Tecnología digital

'Caso Pegasus': los expertos te explican cómo puedes blindar tu móvil contra los programas espía

El presidente del Parlament, Roger Torrent.

“El software de espionaje Pegasus aprovechó una vulnerabilidad de WhatsApp para acceder a 1.400 terminales móviles entre abril y mayo de 2019. De ellos, ha quedado acreditado que al menos un centenar fueron espiados de forma abusiva y por motivaciones políticas. Hablamos de líderes sociales, abogados, activistas, periodistas y políticos. Entre ellos, yo mismo”. Con estas palabras el presidente del Parlament de Cataluña, Roger Torrent, confirmaba este martes las informaciones publicadas por El País y The Guardian, que apuntaban que su móvil fue víctima de Pegasus, un programa de la compañía israelí NSO al que solo pueden acceder Gobiernos para combatir el crimen. A través de una llamada perdida de vídeo de la aplicación de mensajería, el software se valió de un fallo de seguridad de Whastapp para intentar introducir el programa ente abril y mayo de 2019 en 1.400 dispositivos móviles, según asegura el grupo de ciberseguridad Citizen Lab.

El programa permite recabar información del terminal y acceder a su disco duro, así como escuchar conversaciones e incluso acceder a la cámara y el micrófono del dispositivo en el que se instala. Aunque ha quedado probado que Torrent (junto al diputado autonómico Ernest Maragall, de ERC, la exdiputada de la CUP Anna Gabriel y el activista Jordi Domingo) fue víctima del ataque, no se ha esclarecido que el mismo tuviera éxito y hubiera hackeado efectivamente el dispositivo del presidente, aunque las informaciones apuntan en esa dirección. La vulnerabilidad fue corregida posteriormente por WhatsApp, después de la advertencia de Citizen Lab.

Mientras que Torrent rápidamente ha vinculado el ataque con una “guerra sucia” por parte del Estado, por el momento es imposible averiguar su origen. El Gobierno se ha desmarcado de la supuesta operación, alegando que sus acciones se ajustan a la ley, y no hay pruebas de que sean clientes de NSO, pese a que VICE publica informaciones que probarían esa relación. El País remarca que el Gobierno habría usado un programa similar por lo menos hasta 2015. Enric Luján, miembro de Críptica –asociación sin ánimo de lucro centrada en la defensa de la privacidad y la seguridad–, ve difícil que se conozca la fuente del ataque. “Se podría saber a través de una filtración de la propia empresa o algo más específico”, apunta el experto en ciberseguridad. “Se supo que el CNI contrató a Hacking Team, y se supo a través de una filtración la base de datos”, pero sin ese tipo de informaciones, y resguardados por una fuerte política de privacidad, es difícil averiguar los clientes de estas compañías. “Lo que se sabe de VICE, es que asegura que España es un cliente. Aunque correlación no implica causalidad, no podemos asegurar el origen de los ataques”, asegura Luján, que argumenta que difícilmente transcenderán más informaciones y nuevos ataques del software una vez arreglada la vulnerabilidad.

La gravedad del caso ha reavivado el debate sobre la ciberseguridad y los peligros a los que nos vemos expuestos a través de esta herramienta que ya forma parte de nuestra rutina, donde la cotidianidad nos ha llevado a desnaturalizar el dispositivo y a volvernos más inconscientes sobre sus usos. “El móvil se ha convertido en el blanco ideal para pinchar en la vida de alguien”, asegura Luján. “A día de hoy es un jackpot prácticamente seguro”. Por ello es clave replantear nuestra relación con la tecnología y valorarla como una herramienta que posee los mismos peligros que un ordenador, y en la que depositamos gran parte de nuestra información personal con los riesgos que ello conlleva. “Si partimos de la hipótesis de que todo es inseguro, implica en que todo puede acabar viéndose comprometido”, razona el experto, que apuesta por adoptar una actitud beligerante con este dispositivo.

