Proteger tus dispositivos
Se recomienda leer los capítulos Contraseñas y Amenazas digitales a movimientos sociales antes de seguir con este.
- Formas comunes en que los teléfonos celulares y computadoras suelen resultar comprometidos
- Estrategias para proteger teléfonos celulares y computadoras
La cantidad de datos que almacenas en tu teléfono y laptop es asombrosa: contactos, correos electrónicos, fotografías, documentos, calendarios, devoluciones de impuestos, datos bancarios y, en el caso de un teléfono inteligente, con frecuencia una historia detallada de tu ubicación durante todo el tiempo que has tenido ese teléfono. Muchos de estos datos también los compartes con tus proveedores de almacenamiento en la nube (por ejemplo, Apple, Google y Dropbox). Pero ese es el foco del capítulo Proteger tus datos remotos; aquí nos centraremos en proteger los datos que almacenas contigo, en tu teléfono celular o laptop, de ataques remotos o físicos.
Ataques físicos
Con ataque físico nos referimos a que tu adversario obtiene acceso físico a tu dispositivo a través de su extravío, robo o confiscación. Es posible que pierdas tu teléfono en un momento inoportuno que lo ponga en las manos de un adversario en lugar de las manos de un buen samaritano, o que tu adversario robe tu teléfono. Quizás sea más probable que tu teléfono sea confiscado al cruzar una frontera o durante un arresto, ya sea planeado o no planeado.
A quienes fueron detenidos en los arrestos en masa ocurridos durante las protestas contra la investidura presidencial del 20 de enero de 2017 (J20) se les confiscaron sus teléfonos, los cuales fueron inspeccionados con una herramienta de la compañía israelí Cellebrite, que extrae toda la información de un dispositivo (teléfono o computadora) y de todas las cuentas remotas a las cuales ese dispositivo tiene acceso (por ejemplo, Google, Facebook o Dropbox). En el artículo “How to Protect Yourself from the Snitch in Your Pocket”, un acusado por el J20 describió las ocho mil páginas de datos que la herramienta de Cellebrite extrajo de su teléfono confiscado. Recibió la siguiente información de su abogado mientras preparaba su defensa:
- Una lista de todos mis contactos, incluyendo los números telefónicos y correos electrónicos que me contactaron y que no fueron almacenados en mi teléfono, así como un conteo de cuántas veces los llamé y envié mensajes o correos electrónicos, o me llamaron y enviaron mensajes o correos electrónicos.
- La cantidad de correos que recibí y envié y los borradores a cuentas de correo específicas, y cuántos eventos de calendario compartí con dichas cuentas; la cantidad de llamadas de entrada, de salida o perdidas de cada número y si éste se encontraba en mis contactos, así como la duración total de las llamadas entre ese número y el mío. Si estaban en mis contactos y el alias con el cual los llamo desde mi teléfono.
- La cantidad de mensajes SMS recibidos y enviados o borradores dirigidos a cierto número; el contenido de todos los mensajes, incluso si habían sido eliminados, y contando los borradores.
- Contactos de WhatsApp, sus “nombres de usuario” (es decir, el número telefónico junto con su cuenta) y cuántas conversaciones o llamadas tuvieron lugar entre ellos y yo.
- Todas las aplicaciones, cuándo se instalaron o eliminaron, la fecha de último uso, de compra, y los permisos que tenían.
- Archivos de audio almacenados en Google Drive, así como cualquier podcast, nota de voz y tonos de llamada. Fechas de creación, eliminación, modificación y último acceso.
- Todos los eventos de calendario, asistentes invitados, etiquetas de ubicación, etcétera.
- Información tradicional del historial de llamadas, como se esperaría.
- Fecha y hora de todas las conexiones con torres a las cuales se conectó mi teléfono alguna vez, así como su ubicación, vinculada de forma muy conveniente a Google Maps. Un mapa mundial con todas las torres celulares a las que tuvo acceso mi teléfono.
- Conversaciones desde Signal, WhatsApp, SMS, Google Hangouts, TextSecure, GroupMe y Google Docs; una lista de todos los participantes en dichas conversaciones; el cuerpo del texto; si se leyó o no, con fecha de envío y lectura; si estaba destacado o eliminado; todos los documentos adjuntos; las conversaciones incluían las de hace años, incluso antes de que tuviera un teléfono inteligente.
- Toda la información de mis contactos, aunque el contacto hubiera sido eliminado.
- Cookies del buscador de internet.
- Cualquier documento que se haya abierto alguna vez en mi teléfono, incluyendo documentos de texto, adjuntos, Google Docs y los creados por las apps.
- Correos electrónicos y borradores, incluyendo toda la información de envío, el texto completo y hasta 16 documentos adjuntos.
- Imágenes, fotografías, videos, así como su fecha de creación o acceso y todos los metadatos.
