Al día

¿Cómo nos afecta a los ciudadanos el uso de las herramientas de cibervigilancia?

Román Ramírez Co-fundador de RootedCON

Los casos asociados con la empresa NSO y su herramienta Pegasus han abierto un controvertido debate sobre el uso de herramientas de hacking, cibervigilancia o ciberespionaje a nivel social y en el seno de la Unión Europea.

Tras haberse visto afectados distintos relevantes actores dentro de la Unión Europea y otras regiones del mundo, como el presidente español Pedro Sánchez, el presidente francés Emmanuel Macron o, incluso, fuera del mundo de la política, figuras de la tecnología como Jeff Bezos, se hace necesario extraer conclusiones y proponer medidas de control y mejora.

Pues, ¿qué puede llegar a suponer el uso de estas herramientas? ¿Cuáles son los retos a los que nos enfrentamos como sociedad? ¿Quién puede tener el control? ¿En qué situación quedamos los ciudadanos? Y… lo que es más importante, ¿qué podemos hacer ante el problema?

En cualquier caso, antes de responder a estas preguntas, debemos saber otras.

¿Cómo funcionan estas herramientas?

Este tipo de herramientas y servicios, típicamente, buscan tomar el control de dispositivos asociados a las personas que se desea vigilar. Generalmente, con cierto foco en los dispositivos móviles dado que, dotados de micrófono, cámara y GPS, se convierten de facto en herramientas de vigilancia que el propio afectado lleva voluntariamente consigo.

Se suelen aprovechar defectos y debilidades en los sistemas operativos o las aplicaciones conocidas como vulnerabilidades. Un ejemplo concreto es la famosa vulnerabilidad de llamada perdida en WhatsApp, que permitía ejecutar código malicioso sin intervención alguna del usuario e instalar así un ‘Caballo de Troya’. En el caso de NSO, la herramienta Pegasus.

Tras la explotación de la citada vulnerabilidad, la herramienta de control remoto, también conocida como rootkit, Caballo de Troya o RAT (Remote Administration Tool), puede quedar residente en el dispositivo del usuario, habilitando al Adversario a tomar control de este.

Una vez dentro del dispositivo de la víctima, se puede acceder a todo: contraseñas, correo electrónico, documentos, detalles de navegación, conversaciones y llamadas, posición geográfica y, no lo olvidemos, micrófono, cámara y cualesquiera que sean los sensores que el dispositivo incorpore. En algunos casos, estas herramientas logran aumentar sus privilegios (escalar privilegios) y se hacen con los permisos máximos del dispositivo.

¿Desde cuándo existen este tipo de herramientas y quiénes las usan?

El problema de la cibervigilancia que ha evidenciado recientemente con Pegasus y la empresa NSO no es ni mucho menos nuevo. Desde hace años existen diversas aproximaciones al hacking de dispositivos con la instalación de herramientas de control remoto.

Como ejemplos evidentes, tenemos a organizaciones del cibercrimen, cuyo modus operandi es exactamente este: logran instalar o que la víctima instale sus herramientas de ataque y, posteriormente, se garantizan el acceso, controlando el dispositivo afectado.

En cualquier caso, no hablamos solo cibercriminales, sino de empresas como HBGary o HackingTeam, perfectamente oficializadas y dedicadas a este tipo de intrusiones como servicio que, con el paso del tiempo y su evolución comercial, han ido demostrando que existe un grave problema de control.

En ambos casos, estas empresas sufrieron incidentes severos; en el caso de HBGary, supuestamente el colectivo Anonymous y en el caso de HackingTeam, un supuesto hacker solitario conocido como Phineas Fisher.

Estos incidentes llevaron a que, por ejemplo, se expusieron los listados de clientes de las empresas o, más revelador, el código fuente de las herramientas de espionaje de las empresas.

¿Qué puede llegar a suponer el uso de estas herramientas?

En el caso de HackingTeam, una de las cosas más preocupantes que podemos encontrar en su código fuente filtrado (Wikileaks realizó un análisis detallado) es que existen diversas capacidades para colocar evidencias. Es decir, las herramientas no solamente permiten adquirir evidencias y leer detalles desde los dispositivos infectados, sino que permiten fabricar y colocar evidencias en dispositivos donde no las había.

La gravedad de esto es especialmente alarmante, dado que abre la posibilidad de que agentes de la ley o de agencias gubernamentales puedan instalar en el equipo de una persona una evidencia de, por ejemplo, terrorismo islámico o de pederastia.

Por otro lado, otra conclusión clara e inmediata es que estas empresas incluso han vendido estas herramientas a naciones consideradas antidemocráticas y que claramente las han usado con propósitos poco éticos. Pues, en la lista de clientes completa de HackingTeam que fue filtrada (y está disponible en los repositorios de Wikileaks, entre otros) aparecen ofertas y cobros, así como intercambios de correos electrónicos con países como Sudán, nación con la que HackingTeam había negado sistemáticamente estar trabajando ante comisiones de la ONU.

