Recientemente se reveló que una entidad en Colombia (“Dipol”, presuntamente la Dirección de Inteligencia de la Policía), le compró a la firma italiana Hacking Team un moderno software de espionaje “incluso más poderoso que el usado por la Agencia Nacional de Seguridad de Estados Unidos (NSA)”. ¿Conoce ese software y su capacidad de interceptación de comunicaciones?
Sí. Es un programa que “infecta” el celular o computador adonde se envía. Una vez que el aparato esté “infectado”, el software monitorea, casi en tiempo real, todas las comunicaciones, es decir, llamadas entrantes y salientes, mensajes de Whatsapp, Snapchat, Facebook, Skype, correos, en una palabra, todo. Es necesario advertir que se pueden encontrar en la red muchos software que hacen lo mismo y que, incluso, están al alcance de cualquier bolsillo por US$30 o menos al mes, con una diferencia respecto del Hacking Team RCS9: que éste se instala de forma remota, mientras que los programas que le menciono, para ser instalados, necesitan tener el equipo de la víctima en la mano de quien quiere interceptarlo.
Entonces, el Hacking Team RCS9, ¿cómo se instala en los celulares?
La plataforma RCS9 permite, como le dije, “infectar” el aparato remotamente y sin tenerlo a la mano. La víctima notará una actualización del sistema, un correo con un aviso o algo que le interese como un link por una red social y, como suele ocurrir con más frecuencia de lo que suponemos, hace clic y queda listo.
Una vez infectado, ¿es posible sanarlo o “desinfectarlo”?
Sí, pero hay que utilizar un laboratorio de informática forense para que éste detecte la clase de software que se instaló, porque hay muchos y resulta fácil “infectar” una máquina con los sistemas que existen en el mercado.
¿Qué se investiga en un laboratorio de informática forense y de evidencias digitales?
Se investigan las pruebas que se encuentran en celulares, computadores y equipos tecnológicos. Las evidencias que buscan los investigadores ya no se encuentran sólo en los medios tradicionales. Ahora hay que indagar en el mundo digital en donde se desarrolla gran parte de la actividad humana. Además, en estos laboratorios hay otros instrumentos y análisis científicos útiles como acústica forense, documentología, grafología, etc.
El sistema “Esperanza”, controlado por la Fiscalía y desde donde se interceptan comunicaciones previa orden judicial, es el único legal en Colombia y se usa para buscar pruebas en procesos penales. El software que habría sido vendido presuntamente por Hacking Team a la “Dipol”, según consta en el archivo que se descubrió, ¿es superior a “Esperanza”?
Desde mi punto de vista, son complementarios: “Esperanza” se conecta, legalmente, a los operadores de telefonía (Movistar, Claro, Tigo, ETB, etc.), y puede monitorear, en tiempo real, tanto voz como mensajes de texto. Y, además, puede ubicar la celda en donde se encuentra quien habla, lo que, en últimas, significa que funciona como un GPS. De esta forma, usted puede saber en dónde están ubicadas las personas comunicadas y qué están hablando. La plataforma de Hacking Team no funciona a través de los operadores, sino que llega directamente al equipo terminal, o sea, al teléfono que “infecta”, como ya le dije.
Empezando el año 2013, Noticias Uno reveló que la Policía estaba construyendo una especie de búnker fuera de la Fiscalía y de la propia edificación policial para albergar un sistema de espionaje denominado “Puma” (Plataforma Única de Monitoreo y Análisis) con mayor capacidad de penetrar comunicaciones que “Esperanza” ¿“Puma” es el mismo software comprado a Hacking Team?
No creo, porque ni siquiera son parecidos: cumplen la misma función, es decir, monitorean voz, datos, conexiones, comunicaciones por internet y redes en tiempo real, pero “Puma” trabaja con la red como lo hace “Esperanza”: va al proveedor de servicios de internet (ISP) y trae todos los datos, los almacena, identifica y entrega. En la práctica, “Puma” es mucho más potente que cualquier equipo, plataforma o software que actualmente tenga o haya tenido el Estado colombiano.
De acuerdo con su experiencia, ¿las interceptaciones nos dejan a los ciudadanos en manos de los cuerpos legales de Inteligencia, pero también de las bandas de delincuentes cibernéticos?