- Noventa y seis tuits aleatorios desde una de mis cuentas de Twitter, algunos de ellos de 2013.
- Una lista de todas las redes wifi con las cuales se conectó mi teléfono alguna vez, sus contraseñas, identificadores de hardware y cuándo me conecté con ellas.
- Las últimas cinco veces en que mi teléfono se encendió, incluyendo dos veces dos meses después de que perdí acceso a él.
- Historial de búsquedas en la web y en Play Store.
- Una lista de todas las palabras tecleadas alguna vez en mi teléfono y cuántas veces fue tecleada cada una, incluidos correos electrónicos como palabras, así como palabras que incluí en el diccionario para que no siguieran apareciendo en la autocorrección.
- Lo que llaman mi cronología: todas las acciones que ejecuté (mensajes de texto, correos, búsquedas web, uso de apps, búsquedas en mapas, conexiones wifi o con nuevas torres celulares, etcétera), con su fecha para su fácil clasificación.
¿Qué puedo hacer?
Un detective que atestiguó en un juicio por el J20 señaló que en aquellos teléfonos que tenían habilitado el cifrado solo había podido acceder a información básica de los dispositivo y no al contenido almacenado en ellos. Los iPhones y dispositivos Android dotados de sistemas operativos actualizados cuentan con cifrado habilitado por defecto, en tanto que en computadoras Apple y Microsoft es necesario habilitar esta función. Sin embargo, cifrar tu dispositivo tampoco es una panacea. El cifrado que protege tu dispositivo es tan robusto como la contraseña que lo protege.
Desafortunadamente, las contraseñas para el cifrado de dispositivos experimentan una contradicción entre conveniencia y seguridad. Una frase de contraseña (como se describe en el capítulo Contraseñas) puede requerir seis o más palabras para resistir un ataque físico, pero puede resultar engorroso teclear dicha frase con frecuencia. Hay algunas opciones, y todas implican sacrificios. En teléfonos celulares y laptops puedes modificar la configuración para cambiar la frecuencia con la que es necesario teclear la contraseña, frase de contraseña o código de desbloqueo. (Observa que este cifrado solo está en efecto cuando hay una pantalla de bloqueo habilitada.) O puedes modificar la robustez (longitud) de tu contraseña, frase de contraseña o código de desbloqueo en función de la situación. Sin embargo, estas estrategias dependen de que conozcas en qué momento tu situación requiere mayores niveles de seguridad y de que incrementes tu nivel de seguridad de manera congruente.
En el caso de los teléfonos y algunas laptops, es frecuente que se pueda elegir entre una frase de contraseña o un registro biométrico (como una huella digital). Una huella digital resulta más conveniente que una contraseña tecleada. Para los propósitos del cifrado, tu huella digital se uniría con una frase de contraseña (tan robusta como sea posible). Sin embargo, si tu dispositivo fuera confiscado por cuerpos policiales, podrían forzarte a presentar tu huella digital. Por tanto, cuando hay mucho riesgo de que ocurra una confiscación, debería considerarse eliminar la posibilidad de desbloquear el dispositivo con registros biométricos.
Existen protecciones adicionales contra la interferencia física que uno podría considerar. Un protector de pantalla de privacidad puede evitar que un espía vea las contraseñas (y cualquier otra cosa) que teclees. Las bolsas Faraday pueden impedir que tu teléfono transmita o reciba información; entre otras cosas, esto puede evitar que tu teléfono registre información de ubicaciones. Algunos fabricantes de teléfonos celulares brindan la posibilidad de borrar un teléfono en forma remota y, aunque esto podría ceder el control de tu dispositivo a las mismas corporaciones que podrían compartir tu información con tus adversarios (como se discute en el capítulo Proteger tus datos remotos), puede ser una herramienta útil en ciertas situaciones.
Ataques remotos
Cuando decimos ataque remoto nos referimos a que un adversario podría acceder a los datos de tu teléfono o laptop a través de una conexión de internet o de datos. Existen compañías que diseñan y venden la opción de infectar teléfonos (suelen centrarse en teléfonos inteligentes) con malware que permite al cliente (tu adversario, ya sea una corporación o agente gubernamental) obtener acceso remoto a parte de o toda tu información.
Por ejemplo, Citizen Lab descubrió el uso amplio y diverso del software espía Pegasus, creado y vendido por otra compañía israelí, NSO Group. Valiéndose de ingeniería social para convencer al objetivo de hacer clic en un link, el spyware permite encender el micrófono y grabar desde la cámara del teléfono afectado; registrar llamadas, mensajes de texto (incluso aquellos con cifrado de extremo a extremo) y ubicaciones GPS, y enviar toda esta información al adversario del objetivo. Citizen Lab reportó que se efectuaron ataques con Pegasus contra Ahmed Mansoor, un defensor de derechos humanos con sede en Emiratos Árabes Unidos, y contra veintidós individuos en México, desde políticos en campaña contra la corrupción en el gobierno hasta científicos en favor de un impuesto federal a las bebidas azucaradas.
