¿Cómo hacer para que el Gobierno no te espíe?

Por MIGUEL ALFONSO LÓPEZ – CMO en Panacea Marketing

Desde hace varios años los medios de comunicación han publicado información sobre interceptaciones ilegales a opositores de los gobiernos de turno, activistas sociales y periodistas. Hace una década en Colombia este hecho llevó a que se clausurara un organismo gubernamental entero, encargado de la inteligencia del Estado, llamado DAS.

Estas prácticas han reaparecido en Colombia, tal como lo publicó la revista Semana, donde se acusa al comandante del Ejército que hace unas semanas había renunciado, Nicacio Martínez. Se cree que él estaba a cargo del equipo de inteligencia militar que interceptaba ilegalmente las comunicaciones de exgobernadores, activistas y un alto magistrado de la Corte Suprema que lleva un caso del expresidente Álvaro Uribe. La información, según revela Semana, era enviada a un miembro del partido Centro Democrático, cuyo nombre aún no ha sido revelado.

Cuando realizas una llamada convencional desde un fijo o un teléfono móvil,  tu operador o el gobierno te pueden estar escuchando.
“Cuando realizas una llamada convencional desde un fijo o un teléfono móvil, tu operador o el gobierno te pueden estar escuchando”. Imagen de Panacea Marketing

El testigo que cita Semana indicó que interceptaban conversaciones en chats como Telegram web, llamadas telefónicas a través de celular y correos electrónicos. Esto se logró gracias a un malware que compró el Ejército a una empresa española de ciber seguridad por más de 300 mil dólares. Aunque el contrato que revelé el medio colombiano indica que el costo fue por cerca de 1 millón de dólares, incluyó la capacitación, equipos de cómputo y servicios en la nube necesarios para la labor de espionaje.

¿A quién contratan para espiarnos?

Hace unos años The New York Times reveló que el gobierno mexicano había contratado a la empresa israelí NSO Group para espiar a activistas de derechos humanos y periodistas. El software que esta empresa vende hace parte de su slogan “Inteligencia cibernética para seguridad y estabilidad global”. Usa un virus llamado Pegasus, que en 2019 metió en problemas al fundador de Amazon. Según Financial Times, este troyano es capaz de acceder a la nube de Google, iCloud e incluso Facebook.

La primera vez que se escuchó hablar de Pegasus fue en agosto de 2016, cuando los investigadores de Lookout y Citizen Lab descubrieron una «amenaza activa que utiliza tres vulnerabilidades críticas de zero-day para iOS que cuando son explotadas, forman una cadena de ataques que subvierten incluso el sólido entorno de seguridad de Apple» (esta vulnerabilidad fue solucionada por la compañía ese mismo año).

Según los informes financieros de NSO cuenta con más de 60 agencias gubernamentales de 30 países como clientes. Aunque el portavoz de esta compañía ha indicado que no tienen nada que ver con ninguno de los escándalos donde se mencionan, tampoco se atribuyen la creación de Pegasus. Sin embargo, siguen existiendo dudas sobre el desarrollo que hacen de spyware para distintos países.

En el caso colombiano la empresa contratada por el Ejército fue Mollitiam Industries. En su sitio web proporcionan poca información sobre lo que realmente pueden hacer, pero indican que pueden tomar información hasta de la DeepWeb. Su director ejecutivo, Samuel Álvarez Gonzáles, dice estar en ese cargo -según su perfil de LinkedIn- desde agosto del 2018. Lo que podría indicar que el malware no es creado por Mollitiam Industries, según el registro en el sistema de Cámara de Comercio de Toledo en España. Esta empresa comparte domicilio con el Grupo In-nova del cual también es director Samuel Álvarez Gonzáles, como lo indica una reseña del Master Dirección Tecnológica; si fueran expertos en seguridad, su página web tendría por lo menos el certificado SSL, que a la fecha no tienen.

El director ejecutivo de la empresa contratada por el Ejército fue conferencista en el año 2019, en una exposición privada mostró un caso real, en vivo, de monitoreo y acción sobre Fuentes Abiertas para enfrentar focos de desestabilización y control de masas en procesos electorales y huelgas generales en el ISS World Latinoamérica, justo un mes antes de que iniciara una huelga nacional en Colombia.