“El problema de la seguridad informática es que estamos en un limbo. Sabemos que estos programas existen, pero evidentemente no sabemos si los llevamos encima ni si siguen activos o no”, comenta Luján. Algo tan banal como actualizar las aplicaciones o el sistema operativo cuando se pueda puede suponer la diferencia a la hora de ser objetivo de estos ataques, aunque también hay que ser conscientes del hardware del dispositivo, negando cuando no sea necesario la visión de las cámaras, por ejemplo. “El tema de los micrófonos ya es algo serio, con modelos que incorporan seis o siete micrófonos, y es muy difícil taparlos todos, además de que se perdería funcionalidad”, argumenta el experto.

En cuanto al software, Luján recomienda “unas políticas de austeridad draconianas” con los permisos que otorgamos a las aplicaciones, limitándolos a los esenciales para que estas puedan operar, y dar acceso a estas funciones únicamente cuando se vayan a emplear. Descargar únicamente aplicaciones de confianza a través de las tiendas oficiales, mantenerlas constantemente actualizadas para subsanar vulnerabilidades, instalar antivirus y realizar periódicamente copias de seguridad son los principales consejos que recomiendan los expertos a la hora de mantenernos protegidos y poder mitigar daños en caso de que suframos un ataque grave. También es recomendable cambiar periódicamente de contraseña –y a ser posible, a través de un generador aleatorio– , implementar un sistema de credenciales (claves, lector de huellas, instrucciones de voz…) e instalar programas de seguimiento para protegernos en caso de robo.

Pero no todos los peligros llegan a través del software. Una de las tácticas más comunes de robo de datos es el phishing, un conjunto de técnicas que buscan obtener datos de la víctima ganándose su confianza y siendo ella misma quien los ceda. El método principal suele ser a través del envío de correos electrónicos a través de los cuales, mediante una suplantación de identidad, se pida al usuario datos personales como la cuenta bancaria. Estos correos, pese a lo burdos que puedan suponer algunos, han ido evolucionando y refinándose en el tiempo, llegando a imitar a la perfección los enviados por las propias entidades. En estos casos los expertos recomiendan comprobar la dirección del remitente, y utilizar siempre los portales, aplicaciones y canales oficiales de dichas entidades, así como nunca otorgar datos personales que nunca nos pedirá banco. Normalmente el importe que se sustrae en estas operaciones es inferior a 400 euros –límite penal entre hurto y robo–, y suelen ser realizados a través de terceros para que no se pueda seguir el rastro. Pese a que suponen un fenómeno globalizado, una gran parte tienen su origen en países más laxos con leyes relacionadas con la piratería o las estafas, como Rusia o India.

Torrent y Maragall llevan a la ONU, al Consejo de Europa y a Amnistía Internacional su caso de "espionaje político"

Torrent y Maragall llevan a la ONU, al Consejo de Europa y a Amnistía Internacional su caso de "espionaje político"

Sin embargo, la mejor herramienta contra las ciberamenazas es la concienciación y prevención, conociendo de antemano los riesgos a los que estamos expuestos. Para ello el Instituto Nacional de Ciberseguridad (INCIBE) desarrolló el portal Oficina de Seguridad del Internauta (OSI), una web donde acceder a la información y soportes necesarios para poder utilizar estas herramientas de forma segura. En la página se recogen los principales peligros a los que están expuestos los móviles, así como guías para configurar los dispositivos y diferentes consejos para asegurar la privacidad.

OSI también recoge recursos y herramientas gratuitas de otras compañías con las que mantener a salvo tus dispositivos. Además ofrecen soporte técnico a través de la línea telefónica 017, así como formularios de contacto y reportes de fraude. El INCIBE también ofrece un catálogo de empresas de ciberseguridad, donde se puede consultar un listado completo, o buscar un servicio específico a través de un buscador. Por otro lado, la asociación Críptica publicó el 30 de junio de 2019 Resistencia Digital. Manual de seguridad operacional e instrumental para smartphones, una guia de seguridad para dispositivos móviles, que se puede descargar gratuitamente en PDF.

En el peor de los escenarios, y si hemos sido víctimas de un malvare, phissing, o cualquier delito informático, es vital realizar una denuncia en los Cuerpos de Seguridad del Estado, donde la Brigada Central de Investigación Tecnológica de la Policía Nacional, o el Grupo de Delitos Telemáticos de la Guardia Civil, que iniciarán la investigación pertinente, así como ponerse en contacto con las entidades bancarias o administraciones públicas afectadas.

Más sobre este tema
stats