Tag Archives: internet

Instrumentos de espionaje usados para controlar a críticos y disidentes

Experto en seguridad de la IBERO afirma que llama la atención la carencia de leyes efectivas que velen por nuestra integridad como personas

 

De modo inopinado, y en notas aisladas y esporádicas entre columnistas y reportajes pseudotécnicos, se dio cuenta que en México se espía para beneficio y seguridad del ‘Estado’. Sin embargo, el reportaje reciente en la primera plana del The New York Times del 19 de junio deja claras varias cosas que hay que destacar y demandar a las autoridades, no una posición (que de manera extraoficial se indica en la nota), sino aclarar con una investigación formal:

1) el gobierno federal y al menos doce estatales realizan actividades de espionaje en contravención del marco legal que se prevé, en términos de la Ley de Seguridad Nacional, para la intervención de comunicaciones electrónicas personales;

2) la coartada inicial para hacer una erogación multimillonaria que a ciencia cierta no se sabe (y no se sabrá porque la ley permite a las autoridades clasificar esta información y no rendir cuentas de tipo alguno), es captar información sensible que permita a las agencias de seguridad, combatir el crimen organizado y el narcotráfico;

3) las actividades de espionaje se centran en contra de líderes de opinión y activistas sociales antes que a supuestos criminales con un enfoque intimidatorio y hasta represivo.

 

Origen del mal…ware

Una versión comercial de intervención de comunicaciones telefónicas en las dos principales plataformas existentes (android y iOS), aparentemente para usufructo de una empresa de servicios informáticos de origen israelí, se vende a gobiernos para hacer, de modo limitado, lo mismo que hace a nivel global y sin distingos la National Security Agency, NSA, de Estados Unidos: espiar las telecomunicaciones personales. La supuesta principal diferencia es que la NSA lo hace con el objeto de prevenir ataques terroristas y/o perseguir a perpetradores de dichos actos, en tanto que la empresa israelí supuestamente acota su beneficio comercial a gobiernos y para fines de investigación criminal. Sin embargo, de acuerdo con la información disponible (El Universal, 20 de abril, y The New York Times, 19 de junio) plantea características técnicas que suponen propósitos que van más allá a los declarados de un beneficio comercial, por un lado, y de una pretensión de estricta seguridad o de investigación criminal, por otro:

1- Empleo de un programa (software llamado Pegasus) de intervención que no sólo permite el robo de información en los teléfonos celulares sino que los convierte en mecanismo de captación de imágenes y sonidos sin que lo advierta el propietario. Instrumentos de captación pasiva y activa de datos, aun encriptados.

2- La intervención se logra mediante una abierta intrusión a la privacidad de las personas con actos abiertos de hostigamiento electrónico por parte de los operarios del servicio de espionaje.

3- Una vez intervenido el celular con el software malicioso, éste mantiene una actividad latente aun cuando no se sustraiga la información por los operarios del sistema; además de que, en caso de ser advertida la intromisión, es prácticamente imposible identificar el origen (institucional) del espionaje.

 

¿Compradores de tecnología o meros usuarios de servicios espionaje?

A principios del sexenio y bajo el paraguas del despliegue con la salvaguarda de la seguridad nacional, se descubrió que principalmente la Sedena había hecho una erogación millonaria (en dólares) para realizar espionaje. Sin embargo, la información subsecuente y las denuncias de organizaciones civiles, nacionales e internacionales, preocupadas por la intromisión ilegal de las agencias gubernamentales a la privacía de las personas, estableció cuando menos tres aspectos importantes.

1- Que diversas instituciones del gobierno federal (Sedena, Marina, Segob junto con el Centro de Investigación y Seguridad Nacional, Cisen, y que varios gobiernos estatales (al menos hasta mediados del año pasado eran Baja California, Campeche, Chihuahua, DF -ahora Ciudad de México-, Durango Estado de México, Guerrero, Jalisco, Nayarit, Puebla, Tamaulipas y Tlaxcala) se hicieron clientes de la empresa tecnológica para espiar bajo parámetros de legalidad poco claros o francamente anticonstitucionales.

2- Que no se trata de contratos en los que se adquiere tecnología, hardware y software, (que al final pasa a ser propiedad del adquirente) y que se opera con personal propio de las instituciones o gobiernos contratantes, sino que es una prestación de servicios tecnológicos en función del número de aparatos a intervenir y del tiempo que se establezca en el contrato adjudicado (en forma directa, o sea, sin concurso y sin licitación). De ahí, los costos sumamente elevados y que se mantenga en secreto.

