dicen los expertos, la mejor fórmula de protección es mantener los dispositivos actualizados (apenas son adquiridos) y usar solo aplicaciones legales y certificadas. Así, el riesgo de ser espiado es mínimo.
Antes de la encriptación
Pero quizás lo más sorprendente de este informe fue la revelación de herramientas que permiten interceptar conversaciones aun cuando estas están siendo transportadas por redes encriptadas como Telegram o Signal, sistemas de chat que garantizan que toda la comunicación hecha entre sus usuarios es vista
solo por ellos.
Esto porque los programas usados por la CIA buscan interceptar los mensajes antes de que estos sean enviados y encriptados, es decir, captarlos mientras estos se están escribiendo. Es como el ladrón que logra entrar a una propiedad antes que el dueño cierre la puerta o active la alarma. Esta técnica llamada keylogging es utilizada muy comúnmente por hackers que roban contraseñas de bancos y, al menos en PC, la solución para saltarlos es usar teclados virtuales que usan el mouse en lugar de las teclas para anotar.
De todas formas, como el
equipo debe estar infectado para que se tenga acceso a estos datos, la encriptación de mensajes sigue siendo la forma más segura de evitar el robo de información. “Los ataques descritos por el informe son dirigidos a usuarios específicos y comprometen la seguridad del dispositivo, no de la encriptación”, señaló en un post el experto en ciberseguridad de la U. de Pensilvania Matt Blaze, quien además agregó que para estar seguro hay que hacer tres cosas: siempre actualizar los dispositivos, no tener apps que no se necesitan y sobre todo, no ser perseguido por la CIA.b