El cinco de julio de 2015 un grupo de hackers infiltró Hacking Team y reveló que esta compañía italiana había vendido su infraestructura de espionaje a cerca de treinta y cinco gobiernos y entidades gubernamentales del mundo. Esta plataforma informática que fue creada por Hacking Team (HT) para interceptar y recolectar datos de computadoras o celulares de terceros, se llama Remote Control System Galileo (RCS). Los hackers –personas muy hábiles con las computadoras– de HT han desarrollado y perfeccionado este sistema que es vendido –directamente o por medio de partners– a gobiernos para que sea utilizado por sus espías. La noticia de que esta empresa –calificada como los enemigos de Internet– había sido hackeada se viralizó en redes sociales, junto con los documentos que eran confidenciales, y cientos de ciudadanos dijeron que se sentían vulnerables ante posibles ataques y espionajes. Aunque RCS es un sistema complejo, aquí explicaré cómo funciona esa intrusión y cómo nosotros podemos protegernos, de alguna manera.

RCS es una plataforma que se usa para la intrusión y espionaje electrónico que consta de cuatro partes principales: un Control Central, varios Colectores de Información, varios Anonymizers y agentes de intrusión. Es un conjunto de aparatos configurados y ubicados en distintos países del mundo para que el espionaje se realice sin que la víctima o terceros se enteren. Entre sus servicios, Hacking Team también ofrece algo así como bonus track: es un dispositivo electrónico llamado Network Injector, que sirve para infectar computadoras por medio de la red Wifi o usando la infraestructura del proveedor de Internet. HT vende este software para que los gobiernos lo instalen y utilicen, y también capacitan a uno o varios de los espías para que aprendan a manejarlo. Los espías locales son los que hacen el “trabajo sucio” y si necesitan apoyo o soporte, consultan al equipo de HT con sede en Milán.

El procedimiento de espionaje comienza cuando se implantan los agentes de intrusión en un teléfono, tablet o computador de la persona a espiar. Las formas más comunes de implantar estos virus son por medio de links, correos electrónicos o archivos enviados.

Cuando los virus se activan pueden obtener todo tipo de datos del aparato donde se ha implantado: nombre del dueño del equipo, modelo, correos electrónicos, claves, contactos, ubicación del GPS, lista de software instalado en el equipo, llamadas, mensajes, fotos, capturas de pantalla. El destino final de la información que roba el virus es el Control Central pero los virus no llegan directamente a él: están fabricados con una característica que les impide comunicarse directamente porque si lo hicieran, se revelaría el origen de los espías. En esta parte del proceso aparecen los Anonymizers, unos servidores que están distribuidos en varios países, y sirven para conservar el anonimato en caso de que se inicie un análisis informático forense o se reciba un contra ataque. El otro propósito de los Anonymizers es garantizar el anonimato del Colector de Información, encargado de recibir la información recolectada por todos los virus implantados. Al final de este cuidadoso proceso, cuando los datos llegan hasta el Control Central, este organiza la información alojada en los Colectores para que los espías –estos sí humanos– puedan acceder a todos los datos recolectados de sus víctimas.

Así concluye la manera más general de realizar el espionaje, pero existe una forma de robar información que incluye el Network Injector. Este aparato también implanta virus directamente en la red de Internet de la víctima. Para esto, un dispositivo electrónico –del tamaño y forma de un CPU vertical– debe ir instalado en la infraestructura de red del proveedor de Internet. Aquí no es suficiente la agilidad de los espías informáticos a miles de kilómetros sino que se necesita el aporte de un tercero que se encuentre en el país de quien está siendo espiado y pueda implementar este dispositivo en las oficinas del proveedor de Internet. Es decir que el espía debe tener la ayuda o complicidad del proveedor. El Network Injector tiene una versión portátil –para laptop– que también interfiere el Internet pero a través de la red Wifi, sin requerir la ayuda del proveedor de internet. Esta no debe ser presencialmente pero el espía debe estar cerca de la víctima para captar la señal de Wifi.

Para que toda esta infraestructura de espionaje funcione, el primer paso es que los agentes de intrusión sean creados e implantados en los dispositivos electrónicos de las víctimas. Para esto, HT ofrece un conjunto de herramientas –programas con plantillas de virus– para diversas plataformas –Windows (32 & 64 bit), MacOS, Windows Mobile, Android, iPhone, Blackberry y Symbian–. Por ejemplo, el espía decide crear un virus y selecciona una plantilla y luego le agrega las características extra que quiere que tenga como prender micrófonos o cámara. Con esta herramienta y con entrenamiento en ingeniería social –la práctica de obtener información confidencial a través de manipulación– que también ofrece HT, los espías están capacitados para distribuir los virus sin que sus víctimas sospechen. Hay varias maneras cómo los espías entrenados por HT distribuyen los agentes de intrusión a sus víctimas. Algunas son: infecciones de virus en la computadora al romper las seguridades de su wifi, enviar archivos DOCx o PPTx infectados por medio de correos falsos, y hasta enviar mensajes de noticias en Facebook o Twitter con links que al abrirse infectan la máquina antes de dirigirle a la noticia o artículo mencionado. En todos los casos, la víctima siempre es infectada y posteriormente espiada, sin darse cuenta.