La verdad, estas herramientas son muy peligrosas. Debe tenerse en cuenta que las empresas que ofrecen esas plataformas se las venden a quien pague por ellas. Por eso se requieren todos los controles posibles. Por ejemplo, todas las salas deben tener controles técnicos de trazabilidad, es decir, que queden huellas de quién, cuándo y cómo se accedió al sistema, con permisos cruzados entre varias entidades y veedurías de terceros, lo que garantiza la salvaguarda de los derechos de las personas.
¿Los cibercriminales son más invención que realidad o, por el contrario, hacen parte de nuestro mundo cotidiano, más allá de lo que creemos?
Son totalmente reales y su presencia es cada vez más constante. Cualquier persona con las herramientas que hoy se ofrecen puede tener un laboratorio de inteligencia informática con menos de mil dólares y en total anonimato.
A veces la actividad de los “hacker” resulta muy controvertida. ¿Casos como el de Sepúlveda, el de la campaña de Óscar Iván Zuluaga, son comunes?
Sin referirme al caso concreto que usted menciona, le contesto que hacker se denomina a quienes consiguen directamente la información en internet. No al que la compra o la vende.
¿La actividad del “hackeo” siempre es criminal e ilícita?
No. Las empresas contratan hacker profesionales que hacen un trabajo legal y necesario para que encuentren sus vulnerabilidades mediante ataques controlados o intentos de sustracción de su información y las ayuden a blindarse de esas debilidades.
¿Usted mismo se considera un “hacker”?
Sí, en el sentido legal y bueno del término.
Todos en Colombia estamos convencidos de que nos “chuzan”, es decir, que interceptan nuestras comunicaciones. ¿Eso suele ser cierto o falso?
Lo cierto es que este es el mundo del “Gran Hermano”. Cualquiera que tenga un teléfono móvil, cada vez que lo usa, le envía informes a su operador y a la firma que creó la máquina, de sus hábitos de uso del aparato y, en ese momento, está entregando parte de su información privada. De ahí para adelante todo se puede monitorear.
¿Es más fácil interceptar llamadas entre celulares que entre teléfonos fijos?
Es mucho más complejo en teléfonos fijos, dependiendo de la tecnología que usen: si es cableada, inalámbrica o digital. En la cableada es muy difícil porque se necesita la presencia física, en la central telefónica, de quien esté haciendo el monitoreo; en la inalámbrica hay que capturar la señal en el espectro, es decir, en el aire. Y en la digital se puede interceptar de manera sencilla, tal cual se hace como cuando se monitorea un celular.
¿Qué puede hacer un ciudadano del común para evitar que su información sea capturada por otro u otros?
Es muy importante que las personas instalen en su celular un antivirus pagado, no gratuito, y que se mantenga actualizado. También es fundamental ser observador: si nota que su teléfono se recalienta, la pila dura mucho menos que lo normal y de manera intempestiva, su plan de datos se agota muy pronto y sin uso desmedido, lo recomendable es que visite a un experto en seguridad de información para que revise el aparato.
Las cámaras de los computadores, iPad y demás aparatos, ¿se pueden activar como un ojo espía que lo ve a uno todo el tiempo?
Si se instalan los software de los que hemos hablado se puede tener control completo, absoluto, de toda la máquina.
¿Cuáles personas, entidades o empresas necesitan tener asegurada la información que guardan en sus computadores?
En general, diría que todo el mundo. Pero, evidentemente, hay profesionales y entidades que requieren más seguridad por razón de sus oficios y actividades. En estos últimos casos es ineludible la asesoría especializada para aplicar soluciones de hacking ético, sistemas de monitoreo, investigaciones de fraudes por medios informáticos, entre otros. Las entidades bancarias, financieras y todas las que mueven dinero; las Fuerzas Militares, algunos ministerios, la Procuraduría, la Fiscalía, el Fondo Nacional de Garantías, la Registraduría, la Superintendencia de Industria y Comercio, la Rama Judicial, etc., son algunas de las instituciones para las que resulta indispensable tener seguridad de su información, además, por exigencia legal.
¿A qué se dedica, a la “inteligencia informática”?
La inteligencia informática es parte de la seguridad de la información. Se aplican herramientas tecnológicas para verificar y conocer datos sensibles que competen a la actividad que se desarrolle. En el campo empresarial, se necesita para verificar la información de proveedores, clientes, empleados, contratistas y competidores. A nivel estatal es más complejo, porque existen amenazas externas o internas que deben ser contenidas. Justamente, la inteligencia informática hace el ejercicio de contención para defender al Estado. ¿De quién? De otros Estados y otros tipos de organizaciones.
