Objetivo del ciberespionaje: romper la encriptación

CIUDAD DE MÉXICO (apro).- Cada vez con más frecuencia, los gobiernos, fabricantes y distribuidores de programas de espionaje se concentran en combatir el cifrado, la navegación anónima y el desarrollo de la red profunda o “deep web”.

Prueba de ello es la feria ISS World Latin America, que atrae por igual a fabricantes de esos programas, representantes gubernamentales, compañías de telecomunicaciones e intermediarios de la distribución de ese software y que se lleva a cabo del 10 al 12 de este mes por segunda ocasión consecutiva en un hotel de Polanco.

Con el lema “Sistemas de apoyo de inteligencia para la intercepción legal, la vigilancia electrónica y la recolección de inteligencia cibernética”, el foro de la cibervigilancia consta de cinco tracks o conjuntos de conferencias, como “Sistemas de soporte de inteligencia para interceptación legal” (sic) e “Investigaciones criminales, monitoreo de tráfico encriptado y capacitación en productos de intrusión de tecnologías de información, capacitación para agentes de la ley y analistas de inteligencia”, y se incluyen demostraciones de productos, así como inteligencia de fuentes abiertas para detección de amenazas, redes sociales y monitoreo de la red oscura y localización móvil, espionaje.

Uno de los seminarios del programa, impartido por Charles Cohen, comandante de la Sección de Tecnologías Investigativas de Cibercrímenes de la Policía del estado de Indiana, y fundador de la consultora Cohen Training and Consulting, LLC, versa sobre coordenadas de formato de fichero de imagen y geolocalización de dispositivos para investigaciones y seguridad operativa, estudio de casos de explotación de vulnerabilidad de metadatos y reconocimiento facial, así como “lo que los investigadores necesitan saber sobre tecnologías emergentes utilizadas para ocultarse en internet”.

En otro seminario, exclusivo para miembros de agencias de gobierno, Mark Bentley, experto en datos de comunicaciones de la Agencia Nacional para el Cibercrimen de la policía inglesa, expuso sobre “Conciencia de tecnologías emergentes, tecnología de encubrimiento y herramientas, TOR y proxies”.

En una de las sesiones, Alfredo Gabriel Larráñaga, director de Ventas y Mercadeo de la estadunidense Verint Systems, habló sobre obtener valor de inteligencia a pesar de los retos de la creciente encriptación.

Por su parte, un representante de la italiana IPS disertó sobre la intercepción legal en 2016 referida a servicio de voz sobre red de banda ancha inalámbrica para la conexión de teléfonos inteligentes y dispositivos móviles (LTE, por sus siglas en inglés) y análisis de metadatos de servicios encriptados como Whatsapp, Viber y Telegram. Esto último significa que tales servicios no son vulnerables a intromisiones de terceros.

El representante del IPS también brindó la sesión “¡Más allá de la interceptación legal sin necesidad de hackear! Una nueva aproximación a la investigación del Protocolo de Internet de servicios encriptados como Facebook, Gmail y Whatsapp”, otra demostración de la violabilidad de la privacidad de los usuarios.

“Hay mucha información que es retenida por las empresas, a pesar del uso de la encriptación. Las autoridades tienen más acceso que antes a documentos, registros y metadatos. La encriptación es vista como una medida de seguridad, pero es posible monitorear el contenido”, señaló a Apro el canadiense Christopher Parsons, investigador asociado del Citizen Lab, proyecto de análisis de tecnología de la Escuela Munk de Asuntos Globales de la Universidad de Toronto.

Organizada por TeleStrategies, Inc., fundada en 1980 y con sede en McLean (Virginia) —cuna de buena parte de las agencias de inteligencia de Estados Unidos—, los patrocinadores de la feria son las italianas Aqcsacom, AREA e IPS; las francesas Trovicor y Verint, y la mexicana SYM Servicios Integrales. Los dos últimos, como lo ha revelado Apro, son contratistas del gobierno mexicano.

Llamativa es la aparente ausencia de la italiana Hacking Team, de quien el gobierno mexicano es cliente (Proceso No. 2019), del bazar, fuertemente resguardado y alejado de los curiosos.

Si bien esa empresa no aparece en la agenda, un folleto obtenido por Apro la incluye como patrocinadora. Además, anunciaba la presentación “Herramientas de espionaje de última tecnología”.

A esa corporación le impactó el hackeo de cientos de e-mails en 2014 y que exhibió sus tratos de negocios en todo el mundo y cómo los países compradores usan los programas intrusivos.
La feria muestra también la incursión de empresas emergentes, como la estadunidense Encryptech Group, con oficinas en Miami y Ciudad de México, con la presentación “Mapeando lo invisible – Un viaje al descubrimiento de servicios ocultos de TOR”.

Futuro en el limbo

Las fabricantes europeas citadas y otras presentes en la feria –la alemana Utimaco TS GmbH, la inglesa FinFisher y la española Agnitio–, pueden pronto enfrentar barreras regulatorias.
La Comisión Europea está por emitir reglas más estrictas para las licencias de exportación de tecnologías de vigilancia.

El borrador, de 34 páginas, incluye entre los objetos de permiso equipo de interceptación de telecomunicaciones móviles, programas de intrusión, centros de monitoreo, sistemas de interceptación legal y de retención de datos, biométricos, informática forense, dispositivos de rastreo y sistemas de inspección profunda de paquetes de navegación.

De esa cuenta se requerirá licencia de exportación si el producto se destina a su uso relacionado con la fabricación, almacenamiento y manejo de armas biológicas, químicas o nucleares; para utilización final militar si el país de destino es sujeto de un embargo de armas; para el uso de personas involucradas en violaciones a derechos humanos; y si ese uso está vinculado a actos de terrorismo. Basados en esa valoración, los miembros del bloque pueden denegar el permiso de venta.