3- Que el alcance de los beneficiarios de estas actividades de espionaje se hizo evidente a partir de un litigio internacional en el que se involucraba la supuesta inviolabilidad del gigante informático Apple. Esto ‘dejó a ciegas’, según el eufemismo del columnista al que se le suelen hacer filtraciones de fuentes gubernamentales, las capacidades de espionaje del gobierno federal (donde no se menciona a los militares). No sólo eso, sino que la empresa suspendió sus actividades contractuales de intervención y sustracción de datos.

 

¿Interés nacional o de políticos gobernantes?

Las características de contratos de servicios de tecnologías de información y comunicaciones, como las que están detrás de este caso de espionaje, tienen varias implicaciones serias que deben llamar no sólo al cuestionamiento severo sino a un deslinde claro de responsabilidades legales y políticas, que pone en peligro la seguridad del Estado mexicano. Por un lado, la escasa información contractual disponible supone que la empresa que espía electrónicamente para el gobierno federal (incluidos sectores de inteligencia militar y civil) y los gobiernos estatales, proporciona la información sustraída a sus patrones contratantes. No queda claro si los términos contractuales imponen secrecía y confidencialidad de la información obtenida por la empresa y entregada a los gobernantes mexicanos (los contratos se clasifican como confidenciales y difícilmente pueden ser objeto de escrutinio o auditabilidad). Esto es importante toda vez que las empresas que figuran en este tipo de actividades son financiadas o responden, al final, a intereses de otras naciones o simplemente son mercenarias porque, al término de sus contratos, los datos sustraídos son vendidos sin que los contratantes originarios intervengan o siquiera se enteren (en este caso, las instituciones mexicanas se enteren o simplemente no son propietarias plenamente de la información que se sustrajo en su nombre y para su aprovechamiento).

No es un asunto menor, y cobra mayor relevancia ante la calidad de los contratantes que se suponen velan por nuestra seguridad nacional (el Cisen, la Sedena y la Marina), lo que hace de esta acción una verdadera traición por parte de los sectores militares y civiles involucrados por su falta de visión estratégica y su ambición desmedida de protegerse políticamente porque están al servicio de intereses políticos de coyuntura y de muy corto plazo.

En este sentido, vale la pena recordar que este gobierno federal ha superpuesto una infraestructura de vigilancia que, según, fue diseñada para la inteligencia de la seguridad nacional a través de los llamados “centros fusión” con un enfoque regional (cinco en total) donde de congrega la actividad de recolección de información de las dependencias civiles y militares.

Las preguntas que surgen ante lo expuesto por el periódico estadounidense es si el enfoque de trabajo de esta infraestructura está relacionada con la contratación de los servicios de espionaje a la población, si la empresa contratada provee la información sustraída sólo a las instituciones que la contrataron en lo individual y aquéllas la comparten en el esquema fusión.

A la luz de estas y otras implicaciones legales y políticas llama la atención la carencia de leyes efectivas que velen por nuestra integridad como personas y contra la intromisión a nuestra privacidad, garantizadas por la Constitución. Asimismo, destaca la pobreza de los instrumentos del Congreso que cuenta con una Comisión Bicameral de Seguridad Nacional que legalmente sólo puede pedir información al gobierno pero carece de atribuciones de investigación y de acusar a los responsables de violar nuestros derechos constitucionales en aras de dicho concepto.

Más grave aún resulta la comprobación que el sistema político mexicano recurre a instrumentos ilegales para el control de la disidencia social, la crítica política. Hay un uso abusivo, ilegal y sin contrapesos de los recursos de inteligencia para la seguridad que no se emplean para la salvaguarda del Estado mexicano (ni de las entidades federativas) sino para las élites gobernantes, distorsionando así una función que debiera ser protectora de todos nosotros y de nuestras instituciones.

La pluralidad política que trajo consigo la transición del régimen desde finales del siglo pasado, también ha “democratizado”, y renovado, las prácticas viciadas del priismo ancestral que recurría al espionaje vulgar como premisa necesaria para la represión selectiva de sus críticos.

Nada bueno hay en gobiernos e instituciones que claman por la legalidad o marcos de actuación que los protejan (como lo piden los militares con la Ley de Seguridad Interior) cuando son ellos los primeros en quebrantarla en detrimento de nuestros derechos humanos. Lo que sigue es peor.