Sobre NSO, por otra parte, se ha ido elaborando una lista de posibles “clientes”, obtenida a partir de las evidencias adquiridas en dispositivos infectados, conectando las víctimas con posibles actores interesados en ellas. El famoso caso del periodista Khashoggi es uno de los terribles ejemplos que podemos encontrar de este espionaje (y su uso posterior para asesinarlo).

¿Cuáles son los retos a los que nos enfrentamos?

En un mundo hiperdigitalizado, donde el uso de la tecnología es amplio y donde esa misma tecnología permite cosas como el cifrado fuerte o la instalación de herramientas de protección, las fuerzas policiales afrontan importantes retos.

Naturalmente, la investigación tradicional sigue funcionando, con el importante obstáculo derivado del uso de las citadas tecnologías de protección por parte de los criminales y cibercriminales. Por ejemplo, si un criminal usa cifrado fuerte de calidad en sus ordenadores y no ha cometido ningún error, es altamente improbable que se pueda acceder al contenido de esos ordenadores, incluso habiendo sido requisados.

El uso generalizado de estas medidas de protección nos lleva a que, en muchos casos, la única forma que tienen las agencias policiales para monitorizar al criminal es instalar algún tipo de herramienta spyware en esos dispositivos. Un ejemplo interesante fue el del famoso cartel de Cali, donde hacían uso intensivo de tecnologías de protección y cifrado para evitar ser rastreados o interceptados o, incluso, para hacer contravigilancia y espiar a políticos, fuerzas policiales o competidores.

Con ello, este uso, siempre avalado por un proceso judicializado, donde un tribunal ha autorizado el despliegue de estas herramientas, debe ser legítimo para que las fuerzas policiales puedan investigar y realizar su función de Guardianes dentro del ámbito democrático y constitucional.

De la misma manera que con las agencias policiales, sucede con las agencias de inteligencia, que deben poder realizar sus funciones, pero siempre bajo riguroso control democrático.

¿Dónde reside el control?

El problema esencial del uso de este tipo de herramientas reside en la brecha entre países asumidos como plenamente democráticos y otros países.

En las naciones que consideramos democráticas, la cuestión de si las empresas especialistas en spyware pueden o no vender estas herramientas se diluye. Claramente, podemos equipararlas a la venta de armas y estas ventas están reguladas, controlando su distribución y su uso. ¿Dónde encontramos los problemas? Cuando el control no es suficiente.

¿Por qué? Porque los propios usuarios de las herramientas spyware no comprenden bien cómo deben controlarse y porque pueden no querer que se controlen. Sin duda, los escenarios son muy subjetivos y nos llevan a sesgos de legitimidad. En cualquier caso, hay agentes que sí deberían poder emplear este tipo de tecnologías, del mismo modo en el que el control de su uso debería ser extremo.

En el caso de los países que podemos no considerar plenamente democráticos es donde reside el problema más importante. Pues, en un complejo escenario geopolítico, ¿cómo se decide que una nación concreta pueda o no adquirir estas soluciones?

Se podría intentar elevar alguna lista a través de acuerdos internacionales en un intento de gestionar la venta de estas herramientas y servicios y aplicar el máximo control. No obstante, siempre habrá sesgos ideológicos que determinarán en qué casos los objetivos parezcan o no legítimos.

¿En qué situación quedamos los ciudadanos?

Los ciudadanos nos enfrentamos a una situación complicada, dado que nuestros derechos fundamentales están en juego. Si no existen los adecuados controles para este tipo de tecnologías, se van a producir abusos.

Tenemos evidencias más que de sobra que exponen los abusos a periodistas, activistas, ciudadanos inocentes o, incluso, a personas del sector privado cuyo único delito ha sido interponerse en los intereses económicos de grandes holdings o de personas particulares. Es imposible negar la realidad del abuso, una vez más.

¿Qué podemos hacer ante el problema?

Los ciudadanos debemos exigir que las fuerzas policiales y las agencias de inteligencia realicen su función, desde luego, pero con los pertinentes y rigurosos controles que aporten el máximo de garantías en el respeto estricto a los Derechos Fundamentales.

Si como sociedad impedimos el uso de herramientas spyware para este propósito, podemos enfrentarnos a que se demanden otras medidas aún más graves que el uso de estas “ciberarmas”.

Por ejemplo, dado que existe el cifrado fuerte, si no damos opción al uso de las ciberarmas, la conclusión puede ser que estos actores presionen para que se debilite el cifrado fuerte o que sea ilegal el uso de herramientas de protección por parte de los ciudadanos. Sin embargo, de cualquier modo, este tipo de medidas, lamentablemente, no impiden al criminal realizar sus actividades y si erosionan de forma grave los derechos de los ciudadanos. 

Por ello, la Democracia sí debe habilitar este tipo de herramientas como opción menos perjudicial. Pero para que este tipo de tecnologías puedan usarse, el control de ellas debe ser extremo. No debe poder realizarse un uso de estas para el que no existen distintos registros que sean auditables por la Democracia.

Adicionalmente, todo mal uso o abuso debería tener consecuencias extraordinarias. Recordemos que los ciudadanos otorgamos poderes excepcionales a los Guardianes para que, en nuestro nombre, defiendan la Democracia.