En abril último, el Ministerio italiano de Desarrollo Económico despojó a Hacking Team de su licencia para vender fuera de la Unión Europea (UE) su Sistema de Control Remoto (SCR), conocido “Galileo” y “Da Vinci”. El argumento gubernamental se ancló en “circunstancias políticas cambiantes” en las naciones donde esa empresa ha vendido su software, como Egipto y Siria.

El diario inglés Financial Times reportó que las autoridades italianas estaban preocupadas por el asesinato de un investigador italiano en Egipto y de versiones del uso de un programa de HT en el crimen.

El Arreglo de Wassenaar sobre Controles a la Exportación para Armas Convencionales y Bienes y Tecnologías de Usu Dual, al cual están adscritos 41 países, obliga a que los fabricantes de esa tecnología deben obtener una autorización de exportación de sus gobiernos, para garantizar que su utilización tendrá fines legítimos y no devendrá en represión contra la población o en violaciones a derechos humanos.

Pero su aplicación presenta huecos de transparencia, pues se desconoce la evaluación para decidir la concesión de una licencia.

Como contrapartida, América Latina posee marcos legales que facilitan la cibervigilancia, sin garantizar el derecho a la privacidad, como concluye el reporte “Análisis comparado de las leyes y prácticas de vigilancia en Latinoamérica”, difundido el lunes 10.

El reporte, elaborado por Katitza Rodríguez –directora de derechos internacionales de la estadunidense Fundación Frontera Electrónica–, resalta que, cuando nuevas leyes de vigilancia o de seguridad cibernética se aprueban, su propósito básico es “legitimar las prácticas existentes o ampliar los poderes existentes, tales como las leyes de retención de datos que obligan a las empresas de telefonía y proveedores de acceso a Internet a registrar y, aún más, conservar datos de una población entera para uso estatal”.

El documento sugiere que las leyes de vigilancia no deberían hacer distinciones arbitrarias entre los diversos tipos de información protegida, como el contenido, los metadatos, la geolocalización, los datos del suscriptor, los datos retenidos, y las comunicaciones en tiempo real.

La autora plantea que debería permitirse el acceso a cualquier tipo de información protegida cuando, como mínimo, un juez imparcial haya emitido una orden basada en la necesidad, la proporcionalidad, la idoneidad y el objetivo legítimo de la medida solicitada. “Además, los países de la región deben adoptar las salvaguardas legales como el debido proceso, la transparencia, la supervisión pública, la notificación, y el derecho a recurso efectivo”, cita el informe.

Utilización opaca

Una de las muestras de la criptoguerra o batalla alrededor de la encriptación es el uso de simuladores de torres de telefonía celular o “IMSI-catchers”.

“Las autoridades no han elevado el nivel de transparencia y rendición de cuentas, mientras aumentan su poder de intervención. No están claras todas las capacidades de los IMSI-Catchers, no están regulados transparentemente. Muestran que las agencias gubernamentales han encontrado formas de superar la encriptación”, indicó Parsons.

El experto coescribió, junto a Tamir Israel –abogado de la Clínica Canadiense de Interés Público de Política sobre Internet Samuelson-Glushko de la Universidad de Ottawa–, el informe “¿Vuelto opaco? Un análisis de sobreuso hipotética de IMSI-Catcher en Canadá”.

“La continua negación de reconocer oficialmente el uso de IMSI-Catchers ante la creciente documentación pública sobre tal uso debilita la confianza pública en su aplicación legal y de una manera proporcional y minimiza su impacto sobre miembros del público” que no son un objetivo de seguridad, cita el reporte.

Esos programas, utilizados desde hace décadas en tareas de seguridad pública, han evolucionado de tal forma que son capaces de aprovechar vulnerabilidades en redes LTE, cuya mejoría en comparación con las redes 2G y 3G es que aplica la doble autenticación entre el usuario final y la propia red.

Por ejemplo, en ISS World Latin America, Encryptech presentó la sesión “Los usos múltiples de IMSI-Catchers para seguridad interna”.

Para Parsons, los países han entregado poderes crecientes a las agencias de seguridad e inteligencia, sin notar cómo se usarán tales poderes. “Hay información legítima que el público necesita conocer. Es muy difícil para abogados defensores y legisladores entender realmente qué ocurre. Muchos de estos equipos son altamente invasivos y deben ser usados como último recurso”, expuso.

El reporte demuestra cómo se aplicaría un rango de poderes superpuestos para autorizar IMSI-Catchers, y que esta ambigüedad podría permitir a las agencias públicas su despliegue usando poderes que ofrecen mínima protección a la privacidad. Esto, a su vez, podría facilitar el uso de esos dispositivos en una forma desproporcionada.

El también director administrativo del Proyecto de Transparencia en Telecomunicaciones en Citizen Lab e Israel recomiendan sujetar su uso a mecanismos integrales de transparencia, incluyendo reportes anuales, una obligación de aviso individual para que los individuos afectados puedan ampararse ante violaciones a su privacidad y cumplimiento con obligaciones de reporte estándar.

Apro reveló que Finlandia y Suiza exportaron a México esa tecnología, aunque se ignora cuál agencia la adquirió.

México ha obtenido también otro tipo de equipo. En 2014, la Secretaría de la Defensa Nacional firmó el contrato 4500015822 con Geseco, SA de CV, por la compra de software para análisis forense en teléfonos celulares fabricado por la israelita Cellebrite, por un monto de 2 millones 862 mil 645.88 pesos.

Ese tipo de programas se volvió célebre, pues el Buró Federal de Investigación (FBI) de Estados Unidos lo empleó para desbloquear un Iphone utilizado por uno de los atacantes en San Bernardino (California) en diciembre de 2015.

Comentarios