Influencia de los youtubers

Muchas personas mediante el portal YouTube han creado canales en los que difunden videos, cuyos contenidos abarcan desde cómo usar un videojuego hasta consejos de belleza.

La información y contenidos son vistos por miles de seguidores, gente joven también conocidos como millenials. Al respecto habla el doctor Rubén Darío Vázquez, profesor en la FES Aragón.

“Es un fenómeno que ha cobrado mucha notoriedad entre la gente joven, entre los millennials, porque son canales de comunicación que están vinculados con sus propios intereses y que al mismo tiempo hablan de temas con una naturalidad que hasta el momento ningún medio de comunicación ha tenido y que también hay una conexión muy directa con ellos. Además es un canal horizontal, no hay grandes producciones o grandes empresas detrás, en muchas ocasiones son chicos que están hablando desde su recamara y lo que están haciendo es hablando de temas que a los millennials les interesan muchísimo”.

Para el también colaborador de la revista Forbes México, en 2018 habrá alrededor de 20 millones de personas que votarán por primera vez y la educación mediática que reciben es a través de los medios digitales, de ahí el que los partidos políticos pretendan acercarse a los youtubers, que son los nuevos líderes de opinión para los millenials.

“Hasta este momento no lo han logrado porque están en esta transición en donde traían estos viejos vicios de la política tradicional, en donde de la misma manera que llenaban una plaza pública con camiones de acarreados, lo mismo sucede en las redes sociales, de repente vemos candidatos que reciben porras virtuales de bots, de gente que no existe.»

«Este modelo no funciona, no funciona sobre todo con los nativos digitales, los millennials, que están acostumbrados a ver este tipo de prácticas que son muy desleales en las redes sociales. Ahora, si un partido político quiere presentar propuestas, generar diálogo, generar conversación con estos votantes, la verdad es que deberán de entrarle a las redes sociales de manera muy profunda, no sólo a través de líderes de opinión sino también a través de campañas de comunicación efectivas”.

El estudio de Hábitos del usuario de Internet en México 2015 reveló que las redes sociales pueden generar hasta casi 5 puntos de diferencia en elecciones, y para 2018 el porcentaje va a aumentar sobre todo por los usuarios que navegan en la red.

Además, en nuestro país casi el 60 por ciento de los internautas tienen menos de 24 años, esto es, 50 millones de personas, por lo que para los políticos será fundamental generar campañas políticas efectivas si quieren atraer a este sector de la población.

Primordial cultura de seguridad para evitar ataques cibernéticos: especialista del IPN

El primer filtro de defensa ante un ataque cibernético debe ser un usuario bien entrenado que sepa distinguir los emails apócrifos y evite caer en el phishing al no abrir correos que contengan archivos  con contenido malicioso (ransomware) o links que redireccionen a sitios sospechosos, comentó Moisés Salinas Rosales, especialista en seguridad de la información del Instituto Politécnico Nacional (IPN).

La defensa cibernética no sólo consiste en activar antivirus, firewalls, o medidas más complejas como Sistemas de Detección de Intrusión (IDS, por sus siglas en inglés) que monitorean constantemente el tráfico web de una computadora, que alertan cuando se visita un sitio extraño. También existe la opción de cifrar los discos duros o software de protección de redes. Para ello, es primordial un usuario bien entrenado y un equipo actualizado.

El investigador politécnico mencionó que abrir un email debe ser como cuando alguien toca a la puerta de tu casa, primero preguntas quién es y verificas si es confiable darle acceso. De lo contrario permites que se metan a tu computadora e instalen un archivo ejecutable o un DLL, oculto como un Word o PDF, que pone en riesgo tu equipo y el de los vecinos, lo cual puede desencadenar ataques cibernéticos como el ocurrido recientemente a nivel mundial por el ransomware WannaCry o WanaCrypt0r 2.0.

Existe una mala cultura de la seguridad cibernética, se debe promover la importancia de verificar las direcciones electrónicas, los links de los emails y las extensiones de los archivos para comprobar su seguridad y autenticidad, para ello sólo basta con copiar el enlace y pegarlo en un block de notas para leer el nombre completo del emisor, dominio web y adjunto, recalcó el experto en ciberseguridad del Centro de Investigación en Computación (CIC). En el caso de WannaCry, el virus entró por vía email, el cual al abrir un archivo ejecutable, que pudo mantenerse oculto como un documento de Word o PDF, permitió la intrusión y el control del equipo.