Los servicios tradicionales de inteligencia de los países, ¿cuánto dependen hoy de la informática y en qué medida han tenido que variar sus métodos para ajustarse a los delitos del denominado ciberespacio?
No sólo se han visto obligados a modificar los métodos tradicionales, sino que tienen que variarlos todos los días porque el mundo cibernético cambia muy rápido al punto que los Estados han tenido que crear verdaderos batallones de ciberdefensa e inteligencia informática.
¿Es cierto que en Colombia está de moda pagar o crear call centers (centrales telefónicas), en realidad centros de computación para mandar masivamente mensajes insultantes o denigrantes contra alguien cuya imagen se quiere afectar, por ejemplo, en el mundo político, en las campañas electorales o en el mundo de la farándula?
Hay empresas que se dedican a crear o dañar reputaciones en línea, basados en perfiles falsos o de personas que no existen. Sin embargo, también hay sistemas de detección de esos perfiles falsos y de denuncias en redes sociales para que los perfiles sean dados de baja.
Hay muchas ventajas y herramientas en el mundo cibernético de las que antes no disponíamos. Pero también existen desventajas, como la de ser vigilados constantemente. ¿Qué opina del lado oscuro de internet?
Es cierto que la era cibernética nos depara ese peligro: el creciente número de prácticas ilegales o malintencionadas en la colosal realidad virtual de nuestra llamada sociedad de la información. Es palpable que existe una creciente necesidad de tener conciencia de qué tenemos entre manos cuando accedemos a una red a través de los diversos dispositivos digitales existentes. En el mundo, hoy se habla del asunto con verdadera preocupación. Los expertos sostienen que el cambio sustancial actual es que la gente se ha dado cuenta del peligro que corre su intimidad y su privacidad. Muchos usuarios han comenzado a buscar cómo contrarrestar este riesgo. Usar un sistema de encriptación, como lo afirman los especialistas, puede ser la mejor forma que tenemos, por ahora, de proteger nuestras informaciones y comunicaciones personales y organizacionales.
La información personal que antes se consideraba intocable, por ejemplo, números de cuentas bancarias, estados financieros personales, direcciones y teléfonos no publicados, dejó de tener garantizada su privacidad. ¿Estamos inermes, legalmente hablando, en el país ante esta realidad?
No. Hay garantías de privacidad. En la Ley 1581 del 2012 Colombia adoptó todo un sistema de protección de datos personales y sensibles. Y ninguna entidad pública o privada puede darles trámite sin autorización libre, previa y expresa de su titular. La Superintendencia de Industria y Comercio está encargada de la vigilar que esa norma se cumpla. De no ser así, la víctima puede denunciar, porque hay fuertes sanciones penales para quien la infrinja. Si la gente no denuncia, es por desconocimiento.
Noticia sin comentarios oficiales
Hace unos días la prensa dio la noticia de que una empresa italiana, Hacking Team, que ofrece modernos equipos de tecnología para seguridad informática, había sido, ella misma, penetrada por piratas digitales, y que algunos de sus archivos fueron desencriptados por estos. Así se encontró que un grupo de países le había comprado, supuestamente, un potente software de espionaje que permite interceptar celulares y computadores a distancia y sin tener cerca los aparatos que desean “infectarse”. Entre esos países estaría Colombia que figuraba mediante una de sus entidades, identificada únicamente con la sigla “Dipol”. Esta existe y corresponde a la Dirección de Inteligencia de la Policía Nacional, demasiada coincidencia para ser ignorada. Sin embargo, hasta el momento, ni el director de esa institución, general Rodolfo Palomino, ni el gobierno Santos se ha pronunciado al respecto para confirmar o negar el dato. Lo relevante, además del hallazgo periodístico en sí mismo, es que si la compra de tal software se realizó, esa adquisición no fue informada al público porque correspondería a un movimiento de seguridad nacional que estaría cubierto por el secreto, o porque es un negocio que no está dentro de los parámetros legales. La Fiscalía General, única entidad autorizada para interceptar comunicaciones, dirá la última palabra.
Moderna combinación: derecho e informática