Hasta ahora, un mundo en el que las agencias de inteligencia invertían su tiempo en ser capaces de espiarte a través de tu televisión parecía una exageración, una historia de ciencia ficción o un capítulo de 'Black Mirror'. Pero tras las últimas revelaciones de Wikileaks ya sabemos que es una realidad, y que la CIA prácticamente puede espiarte desde cualquier dispositivo conectado a la red... incluso los desconectados gracias a su malware por USB.
Y lo peor [los métodos de intrusión en los equipos utilizados por la CIA son tan agresivo que comprometen peligrosamente la seguridad de todos. Para colmo es prácticamente no hay manera de evitar que nos espíen después de lo revelado ayer. Bueno, quizá sí haya un par de cosas que puedas hacer para intentarlo, pero suponen realizar sacrificios que prácticamente nadie está dispuesto a asumir.
Por qué el método de la CIA es tan peligroso
The CIA reports show the USG developing vulnerabilities in US products, then intentionally keeping the holes open. Reckless beyond words.
— Edward Snowden (@Snowden) 7 de marzo de 2017
Sí, todo parece indicar que las herramientas de la CIA filtradas por Vault 7 en Wikileaks parecen ser reales. De hecho para el experto en seguridad y ex-agente Edward Snowden los nombres de programas y oficinas, así como las series de cifrado JQJ (IOC) mencionadas en los documentos, le consta que son totalmente reales, lo que le da credibilidad al conjunto de los documentos.
Para entender por qué el método de la CIA es tan peligroso primero hay que entender qué tipo de vulnerabilidades está explotando. Se trata de vulnerabilidades de día cero, esas que cuando se descubren no son reveladas a las empresas responsables del software, por lo que estas no pueden parchearlas y siguen siendo aprovechables por cualquiera que las descubra.
Además, tal y como se ha encargado de explicar el propio Snowden, según los documentos cuando la CIA irrumpe en un equipo por la fuerza utilizando las herramientas creadas para aprovecharse de esas vulnerabilidades dejan deliberadamente abiertos los huecos que han abierto para entrar.
Esto es como si después de crear una llave para vulnerar tus cerraduras entrasen a tu casa, revisasen todos tus papeles y se fueran dejando las puertas abiertas. Para ellos esto supone tener un acceso mucho más sencillo en próximas ocasiones, aunque con estos agujeros de seguridad expuestos, cualquier otro atacante que sepa dónde encontrarlo puede aprovecharlo también y entrar tranquilamente en tus equipos sin tener que desarrollar una herramienta específica.
A esta manera de actuar ya de por sí grave tenemos que sumarle que la CIA está entrando a prácticamente cualquier dispositivo. No sólo móviles con Android e iOS, sino también ordenadores con Windows, macOS, GNU/Linux, sistemas de SmartTV y coches modernos.
¿Qué hay que sacrificar para evitar a la CIA?
@thor_benson Against the CIA? Never open the browser, never click links, and never use it for email (major vectors). Unrealistic for most.
— Edward Snowden (@Snowden) 7 de marzo de 2017
Richard Stallman es un hombre peculiar, un excéntrico según muchos, pero es una de las pocas personas que lleva años tratando de vivir al margen de las agencias de inteligencia gubernamentales. No se conecta a través de su propia casa salvo a contadas páginas de las que se fía ciegamente, sino que va a casa de un amigo para utilizar su ordenador. Así, nadie puede obtener su IP real.
El creador de GNU y el concepto de software libre también cuenta que incluso a la hora de conectarse a un correo electrónico o navegar lo hace de una forma compleja. Utiliza sobre todo el terminal, de manera que él "llama" a una web o correo desde el terminal y estos acuden a su llamada sin necesitar un cliente o navegador específico.
Estos ejemplos nos ayudan a entender el tipo de sacrificio que deberías hacer si quieres mantenerte al margen del espionaje de las agencias de inteligencia. Le preguntaban ayer a Snowden qué deberíamos hacer para poder utilizar nuestras apps de mensajería asegurándonos de que su cifrado sea útil, y la respuesta fue que nunca deberíamos abrir el navegador, hacer click en enlaces y nuca utilizar nuestro correo electrónico.
Vamos, que deberías utilizar tu dispositivo inteligente como si ya no fuese inteligente. Pero estamos en un mundo conectado, lo que quiere decir que estas medidas de seguridad son, como dijo Snowden, poco realistas. Son sacrificios que nadie estará dispuesto a hacer, o por lo menos no la inmensa mayoría de los usuarios comunes.
Por lo tanto y hasta que se desarrollen parches solucionando estas vulnerabilidades no hay nada que hacer, y para que esto sea posible alguien tendrá que encontrar las vulnerabilidades que está aprovechando la CIA y reportarlas a los desarrolladores de los sistemas operativos. Hasta entonces, si quieres utilizar la tecnología actual tienes que tener en cuenta que las agencias de inteligencia podrían acceder a ellas cuando quieran.