¿Qué puedo hacer?
Como en el caso de los que vende NSO Group, los ataques remotos dependen de fallas en el software de cómputo conocidas como de día cero. Dichas fallas suelen ser desconocidas para el proveedor del software (por ejemplo, Apple o Microsoft). Hasta que son descubiertas (lo cual ocurre en el día cero), no hay posibilidad de que el proveedor pueda haber arreglado o enmendado la vulnerabilidad, así que no hay posibilidad de que una víctima pueda protegerse. La seguridad de las computadoras suele ser un juego entre gatos y ratones. Los productos de desarrolladores de malware y spyware (como NSO Group) solo son buenos en la medida en que sus objetivos (mejor dicho, compañías como Apple, Google y Microsoft) desconozcan el despliegue del malware. En cuanto lo descubren, corrigen sus productos de manera que el malware deja de ser eficaz.
Sin embargo, dichas correcciones solo funcionan si el objetivo (tú) mantiene el dispositivo actualizado. Por tanto, la conclusión en este punto es que debes instalar todas las actualizaciones de seguridad en cuanto estén disponibles. Desafortunadamente, los teléfonos inteligentes no reciben actualizaciones de seguridad de manera indefinida; de hecho, en el caso de algunos dispositivos, como el Nokia 5.3, su sistema operativo (Android) solo es compatible con éste durante algunos años. Es posible verificar si un teléfono Apple o Android está recibiendo actualizaciones de seguridad en la app de configuración del dispositivo.
Para instalar productos de malware en el dispositivo de un blanco, suele ser necesario el phishing: convencer a la persona de hacer clic en un vínculo o de abrir un archivo (en un correo electrónico o en un mensaje de texto). Así que lo segundo que puedes hacer es tener cuidado de a qué le das clic. ¿Conoces al remitente? ¿Estás esperando algo de ese remitente? ¿Hay algo que parezca sospechoso? Fue, de hecho, estar alerta lo que permitió a Ahmed Mansoor evitar la infección de spyware: envió el mensaje de texto sospechoso a Citizen Lab, lo cual condujo a la denuncia del spyware de NSO Group.
Finalmente, ten cautela con las aplicaciones que instalas y los permisos que les concedes. ¿Necesita una app de linterna tener acceso a tus contactos y a tu cámara? ¿En verdad necesitas instalar el juego creado por un desarrollador de software desconocido? Todas las aplicaciones que instalas son un vector potencial de malware, así que es una buena oportunidad para practicar el minimalismo.
En contexto: Comprometer los teléfonos de manifestantes
En septiembre de 2020 salió a la luz que el Departamento de Seguridad Nacional “extrajo información de los teléfonos de manifestantes” durante el verano de 2020 en Portland, Oregon. Supuestamente, gracias a un novedoso método para clonar teléfonos celulares, el gobierno pudo interceptar comunicaciones desde los teléfonos de manifestantes. Aunque esto es alarmante, y probablemente ilegal, los detalles del ataque permanecen en reserva. Sin embargo, podemos intentar inferir métodos probables de ataque y posibles prácticas de protección.
Si el método de clonación requiere un ataque físico, es probable que los teléfonos comprometidos hayan sido confiscados en arrestos previos durante ese verano. Sin embargo, esto restringe el potencial de vigilancia a los teléfonos de los arrestados y permite que estos dejen de confiar en sus teléfonos o que restablezcan la configuración de fábrica para eliminar cualquier malware.
Por otra parte, si el método de clonación puede efectuarse en forma remota, esto expande en gran medida la cantidad de teléfonos que pueden resultar comprometidos y no tienen una señal de alerta.
En cualquier caso, el uso de cifrado en tránsito y de extremo a extremo podría aun así proteger las comunicaciones de tu teléfono (aunque quizás no los metadatos), como puedes aprender en el capítulo Proteger tus comunicaciones.
Qué aprender a continuación
- Earth First! The Journal of Ecological Resistance. “How to Protect Yourself from the Snitch in Your Pocket.” Invierno de 2017-18. (En protestarchive.org se encuentra una versión digital del artículo.)
- Marczak, Bill, y John Scott-Railton. “The Million Dollar Dissident: NSO Group’s iPhone Zero-Days Used against a UAE Human Rights Defender.” Citizen Lab, 24 de agosto de 2016.
- Schiano, Chris. “Criminalizing Dissent: Contested Evidence Introduced in J20 Trial Testimony.” Unicorn Riot, 30 de noviembre de 2017.
- Klippenstein, Ken. “Federal Agencies Tapped Protesters’ Phones in Portland.” Nation, 21 de septiembre de 2020.
- Vice Media Group. “Phone Crackers.” Consultado el 9 de febrero de 2021.