Desde hace varios años los medios de comunicación han publicado información sobre interceptaciones ilegales a opositores de los gobiernos de turno, activistas sociales y periodistas. Hace una década en Colombia este hecho llevó a que se clausurara un organismo gubernamental entero encargado de la inteligencia llamado DAS.

Este tipo de prácticas han reaparecido en Colombia tal como lo publicó la revista “Semana” donde se acusa a un coronel del ejercito que hace una semanas había renunciado. Se cree que él estaba a cargo de equipo de inteligencia militar que interceptaron ilegalmente las comunicaciones de ex-gobernadores, activistas y un alto magistrado que lleva un caso del ex-presidente Alvaro Uribe. La información, según revela el medio informativo colombiano, era enviada a un miembro del partido político Centro Democrático que aún no ha sido revelado.

El testigo que cita Semana indicó que interceptaban conversaciones en chats como Telegram web, llamadas telefónicas a través de celular y correos electrónicos, esto se logró gracias a un malware que compró el ejercito colombiano a una empresa española de ciber seguridad por más de 300 mil dólares. Aunque el contrato que revelo el medio colombiano indica que el costo fue por alrededor de 1 millón de dólares, incluye la capacitación, equipos de computo y servicios en la nube necesarios para la labor de espionaje.

¿A quién contratan para espiarnos?

Hace unos años The New York Times reveló que el gobierno mexicano había contratado a la empresa israelí NSO Group para espiar a activistas de derechos humanos y periodistas, el software que esta empresa vende hace parte de su slogan “INTELIGENCIA CIBERNÉTICA PARA SEGURIDAD Y ESTABILIDAD GLOBAL”. Usa un virus llamado Pegasus que en 2019 metió en problemas al fundador de Amazon. Según el medio estadounidense Financial Times, este troyano ahora es capaz de acceder a la nube de Google, iCloud e incluso Facebook.

La primera vez que se escuchó hablar de Pegasus fue en agosto de 2016, cuando los investigadores de Lookout y Citizen Lab descubrieron una «amenaza activa que utiliza tres vulnerabilidades críticas de zero-day para iOS que cuando son explotadas, forman una cadena de ataques que subvierten incluso el sólido entorno de seguridad de Apple» (esta vulnerabilidad fue solucionada por la compañía ese mismo año).

Según los informes financieros de NSO cuenta con más de 60 agencias gubernamentales de 30 países como clientes. Aunque el portavoz de esta compañía ha indicado que no tienen nada que ver con ninguno de los escándalos donde se mencionan, tampoco se atribuyen la creación de Pegasus, sin embargo, aún así siguen existiendo dudas sobre el desarrollo que hacen de spyware para distintos países.

En el caso Colombiano la empresa contratada por el ejercito fue Mollitiam Industries, en su sitio web proporcionan poca información sobre lo que realmente pueden hacer pero indican que pueden tomar información hasta de la DeepWeb. Su Directorio ejecutivo Samuel Álvarez Gonzáles, dice estar en este cargo según un perfil en LinkedIn desde agosto del 2018. Lo que podría indicar que el malware no es creado por Mollitiam Industries pues según el registro en el sistema de Cámara de Comercio de Toledo en España. Esta empresa comparte domicilio con el Grupo In-nova del cual también es director Samuel Álvarez Gonzáles, como lo indica una reseña del Master Dirección Tecnológica; que si bien fueran expertos en seguridad su página web tendría por lo menos el certificado SSL pues a la fecha no lo tienen.

El director ejecutivo de la empresa contratada por el ejercito fue conferencista en el año 2019, en una exposición privada mostró un caso real, en vivo, de monitoreo y acción sobre Fuentes Abiertas para enfrentar focos de desestabilización y control de masas en procesos electorales y huelgas generales en el ISS World Latinoamérica justo un mes antes de que una huelga nacional en Colombia iniciara.

Existirán muchas preguntas sobre quién creó realmente el malware, pues desde la perspectiva tecnológica alguien que cree sistemas de hacking tan avanzadas no estará a simple vista.

¿Cuáles son los servicios más vulnerables que NO deberías usar?

Cuando realiza una llamada convencional desde un teléfono fijo o un teléfono móvil, tu llamada no está encriptada de extremo a extremo, esto quiere decir que mientras pasan los datos por la red el operador o el gobierno te puede escuchar. Lo mismo sucede cuando envías un mensaje de texto (también conocido como SMS). Ambos sistemas de comunicación permiten a los gobiernos o cualquier otra persona, con poder sobre la compañía telefónica, leer tus mensajes o grabar sus llamadas.

Algunas alternativas para escribir o llamar que deberías usar son Sigal o Telegram, estas dos empresas usan lo que se conoce como encriptación de extremo a extremo, WhatsApp ha sido vulnerado y por esta razón dejo de ser una herramienta segura.

¿Cómo mejoro mis hábitos de seguridad para evitar seguimientos?

Si manejas temas de relevancia, investigaciones políticas o altos secretos empresariales, debes tener en cuenta las siguientes recomendaciones para reducir el riesgo de ser espiado por tu gobierno, contradictor o tu competencia. Ten en cuenta que si tomas estas medidas desde ahora puede que tu celular o computadora ya estén infectados y estos tips no te sirvan de nada.

  • Cuando compres tu celular hazlo tú mismo y no envíes a tu asistente.
  • Configura tu celular nuevo tu mismo, si necesitas ayuda para hacerlo que sea en tu presencia.
  • Descarga aplicaciones desde las tiendas autorizadas de Google y Apple únicamente, no instales ningún archivo que te envíen.
  • No introduzcas ninguna USB en tus equipos, Mark Zuckerberg hace unos años mostró como su computadora tenía cintas en los puertos USB y su cámara.
  • Usa siempre tu computadora personal y no la de un amigo, oficina o despacho.
  • Cambia de correo electrónico de Yahoo, Outlook (Hotmail) o Yahoo y usa Protonmail
  • No uses la autenticación en dos factores de SMS, estos pueden ser interceptados y puedes estar enviando el código de accesos necesario si ya descubrieron tu clave “123456*”
  • No realices llamadas por tu celular, usa los servicios de llamadas de las aplicaciones.
  • No instales software pirata en tu computadora, estos no te permitirán instalar las ultimas versiones que vienen corregidas para evitar ataques y al ser modificadas ya pueden incluir virus espías.
  • No te conectes a un wifi público a menos que uses alguna VPN cómo NordVPN o ExpressVPN (el wifi es público cuando no tiene contraseña o cuando todos la tienen)
  • Revisa todos los días las actualizaciones disponibles de tus apps y software.
  • Usa claves que contengan varias palabras y no uses la misma en todos las cuentas.
  • Si administra muchas claves usa una app segura como 1password y no el blog de notas de tu equipo.
  • Si no quieres dejar evidencias sobre tu dinero, usa criptomonedas. Ten en cuenta que este sistema es semi-privado, si conocen tu llave pública podrán conocer todas tus transacciones.

Es muy común ver cómo alcaldes, concejales y hasta ministros usan WhatsApp para comunicarse y tocar temas importantes y peor aún usan las llamadas telefónicas tradicionales por celular, hay que tener en cuenta, como lo indica el portal Surveillance Self-Defense, “En términos más generales, las características de seguridad y privacidad no son las únicas variables importantes para elegir un método de comunicación seguro. Una aplicación con excelentes características de seguridad no tiene valor si ninguno de sus amigos y contactos la usa».

Realmente lo que debes propiciar en tu equipo de trabajo es la importancia sobre la seguridad y realizar conjuntamente una migración a apps más seguras y generar hábitos de seguridad con las personas que hablas.