jueves, 22 de junio de 2017

Espiar a los ciudadanos es una tarea fácil

Existen dos tipos de hacking: el ético, con el que se mide la seguridad y nivel de riesgo de un sistema, y el malicioso, con fines de espionaje.
Nelly Toche
Jun 21, 2017 |
20:09
Cualquier ciudadano puede ser víctima de ataque cibernético o espionajes en esta era digital. Foto: Shutterstock
relacionadas

Esta semana The New York Times dio a conocer una investigación sobre supuesto espionaje a activistas y periodistas mexicanos por parte del gobierno a través del software Pegasus. Este hecho visibilizó el poder y la trascendencia de la utilización de herramientas digitales para monitorear cualquier detalle de la vida diaria de una persona por medio de su celular.
A pesar de que la empresa que fabrica el software (NSO Group) afirma que vende la herramienta de forma exclusiva a los gobiernos con la condición de que sólo sea utilizada para combatir a terroristas, grupos criminales y cárteles de drogas, Rafael Pazarán, especialista en Seguridad Cibernética, explica que también puede ser usado para espiar a cualquier persona e incluso “no necesitamos de Pegasus para hacer este tipo de acciones”.
En entrevista, el también docente de la Universidad La Salle aseguró que hoy existen firewares y softwares diseñados por terceros, que se encuentran en la big web e incluso en las tiendas de iOS y Android, por ello su gran capacidad para atacar incluso a ciudadanos comunes.
Dijo que en el caso de Pegasus no nada más es un malware, “está conformado por software, hardware, personas, monitoreo, metodología que a veces minimizamos, pero que tiene un gran poder”.

¿Cómo funciona?

Existen dos tipos de hacking (intrusión): el ético, con el que se mide la seguridad y nivel de riesgo sobre todo en las empresas, y el malicioso, con fines de espionaje.
“Esto es una obra de ingeniería, con metodologías sofisticadas, que tiene un ciclo de vida y hay fases para consolidar un ataque”:
-Enumerar y reconocer. Es la etapa en donde nos tenemos que imaginar cómo se obtuvieron los teléfonos de estas personas, esto puede ser a través de indagar registros telefónicos, incluso con familiares y conocidos. También incluye reconocer qué sistema operativo tiene el celular y si es propicio para que el malware pueda atacar.
-Ingeniería social. Es un ataque dirigido contra una persona y vamos a tratar de manipular o persuadir mediante elementos sociales su psicología como fue en el supuesto caso contra periodistas, que indicaron recibir mensajes de texto para pedir ayuda, cargos a tarjetas de crédito, trámites oficiales, entre otros, todos acompañados de una liga URL que los llevaba a un sitio apócrifo, pero que en ese momento consolida la infección.
-Consolidación a través de la ejecución del malware. Una vez que el usuario activó la primera fase, los atacantes ya tienen privilegios dentro del dispositivo. En ese momento se recopila todo tipo de información, contactos, mensajes de texto, llamadas e incluso la cámara y el micrófono del dispositivo.
-Borrado de huellas. Después de tener toda la información del usuario investigado, estos softwares tienen la capacidad de hacer un borrado, “pero en algunas ocasiones no se pueden eliminar por completo, pues se tiene que hacer de manera muy rápida.
“En este paso es donde en el caso del supuesto espionaje a periodistas mexicanos, los especialistas forenses, tendrían que buscar migajas de las acciones de este malware dentro de los dispositivos móviles. Es una tarea complicada y sólo para especialistas forenses, de acuerdo a la Universidad de Toronto ya se llevaron a cabo estos estudios; sin embargo, quedan las lagunas de si los dispositivos fueron trasladados a Canadá o cómo es que se dieron cuenta”, siendo que hay otros softwares con esta capacidad.
Sobre la utilización de Pegasus por parte del gobierno, para fines diferentes a los establecidos, el docente aseguró que el tema debe tomarse con mesura, ya que aunque este sistema fue comprado por el gobierno, también pudo haber sucedido un acto de corrupción que quebrara o vulnerara los controles de seguridad. “Aquí la investigación es necesaria para tratar de identificar la firma del malware que fue, en caso de que se encontrara” e hizo hincapié en que no necesariamente Pegasus es el único que puede hacer eso.

¿Cómo protegernos?

Pazarán aseguró que estos softwares existen y no sólo desde el 2015. “Tiene muchos años y es una escalada propia de la era digital, los especialistas lo hemos comentado en cada oportunidad, que las amenazas iban a saltar hacia los teléfonos móviles, aquí el punto importante también, independientemente de la investigación que se lleva a cabo en este caso, es que cualquier persona de a pie puede ser víctima de este tipo de actividades”.
Por ello, el especialista hace una serie de sugerencias:
Usar el sentido común. Al estar frente a una liga, saber quiénes son mis contactos frecuentes, el tipo de archivos que puedo recibir, incluso en qué momento del día se obtiene información y la persuasión “pues si a alguien le interesa y te conoce, te va a buscar por otros medios”.
Estar atentos a esas cosas que nos hacen vulnerables. Como fotos de familia, advertencias de peligro hacia sus seres queridos, curiosidad o miedo, “esto es una guerra psicológica”.
Cultivar la cultura de la protección antimalware. Lo primero que debemos instalar es un antivirus “estamos ya en la cuarta Revolución Industrial, cercanos al 2020 y aún no existe esta cultura, es impresionante”. Sobre ello recomienda instalar también antivirus de paga, “porque la cultura de lo gratuito es catastrófica”, aseguró que estas soluciones rondan los 200 pesos y ayuda a mitigar y disminuir los riesgos, pues recordó que en esta rama, no hay 100% de efectividad.
nelly.toche@eleconomista.mx 

Fuente

No hay comentarios: