¿Cómo nos afectan revelaciones de Wikileaks sobre la Agencia?

El arsenal de armas digitales de la CIA significa más inseguridad para todos

El diseño, compra y filtración de ciberarmas perjudica a empresas, usuarios e incluso a las propias agencias de los países que ponen en marcha este mecanismo en nombre de la seguridad nacional.

iStock

Hay varios aspectos preocupantes sobre la publicación del arsenal secreto de armas digitales de la CIA hecha por Wikileaks esta semana. El organismo de inteligencia dijo que las acciones de Julian Assange pusieron en riesgo la seguridad nacional de EE.UU. Era la respuesta esperada. Pero lo que realmente asusta es que, para todo el estupor que esta revelación causó en el sector de la tecnología, para el público en general puede resultar un asunto normal: más allá de sus implicaciones y consecuencias de fondo, las filtraciones se han convertido en algo común y corriente.

“¿A quién sorprende que la CIA esté haciendo esto?”. “Esperar privacidad hoy en día es una ingenuidad”. “Moraleja de la historia: si su dispositivo tiene una cámara y un micrófono, usted puede ser vigilado en cualquier momento, en tiempo real”. “Más de lo mismo”. Estos son algunos de los comentarios en un grupo de Reddit dedicado a esta discusión.

En esta suerte de normalidad se juntan dos tensiones que producen un resultado perverso, por decir lo menos. Los organismos de inteligencia nacionales parecen ser los mayores fabricantes y compradores de software malicioso en el mundo. Esto es cierto para la CIA, la Agencia Nacional de Seguridad de EE.UU. (NSA, por sus siglas en inglés) y el GCHQ (su contraparte británica). Al mismo tiempo, las filtraciones de información suelen ocurrirles a estas organizaciones.

Esto genera un mundo en el que la seguridad digital, y de paso la privacidad, parecieran conceptos de una era pasada. La nueva norma es vivir en el borde constante de ser intervenido digitalmente por un actor malicioso y que, sorpresa, en muchos casos puede ser el mismo Estado. Así se da paso a un ecosistema en el que hay inseguridad para todos.

“Muchas organizaciones reconocemos el deber legítimo que tienen los Estados de proveerles seguridad a sus ciudadanos y el interés de hacerlo mediante los medios tecnológicos más eficaces. Con lo que no estamos de acuerdo es que se rompa la tecnología para poder ejercer esta función”, dice Javier Pallero, analista de Access Now, una organización que hace unos años lideró una campaña para pedirles a varios gobiernos que apoyen el uso y la expansión del cifrado de comunicaciones. Este movimiento contó con el apoyo de más de 150 expertos de seguridad digital en 37 países.

“No se conoce una manera de tener una seguridad robusta de extremo a extremo y, al mismo tiempo, ofrecer un acceso privilegiado a la comunicación, lo que se conoce famosamente como backdoor. Si existe una vulnerabilidad en el cifrado, ésta puede ser explotada por cualquiera, no sólo por el Estado en su labor de vigilancia con orden judicial suficiente y completa. Es una puerta que queda abierta para todos”, agrega Pallero.

Uno de los métodos más utilizados en seguridad digital es evitar el control centralizado de los sistemas, no guardar todas las piezas claves en una institución, un solo servidor. La lógica de este punto es evidente: reducir al mínimo el riesgo de exposición en caso de un ataque. Y la filtración sobre las armas de la CIA muestra justo lo contrario: una organización que diseña y compra un vasto arsenal de armas que no puede defender.

Aunque Pallero habla del cifrado de comunicaciones en particular (una tecnología para ocultar el contenido de un mensaje) y las armas de la CIA en su mayoría parecen concentrarse en otros aspectos, la premisa que utiliza aplica para ambos casos: vulnerar la seguridad digital es un mal negocio para todos los actores.

La tecnología de la CIA parece no comprometer la seguridad de aplicaciones específicas como Whatsapp o Signal, esta última considerara el estándar en comunicaciones seguras y sus protocolos de cifrado fueron defendidos por Edward Snowden esta semana. La agencia se ha concentrado en romper las defensas de los sistemas operativos de los dispositivos, especialmente de los celulares.

Esto último quiere decir iOS (Apple) y Android (el sistema operativo móvil más popular en el mundo). En el primer caso, los documentos de Wikileaks muestran que la CIA ha encontrado formas de penetrar la seguridad de versiones hasta la 8.2 del software de los iPhone iPad y iPod Touch. Empresas de seguridad digital calculan que apenas 5 % de los usuarios de Apple tienen una edición anterior a la número 9; esto significa unos 50 millones de personas expuestas a los ataques diseñados por la agencia estadounidense.

En el mundo de Android los ataques se concentran en la versión 4.0: se estima que 30 % de los usuarios globales del sistema utilizan una variante de esta edición del software, o sea más de 400 millones de personas en todo el mundo.

“El mundo de Android es particularmente riesgoso en Colombia, en donde los operadores de celulares venden teléfonos, que al ser menos poderosos y capaces son más baratos, pero que tienen la desventaja de no poder actualizar sistema operativo y operar así con versiones antiguas. La gente no es consciente de este hecho y al final lo que se crea es un hueco masivo de seguridad”.

Quien habla es un consultor en seguridad digital colombiano, que firmó acuerdos de confidencialidad con Hacking Team, empresa que lo buscó en 2014 para trabajar con ellos en el país. “Mi labor sería capacitar técnicamente en ataques digitales al personal que iba a usar las herramientas de la empresa, además de hacer demostraciones de la capacidad del software. Nunca me vinculé con ellos por el tipo de trabajo que realizan”.

Hacking Team es apenas uno de los nombres en un universo de empresas privadas que se dedican a encontrar fallas en los sistemas de seguridad digitales de teléfonos y dispositivos electrónicos de consumo masivo para ofrecer sus descubrimientos a autoridades nacionales, como la CIA, la NSA o la Policía colombiana, por ejemplo.

Estos actores también ponen de su parte para vulnerar el ecosistema digital en el que nos movemos todos. En varias oportunidades, estas empresas terminan vendiendo sus productos (software malicioso y herramientas para infectar teléfonos) a países con pocos méritos en defensa de los derechos humanos, como Emiratos Árabes Unidos. En otros casos, las herramientas son usadas en operaciones como chuzadas contra activistas a favor del impuesto a las bebidas azucaradas en México.

En los documentos de Wikileaks se menciona varias veces el término “comprado por la NSA” y “compartido con la CIA”, así como los nombres, en código, de contratistas encargados de proveer herramientas para romper la seguridad en iOS (Baitshop) y Android (Fangtooth y Anglerfish). En Twitter, Snowden, antiguo contratista de la CIA, dijo que esta era la “primera evidencia pública de que el gobierno de Estados Unidos paga en secreto para hacer inseguro el software hecho en el país”.

Una parte de las herramientas encontradas en el arsenal de la CIA, que fue divulgado, incluye los llamados ataques de día cero (zero day exploits, en inglés). Estas son vulnerabilidades inéditas en los sistemas, huecos en el código que nadie había identificado, y representan la moneda más fuerte en el mundo de la seguridad digital, pues suponen la posibilidad de explotar una debilidad sin ser detectado.

Luego de las revelaciones de Snowden acerca del espionaje masivo emprendido por la NSA, el gobierno de Barack Obama emitió en 2013 una especie de directiva encaminada a frenar este tipo de ataques: si una agencia detectaba una vulnerabilidad inédita, lo indicado era compartirla con el fabricante para así proteger la seguridad de millones de usuarios. La única razón bajo la cual podían ocultarla era por motivos de seguridad nacional. Un comité de expertos incluso recomendó que esta utilización de la debilidad sólo podía ser usada por un tiempo determinado.

Varios análisis independientes de los documentos publicados por Wikileaks han señalado que el número de ataques de día cero en poder de la CIA es mucho mayor del esperado, que se estimaba en una docena entre todas las agencias de seguridad combinadas y no sólo en el arsenal de una. “Esto quiere decir que el número en general es mucho mayor, lo que presenta más riesgos para los fabricantes y para el público, más aún teniendo en cuenta que la filtración sólo da cuenta de un período que no llega hasta hoy”, dice uno de estos informes.

Ahora, hay una discusión acerca de la legalidad de las acciones de la CIA. Por ejemplo, Bruce Schneier, experto en seguridad digital y quien en su momento firmó el documento propuesto por Access Now en apoyo del cifrado de comunicaciones, aseguró que aquí “no hay nada ilegal” y agregó que “eso es exactamente lo que se espera que haga la CIA”, en declaraciones a la agencia AFP.

El consultor colombiano contactado por Hacking Team finaliza diciendo que “es normal que una agencia de espionaje tenga este tipo de programas. Y hay una diferencia entre lo que hacía la NSA y lo que hace la CIA: esta última no hace vigilancia masiva, sino se enfoca en blancos específicos. Es diferente. Lo preocupante es que concentren todo este tipo de herramientas para luego perderlas”.

Pasos básicos de protección digital

Como siempre con estos temas, el usuario queda en un punto vulnerable. ¿Qué puede hacer para proteger su seguridad digital? En este caso en particular, lo primero es siempre estar al día con las actualizaciones del sistema operativo y de las aplicaciones de sus dispositivos. La otra buena línea de defensa es cuidarse qué sitios visita y no hacer clic en enlaces o documentos que lleguen por correo electrónico sin estar seguro que el remitente sea confiable. También es recomendable utilizar un administrador de contraseñas y así generar credenciales de acceso más seguras sin tener que recordar complicadas secuencias de letras y números. La verificación de dos pasos también es una opción que debería ser usada por defecto, pues así se tiene más control sobre quién puede acceder a sus cuentas de correo o a sus perfiles en redes sociales. (Lea "Seguridad digital: lo que debe hacer y lo que definitivamente no")