Después de que se instala el virus, el espionaje puede evolucionar. Luego de que el Control Central implanta los virus, es capaz de darles más potencialidades, como instalar o desinstalar software, activar o desactivar cámaras y micrófonos, plantar archivos en cualquier carpeta del disco. Por ejemplo, cuando se implanta un virus en una computadora, este le “dice” al Control Central: “la máquina infectada tiene cámara de video”, y el Control Central actualiza el virus para que tenga la capacidad de prender y grabar video. Así, el virus enciende la cámara, y se graba lo que ocurre en la oficina donde esté la computadora. La persona que está siendo espiada no tiene manera de saber que eso está ocurriendo porque el virus enciende los dispositivos sin que los íconos que muestran actividad estén en la pantalla. O sea, se enciende la cámara pero el ícono la muestra como apagada. Es un ataque silencioso.

La información divulgada de Hacking Team y los correos, por Wikileaks demuestran lo vulnerables que somos con respecto a nuestra privacidad. Los antivirus, por ejemplo, no son garantía de protección porque se vuelven obsoletos cada vez que se crea un nuevo agente de intrusión. Hay una herramienta para detectar virus de HT en Windows. Aunque son pocas, hay opciones para protegernos que fueron revelados en los mismos mails revelados. Nombraré algunas recomendaciones para evitar que virus ingresen a sus dispositivos electrónicos.

  • Para evitar el acceso de agentes de intrusión por medio de .DOCx, PPTx, PDF o cualquier otro tipo de archivos, el usuario siempre debe sospechar de mensajes que contengan este tipo de archivos y que no se esperaban recibir. Es relativamente fácil imitar la dirección de un correo electrónico para que parezca que proviene de alguien conocido. Si usted no estaba esperando un mail con un archivo adjunto, pregunte al supuesto remitente si realmente es para usted antes de abrirlo.
  • Nunca promueva cadenas de correos con archivos PPTx que contengan imágenes y sonidos de entretenimiento. Los espías usualmente crean este tipo de archivos para difundir sus virus de manera masiva: el usuario los abre y mientras se muere de la risa con la broma, el virus se instala en su computadora. El archivo contiene videos y fotos y sonidos que el usuario ve pero también contiene el virus que no puede ver. En Ecuador se detectó un archivo disfrazado de hoja de vida para difundir virus. Si recibe este tipo de correos, elimínelos aún cuando provengan de gente conocida.
  • No abra links cortos (por ejemplo bit.ly, goo.gl,) en mensajes recibidos por Facebook, Twitter o correo electrónico, sin antes asegurarse cuál es la dirección final a la que estos apuntan. Si desea abrir estos links cortos, utilice herramientas como longurl.org. Esta indica todas las URLs que son abiertas por el browser antes de llegar a la dirección web esperada. Los espías utilizan acortadores de direcciones web para redireccionar a la víctima a una dirección intermedia donde esconden el virus. Luego que la víctima es infectada en la dirección web intermedia, esta es redireccionada inmediatamente a la página web final para evitar sospechas. Este proceso de infección es indetectable por el usuario pues toma pocos segundos y la víctima siempre es llevada a la página web esperada.
  • Encripte sus comunicaciones de correo electrónico. Rafael Bonifaz tiene un interesante artículo donde enseña a realizar esta labor paso a paso.
  • No utilice Whatsapp, Telegram, Skype o Lime para comunicaciones sensibles. Use Textsecure para móviles o Cryptocat para chatear en la computadora.
  • No use FLASH ni Internet Explorer cuando navega en Internet en su computadora. Si es posible, desinstale ambos softwares. De acuerdo a algunos correos revelados por Wikileaks, las máquinas que son infectadas deben tener estas aplicaciones instaladas. Los mismos correos indican que no pudieron infectar máquinas que usan Firefox.
  • No use software pirata porque puede venir con virus. Instalarlo en su computadora puede abrir la puerta a espías de cualquier parte del mundo.
  • Aprenda a usar Linux como sistema operativo. RCS y sus agentes de intrusión son compatibles con Linux pero el espía va a necesitar que la víctima voluntariamente instale el virus.

Existen otras empresas que, como HT, siguen creando y vendiendo herramientas para espiar a ciudadanos de todo el mundo. De esta manera la tecnología ha perfeccionado el espionaje hasta el punto de que un italiano a más de diez mil kilómetros de Ecuador puede obtener información de las conversaciones privadas de reuniones, archivos, fotos, y detalles de la vida privada de un quiteño, sin que él lo sospeche. Somos pequeños frente al monstruo que trabaja con 35 países y logró intervenir en tres medio digitales ecuatorianos, pero lo que nos queda es informarnos y aprender, lo mínimo, de seguridad informática para protegernos.