Después se cifró la información y generó una llave en la computadora infectada que mantuvo la información inservible. Al final se envió el banner que pedía rescate por el secuestro de los datos.Algunas de las empresas afectadas por el WannaCry y que recibieron el aviso con instrucciones para efectuar el pago de bitcoins (moneda virtual) fueron Telefónica en Madrid, la automotriz Renault, así como varios hospitales del Servicio Nacional de Salud de Reino Unido e incluso al ministerio ruso.

Cuando un equipo se infecta con este virus la información se mantiene en la computadora, pero codificada, la cual sólo podrá ser restaurada con una llave que es tan compleja como un certificado o firma digital. Ante esto el experto del Politécnico recomendó, como parte de la cultura de la seguridad, el respaldo continuo de información, ya sea en disco duro externo o en la nube.

Por otra parte, comentó que el tema del ransomware no es nuevo, desde hace cinco años existen casos, sin embargo, este fue el primer ataque a gran escala en el que los puntos de inseguridad que dieron acceso al virus fueron los equipos deficientemente administrados y usuarios mal entrenados.

Muchos de estos ataques son del “día cero” porque explotan una debilidad que recién surgió, en este caso se aprovechó la vulnerabilidad del sistema operativo Windows que permitió el abuso de permisos y atributos por parte del intruso por medio de un puerto que ofrece un servicio específico, que sólo debería tener acceso a cierto contenido de tu equipo, pero esta vulnerabilidad propició que llegara al disco duro, tomara el control y que una vez dentro, el virus se propagara a través de equipos interconectados en diferentes redes, detalló Salinas Rosales.

¿Cómo logró ‘MalwareTech’ detener el ataque informático mundial?

Los virus informáticos son programas de cómputo malintencionados. Entre éstos resaltan los del tipo denominado ransomware, los cuales extorsionan a usuarios de internet secuestrando información y exigiendo pago de rescate a cambio de devolverla. 

Una versión de un virus de este tipo llamado wannacry (quieres llorar) atacó el pasado viernes 12 a cientos de miles de computadoras ubicadas en diversas partes del mundo, causando caos y pérdidas millonarias. En la Gran Bretaña, numerosos hospitales del Sistema Nacional de Salud (el equivalente al IMSS nacional) vieron afectadas sus operaciones, perjudicando a miles de pacientes.1

El ataque fue operado por un grupo de hackers que se hace llamar TheShadowBrokers (“los merodeadores en la sombra”), el cual aparentemente usó información sustraída ilícitamente del sistema nacional de defensa de los Estados Unidos. 

Los efectos del virus fueron especialmente graves en Europa y Rusia, pero cuando la amenaza se estaba extendiendo al continente americano surgió un imprevisto para los criminales. Un anónimo especialista en seguridad informática consiguió que el virus colapsara en un tiempo sorprendentemente corto.

Lo ocurrido en la reciente defensa del ciberespacio presenta semejanzas con la temática de la popular película Osmosis Jones (2001). En la trama del filme, un virus letal llamado ‘Thrax’ infecta al personaje principal, interpretado por el actor Bill Murray. Ante un deceso inminente, y la poca eficiencia de las ‘autoridades localizadas en el cerebro’, una solitaria célula inmune –’Osmosis Jones’–  logra descifrar las características del virus y consigue detenerlo. 

El aún anónimo especialista informático de 22 años, cuyo pseudónimo es ‘MalwareTech’, se convirtió en un equivalente al ‘agente Jones’. A pesar de que numerosos medios de prensa califican a ‘MalwareTech’ como un “héroe por accidente”, un análisis muestra que poco hubo de fortuito en el actuar del modesto experto.

Primeramente, ‘MalwareTech’ usó 10.67 dólares de su cuenta personal para registrar (legalizar) el dominio web incluido en el código del virus y con ello poder examinarlo. El protocolo a seguir era: 

a) Identificar llamadas virtuales a dominios web no registrados para desviarlas a sitios confiables.
b) Establecer una relación geográfica de los ataques para generar alertas oportunas.
c) Identificar puntos débiles en el virus para neutralizarlo.  

Lo que ocurrió fue que al realizarse el registro del dominio miles de computadoras a nivel mundial fueron liberadas en cuestión de segundos. Al igual que en el filme citado, la acción decisiva no provino de burocratizadas unidades de élite adscritas directamente a sectores gubernamentales, sino de la lógica y la ética de un individuo llevadas a la acción.

