Protecció bàsica contra el ciberespionatge

BarcelonaUn tribunal nord-americà va admetre divendres la demanda presentada per WhatsApp i la seva matriu Facebook contra les empreses NSO Group i Q Cyber. Les acusen d’haver aprofitat a primers de maig del 2019 un forat de seguretat de la popular aplicació mòbil de xat per infectar els telèfons mòbils de 1.400 usuaris amb un programari maliciós anomenat Pegasus. El malware permet controlar a distància els aparells sense que el seu propietari ho sàpiga i accedir a tot el trànsit de trucades i missatges, el registre d’ubicacions i els arxius de la memòria i fins i tot activar la càmera i el micròfon per veure i escoltar tot el que passi al voltant del dispositiu.

Aquest és el programari que, segons el Citizen Lab de la Universitat de Toronto, algú va fer servir per espiar diversos càrrecs independentistes catalans. És d’esperar que el tràmit judicial als EUA aporti una mica de llum a l’opacitat amb què opera la indústria del ciberespionatge, amb empreses com les israelianes NSO (ara propietat del fons britànic Novalpina) i Cyberbit, l’alemanya FinFisher i la italiana Hacking Team.

Suposadament, aquestes firmes venen els seus productes (respectivament, el citat Pegasus, PC Surveillance System, FinSpy i Remote Control System) només a governs i cossos de seguretat per combatre la delinqüència i el terrorisme, però hi ha constància de nombrosos casos en què els clients els han fet servir per espiar dissidents polítics. La reticència de les empreses a revelar qui són els seus clients les fa arribar a incoherències tan flagrants com desmarcar-se dels eventuals mals usos dels seus productes assegurant que no saben per a què es fan servir exactament, alhora que neguen que s’hagin usat en casos concrets.

El model de negoci d’aquesta indústria es nodreix en bona part de les anomenades vulnerabilitats de dia zero, que són les que un hacker troba en una aplicació o servei abans que ho faci l’empresa propietària –WhatsApp, en el cas de Pegasus–. Quan això passa, el hacker pot fer dues coses: avisar l’empresa perquè ho arregli i rebre una recompensa o bé vendre la informació a un tercer perquè exploti el defecte de manera maliciosa durant la finestra d’oportunitat fins que algú altre el detecti. El problema és que aquests tercers, entre els quals hi ha empreses de ciberespionatge com les citades, paguen molt millor per la informació: Apple, Google o Microsoft poden recompensar els hackers amb centenars de milers de dòlars, però vulnerabilitats de dia zero molt específiques es cotitzen al mercat negre fins a cinc vegades més. Amb aquests incentius econòmics, no hi ha dubte que aniran sortint forats de seguretat i hi haurà desaprensius disposats a explotar-los.

En realitat, sigui quin sigui el vector d’infecció que fan servir, les plataformes industrials de ciberespionatge fan bàsicament el mateix que aplicacions del tipus anomenat keylogger, com FlexySpy, Revealer, Spyrix o Spyera, que molts assetjadors instal·len als telèfons de les seves parelles per controlar amb qui es comuniquen. La diferència és que aquesta mena de títols solen requerir la manipulació directa del dispositiu objecte d’espionatge en un descuit del seu propietari, mentre que Pegasus i les seves homòlogues es poden instal·lar, activar i esborrar a distància, fent servir forats com el de WhatsApp de l’any passat i els que deuen estar fent servir ara. Per això qualsevol particular pot comprar-ne una de les primeres –per cert, Google prohibirà anunciar-les a la seva plataforma publicitària a partir del mes que ve–, mentre que l’ús de les segones només està a l’abast d’organismes amb capacitat de gastar-hi milions d’euros.

Això, per cert, fa que sigui molt preocupant el reconeixement del ministre espanyol de Justícia que podria haver-hi individus incontrolats de l’Estat fent servir Pegasus, ja que equival a dir que hi ha quantitats enormes de diners que el govern no controla.

Si sospiteu que algú ha infectat el vostre telèfon per espiar la vostra activitat, sigui amb una plataforma com Pegasus o amb solucions menys sofisticades, la mesura més immediata que podeu adoptar és actualitzar a les versions més recents tant el sistema operatiu del dispositiu com totes les aplicacions que hi tingueu instal·lades: així és com Pegasus va deixar de funcionar l’any passat, després que tant Apple com WhatsApp publiquessin versions protegides.

Però aquest procediment no és infal·lible: entre altres coses, les actualitzacions que tapen forats de seguretat poden incloure’n de nous que els hackers poden detectar i explotar fins que siguin descoberts. I el programari espia pot continuar latent igualment. L’única manera de desfer-se’n és restaurar el dispositiu al seu estat original. Aquesta opció, que trobareu a l’apartat de configuració del telèfon, el deixa tal com va sortir de fàbrica, quan –se suposa– encara no havia sigut infectat.

Després de restaurar-lo és probable que vulgueu tornar a carregar-hi les aplicacions i les dades que hi teníeu, i probablement optareu per recuperar la còpia de seguretat del contingut que –ehem– segur que teniu a l’ordinador o al núvol. Però si ho feu heu d’estar segurs que vau fer la còpia abans que el vostre telèfon estigués infectat. En cas contrari, al recuperar la còpia de les dades també tornareu a instal·lar el programari maliciós i el procés no haurà servit de res. Per aquest motiu, el més efectiu és configurar el vostre aparell perquè guardi les dades (agenda, contactes, fotografies, vídeos, documents) al núvol i prescindir de la còpia de seguretat –que, recordem-ho, pot estar infectada– i tornar a instal·lar de cap i de nou totes les aplicacions una per una. El procés és més laboriós, però us dona l'oportunitat de fer dissabte i descartar totes les aplicacions que teníeu però ja no fèieu servir.

En qualsevol cas, aquestes mesures de prevenció no us protegiran contra l’espionatge de les vostres comunicacions telefòniques que les autoritats poden aplicar legalment, amb la col·laboració de les operadores de telefonia, sempre que hi hagi una ordre judicial. Òbviament, podeu xifrar el contingut d’aquestes comunicacions recorrent a serveis de xat com WhatsApp, Telegram o Signal, però alguns d’ells, especialment WhatsApp, deixen als servidors de l’empresa un rastre de metadades que pot ser prou valuós: hem sabut que entre les víctimes de l’espionatge hi havia Roger Torrent, Ernest Maragall i Anna Gabriel gràcies al fet que WhatsApp ha pogut identificar quins números de mòbil van rebre les trucades que contenien el codi maliciós.

Convé no oblidar que un antic empleat de NSO assegura que representants de Facebook es van interessar l’any 2017 per comprar-los la tecnologia de Pegasus per monitoritzar iPhones, cosa que no podien fer amb el programari Onavo Protect –propietat de Facebook, igual que WhatsApp– des que Apple va retirar-lo de l’App Store al considerar que servia per espiar.