Existen muchas dudas sobre quién creó realmente el malware, pues desde la perspectiva tecnológica, alguien que crea sistemas de hacking tan avanzados no está expuesto a simple vista.

¿Cuáles son los servicios más vulnerables que NO deberías usar?

Cuando realizas una llamada convencional desde un fijo o un teléfono móvil, tu llamada no está encriptada de extremo a extremo. Esto quiere decir que mientras pasan los datos por la red, tu operador o el gobierno te pueden estar escuchando. Lo mismo sucede cuando envías un mensaje de texto (también conocido como SMS). Ambos sistemas de comunicación permiten a los gobiernos o cualquier otra persona, con poder sobre la compañía telefónica, leer tus mensajes o grabar sus llamadas.

Algunas alternativas para escribir o llamar que deberías usar son Signal o Telegram. Estas dos empresas usan lo que se conoce como encriptación de extremo a extremo, WhatsApp ha sido vulnerado y por esta razón dejó de ser una herramienta segura.

¿Cómo mejoro mis hábitos de seguridad para evitar seguimientos?

Si manejas temas de relevancia, investigaciones políticas o altos secretos empresariales, debes tener en cuenta las siguientes recomendaciones para reducir el riesgo de ser espiado por tu gobierno, contradictor o competencia. Ten en cuenta que si tomas estas medidas desde ahora, puede que tu celular o computadora ya estén infectados y estos tips no te sirvan de nada.

  • Cuando compres tu celular, hazlo tú mismo, no envíes a tu asistente.
  • Configura el celular nuevo tú mismo; si necesitas ayuda para hacerlo que sea en tu presencia.
  • Descarga aplicaciones desde las tiendas autorizadas de Google y Apple únicamente, no instales ningún archivo que te envíen.
  • No introduzcas ninguna USB en tus equipos: Mark Zuckerberg hace unos años mostró cómo su computadora tenía cintas en los puertos USB y su cámara.
  • Usa siempre tu computadora personal y no la de un amigo, oficina o despacho.
  • Cambia de correo electrónico de Yahoo, Outlook (Hotmail) o Yahoo y usa Protonmail
  • No uses la autenticación en dos factores de SMS; estos pueden ser interceptados y puedes estar enviando el código de accesos necesario si ya descubrieron tu clave “123456*”
  • No realices llamadas por tu celular, usa los servicios de llamadas de las aplicaciones.
  • No instales software pirata en tu computadora, estos no te permitirán instalar las últimas versiones que vienen corregidas para evitar ataques y al ser modificadas ya pueden incluir virus espías.
  • No te conectes a un wifi público a menos que uses alguna VPN cómo NordVPN o ExpressVPN (el wifi es público cuando no tiene contraseña o cuando todos la tienen)
  • Revisa todos los días las actualizaciones disponibles de tus apps y software.
  • Usa claves que contengan varias palabras y no uses la misma en todas las cuentas.
  • Si administras muchas claves, usa una app segura como 1password y no el blog de notas de tu equipo.
  • Si no quieres dejar evidencias sobre tu dinero, usa criptomonedas. Ten en cuenta que este sistema es semiprivado; si conocen tu llave pública, podrán conocer todas tus transacciones.

Es muy común ver cómo alcaldes, concejales y hasta ministros usan WhatsApp para comunicarse y tocar temas importantes. Peor aún, usan las llamadas telefónicas tradicionales por celular. Hay que tener en cuenta, como lo indica el portal Surveillance Self-Defense que “en términos más generales, las características de seguridad y privacidad no son las únicas variables importantes para elegir un método de comunicación seguro. Una aplicación con excelentes características de seguridad no tiene valor si ninguno de sus amigos y contactos la usa».

Realmente lo que debes propiciar en tu equipo de trabajo es la importancia sobre la seguridad y realizar conjuntamente una migración a apps más seguras y generar hábitos de seguridad con las personas que hablas.

miguelalfonsolopez@gmail.com

Sobre el autor o autora

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Social media & sharing icons powered by UltimatelySocial