Podemos tener la tentación de pensar de que no somos nadie y que no tenemos nada que ocultar. Pero este argumento es fácilmente desmontable, ya que no podemos renunciar a nuestra privacidad porque nunca sabemos cuándo vamos a tener que necesitarla. Nunca se sabe, por ejemplo cuándo vamos a tenerla necesidad de romper una ley que pueda ser absurda o injusta, y el no poder hacerlo podría pasarnos factura a largo plazo.
Aunque no lo parezca, los cifrados son cada vez mejores
Ubiquitous e2e encryption is pushing intelligence agencies from undetectable mass surveillance to expensive, high-risk, targeted attacks.
— Open Whisper Systems (@whispersystems) 7 de marzo de 2017
Uno de los peligros a los que nos enfrentamos en los próximos días es que los usuarios concluyan que los cifrados son inútiles, y que por lo tanto no merece la pena seguir gastando esfuerzos en defender y exigir que los adopten cada vez más aplicaciones. Pero aunque no lo parezca, son buenos tiempos para la seguridad informática, y las filtraciones de la CIA de alguna manera han venido a confirmarlo.
Puede parecer algo contradictorio pero pararos a pensar lo que han dicho desde Open Whisper Systems en Twitter sobre los cifrados de extremo a extremo. Estos métodos para asegurar nuestras comunicaciones se han vuelto tan efectivos que a las agencias de inteligencia tienen que bordearlos ya no atacando a la aplicación, sino al sistema operativo en el que se utiliza.
Hace unos años no hubiera hecho falta vulnerar Android e iOS para acceder a nuestros mensajes, porque estos viajaban sin cifrar a través de WhatsApp y aplicaciones similares. Pero ahora esto ya no es así, y el empuje de estas tecnologías de protección les está empujando a crear programas mucho más complejos, costosos y peligrosos para poder seguir espiándonos.
Pero como queda patente el cifrado de extremo a extremo tampoco es una solución universal que nos proteja de todo. Por lo tanto, para seguir dando pasos a la hora de proteger nuestra privacidad ahora queda ponerse con la asignatura pendiente de los sistemas operativos, y aquí será clave ver las reacciones de las grandes empresas afectadas en los próximos días. Días que por cierto van a ser interesantes según vayan extrayéndose más datos de los más de 8.000 documentos filtrados.
En Genbeta | No, WhatsApp, Telegram y Signal no han sido hackeados por la CIA, sino Android e iOS que es peor
En Xataka | Siete razones para desconfiar de tus dispositivos: estos son los secretos de espionaje de la CIA
Ver 12 comentarios
12 comentarios
izzykun
Esto explica por que están tan preocupados de que Trump siga usando su viejo teléfono.
druidark
para evitar todo eso y proteger la privacidad : un nokia 3310
juanmcm
Realmente es complicado renunciar a este grado de conectividad, donde con un smartphone podemos encargar una pizza, realizar una transacción financiera o estar en contacto con algún amigo o familiar en el extranjero.
¿Será sencillo regresar a un periodo anterior donde no había nada de esto y renunciar a los logros en la sociedad digital?
Pues no sé, tengo muchas dudas.
zicoxy3
No hay nada de tí que no sepa google, apple o facebook, y todo se lo has contado tú.
La privacidad es algo muy valioso, pero antes se escuchaban conversaciones en cables de telefono, ahora se hacen con software. Para evitarlo, no basta con usar una terminal...Tienes que aislarte de toda civilización y aún así, no lo estarás. Un billete de avión lleva mucha información y Stallman viaja mucho...
Es muy complicado cuando tu información vale dinero, y más será en el futuro.
zarang.ollo.39
Hola,
Sólo comentar que la vulnerabilidad que salía en prensa sólo afectaría a los televisores Samsung de 2012 y 2013 con versiones de firmware 1111, 1112 y 1116.
Si tienes un Samsung de 2012 o 2013, comprueba si tienes uno de estos modelos: A partir de 2012: UNES8000F, plasma E8000GF y UNES7550F. A partir de 2013: serie UNF8000, plasma F8500, serie UNF7500 y serie UNF7000. Para determinar la versión del firmware y actualizarla, vaya al menú principal, seleccione Soporte y, a continuación, Actualización de software.
Para más información sobre este riesgo os recomiendo el artículo: ¿Cómo saber si la CIA ha hackeado tu Smart TV?
encore121
Por dios, ahora la CIA sabe cuando mi esposa me manda un Whatsapp pidiéndome que compre leche de regreso a casa!!!
Que será de mi ahora???