Inicialmente se pensó que ‘MalwareTech’ había detonado una especie de interruptor de apagado del virus. Un análisis realizado por el mismo cibernauta muestra que la legalización del dominio causó una especie de toque de retirada codificado por los hackers para evitar ser rastreados por las autoridades internacionales. La activación de la orden de retirada ocurrió antes de lo previsto por los ShadowBrokers en virtud de la afortunada iniciativa individual.

El éxito de la estrategia contra el virus wannacry se fundamentó en razonamiento científico. De manera posterior al registro del dominio ilegal incluido en el código malicioso, ‘MalwareTech’ realizó a gran velocidad pruebas con réplicas del virus utilizando enlaces con direcciones web legales e ilegales para concluir acerca de la efectividad del método de control del mismo. Al igual que el legendario Arquímedes, el especialista festejó danzando un moderno “eureka” en su área laboral al descubrir que su labor había sido decisiva para frenar el ataque.2

Lo ocurrido con wannacry es un ejemplo de cómo la preparación y la voluntad en el trabajo cotidiano pueden cobrar enorme relevancia de manera inesperada. Más allá de intereses mercantiles o políticos, el ejercicio profesional realizado de manera ética en momentos críticos da lugar a diferencias fundamentales en favor de la sociedad.

 

Referencias:
1 Una descripción de los efectos causados por el virus “wannacry” puede encontrarse en el sitio web: http://www.bbc.com/mundo/noticias-39903218 
2 La descripción técnica de la identificación y contención del ciberataque puede encontrarse en el sitio web: https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cy… 

«El sentido común es el mejor antivirus»

Especialistas abordaron los diferentes tipos de fraude en internet, tales como el phishing, e instaron a leer las recomendaciones en los trámites en línea, a no descargar programas ilegales y a no compartir datos personales con extraños.

 

El fraude es el delito digital que más se comete en México. El país ostenta el segundo lugar en ciberataques en América Latina, después de Brasil, de acuerdo con Fausto Estrella, representante de la Policía Cibernética de Jalisco.

Durante el foro «Seguridad en internet», el pasado 22 de marzo, Estrella detalló que son varios los tipos de fraude que se llevan a cabo en línea. Entre los ejemplos citados por el funcionario están el robo de identidad, las páginas falsas que ofrecen paquetes vacacionales, y el phishing, para el cual se crean recursos en línea con la intención de captar los datos de los usuarios, por ejemplo, el número de tarjeta de crédito.

El representante de la Policía Cibernética expresó durante la actividad, organizada por el Observatorio de Medios Q ITESO, que más de 60 por ciento de los crímenes cibernéticos se relacionan con el sector financiero. Sin embargo, el tema que más preocupa a las autoridades es el tráfico de menores.

Óscar Fernández, director del Centro para la Gestión de la Innovación y la Tecnología del ITESO, explicó que una alternativa para prevenir los fraudes y los robos de identidad es usar los servicios de las instituciones financieras, como los mensajes que envían al teléfono móvil para avisar que se realizó un movimiento en las cuentas.

Álvaro Parres, coordinador de Ingeniería en Seguridad Informática y Redes del ITESO, sugirió que cuidar lo que se publica en redes sociales es indispensable para proteger los datos personales.

«La internet es una herramienta importante para obtener información, es abierta y está al alcance de todos. Las redes sociales nos permiten ver lo que publicamos, por lo que recomiendo que nada más tengan amigos que conozcan físicamente y que sólo ellos puedan ver lo que publicamos», explicó Parres.

En palabras de Estrella «el sentido común es el mejor antivirus que tenemos», debido a que obedecer las reglas que se pasan de largo, no descargar programas de forma ilegal y ser consciente de con quién se comparte la información en internet son formas para protegerse de los delitos en línea.

En caso de ser víctima de un crimen en la red, cualquier instancia del Ministerio Público (MP) está habilitada para recibir denuncias por escrito y hacerlas llegar a la Policía Cibernética, informó Estrella.

«Levantar la denuncia es sencillo, sólo se relata lo que sucedió en línea. Presentar la información de forma impresa en el momento de la denuncia es mejor para actuar de inmediato», aseguró.

Fernández hizo la recomendación de confiar en la autoridad. «La realidad es que hay una mejora notoria en cuanto al proceso para realizar denuncias», expuso.

En en el caso de las empresas, «al ser las más vulneradas deben de invertir en seguridad y contratar consultores que les ayuden a hacer un análisis de riesgo», recomendó Parres.

Los panelistas invitaron al público a crear una cultura de la seguridad y una red de comunicación para la difusión de recomendaciones para la protección de datos, dirigidas a usuarios que no conocen dicha información.